de curand multi imi tot spun ca am trojan pe site..am scanat tot pc-ul si nu am gasit nici-un virus in pc..deci cum ar fi putut ca virusul sa apara pe site? :-/ si cum as putea sa il scot?

Baga-ti Kaspersky Anti-Virus sau Kaspersy Internet Security dai un scan dupa poti sa il stergi.
Baga Malwarebytes' Anti-Malware dai la fel scan la pc si gata.
Dupa sterge tot de pe host si urcale din nou. Dar verifica toate fisierele.

Despre virusul TrojanClicker Iframe

In ultimele luni a aparut un nou mod de hacking de site-uri: instalarea in ele de iFrame-uri, prin scripturi javascript. Ultima versiune pe care a trebuit sa o scot a fost TrojanClicker.Iframe.GT.gen trojan. Aceasta era instalat intr-un fisier index.php al unui site. Atacul de azi a venit din Singapore de la hostul 203.116.63.121

Ce modifica astfel de virus si cum se instaleaza in site?

Virusul modifica fisierele cu denumiri cheie: “index.php”, “login.php”, “index.html”, “config.php” etc.
Modificarea fisierelor se face prin download + modificare + upload prin FTP. Deci modifica parola de FTP daca esti virusat!

Ce trebuie sa faci ca sa scoti astfel de virusi dintr-un site?

* schimba parolele de FTP. (Este o solutie pana la urmatoarea versiune de virus)
* schimba parolele de MySQL. Daca aveau acces la FTP, deci pot citi si fisiere de configurare de la baza de date.
* copiaza fisierele site-ului pe server dintr-un back-up. Daca nu ai back-up, fa-ti!
* urmareaste log-ul de FTP pentru a gasi hostul de unde s-a instalat si blockeaza-l prin .htaccess
* pune-ti intrebari de genul: “Cum de a aflat parola de FTP instalatorul virusului?”

Exemple ale actionarii virusilor de tip “IFrame”

- codul inserat exporta PDF-uri care exploateaza bug-uri ale Acrobat Reader-ului
- codul javascript deschide site-uri de cumparaturi
- functiile virusilor contin denumire de genul: “tmp_lkojfghx”, “base64_decode(’aWYoaXNzZXQ”. Cauta toate fisierele care ar putea contine astfel de cuvinte si inlocuieste-le cu unele “curate”, dintr-un back-up.


Sursa : http://b.log.ro/tag/virus-trojan-iframe/


Recomand:

* update antivirus, executa scanare integrala
* instaleaza sau update spybot apoi executa scanare integrala:
- o prima verificare o poti face aici http://www.unmaskparasites.com/
- vezi programe gen http://www.malwarebytes.org si http://www.safer-networking.org, le poti rula si instala pe ambele, in ordinea mentionata
* schimba parolele de conectare site ftp si cpanel
* atentie la fisierele index.php, index.html, index.htm sunt cele mai vizate de virus. Pentru siguranta, repune pe site o copie mai veche a fisierelor infectate.
* daca site-ul apare ca fiind infectat in google sau suspicios si ai reusit sa remediezi problema, apeleaza la http://www.google.com/webmasters/tools/ pentru a cere o analiza a site-ului de catre echipa Google
* repeta aceste etape din cand in cand

Sper sa ajute, eu am scapat, datorita lui eyecon.ro , cam tarziu totusim dintr-o mare neatentie, pentru 3 din site-urile pe care le administrez.

Vezi si avast.com/eng/avast-and-forum-users-combine-to-defeat-website-hackers.html

Sunt sigur si alte programe care te pot ajuta sa rezolvi problema, indiferent de alegerea facuta, mult spor!

Sursa : http://www.iubescbrasovul.ro/actualitate/iframe-virus-via-domenii-web-cn/

ms pentru informatii

BeBeL virusul nu este neaparat din paginile tale :) poate fi si de la un simplu popup ori de la un OnLoad iframe ! elimina pe rand iframe-urile / popup-urile de pe site-ul tau si vezi care este cel cu problema.

nu am pop-uri pe site :|

PS. site-ul este cel de la semnatura

Mda.. deci singurul raspuns pe care ti-l pot da si sunt singur ca e asa, la scripturile astea de muzica atunci cand faci un query "Butonul Cauta Melodie" poti scrie si coduri html serverul asa le va interpreta ! Datorita faptului ca ai jos "Ultimele Cautari" de exemplu caut <script src="link-js"> iar in js-ul asta am un cod DocumentWrite care te va redirectiona automat pe site-ul propus... de aici si chestia cu virusul tau.. altfel nu imi explic

si cum as putea sa repar?

"ciocane" :| crezi ca asta "script-src"http-tribul-ro" are vre-o legatura cu tn ? :@

PS am gasit in baza de date la ultimele cautari pe site

HaHa chiar esti tare.. daca te uiti bine.. JS-ul nu exista de mult.. ca sa te informez.. DocumentWrite te redirectioneaza, asa ca nu te mai pripi cu injuriile mai ales pe PM.. oricum te raportez !

nu inteleg cum dupa ce tu imi strici site-ul mai ai si tupeul sa vi sa postezi aici ca sa ma ajuti sa repar ce ai stricat tu :-j...esti culmea :|

Stai linistit.. aduci acuzatii fara dovezi.. arata-mi data query-ului, js-ul cel care il ai la script src de la tribul.ro , si verifica js-ul / valabilitatea acestuia... tu ai postat asta acum 2 3 zile cred.. si mie nu imi functioneaza hostul vechi de 1 2 saptamani :) esti penibil

mda...bine..oricum stiu ca tu mi-ai stricat site-ul ca nu aparea asa degeaba acolo cu tribul.ro ...dar in fine...nu ma mai enervez cu "gunoaie" deastea ...

PS. ti-am dat un vot iTrader potrivit pentru tine

Sql_injection... daca nu stiti sa securizati scripturile cine este de vina?
E ca si cum lasi usa descuiata la intrare si te miri ca iti intra hotii in casa ca in sala de asteptare din gara.
Pe viitor cine vrea un audit de securitate pentru site-uri sa-mi dea un semn (nu va iau casa, masina si pielea de pe voi dar nici pe gratis nu incercati ca voi ignora din start mesajele).