Re: [ mallware doklejajacy zdalnie kod do stron ] - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.internet.polip › [ mallware doklejajacy zdalnie kod do stron ] › Re: [ mallware doklejajacy zdalnie kod do stron ]

Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!news.task.gda.pl!newsfeed00.sul.t-on
line.de!t-online.de!border2.nntp.dca.giganews.com!nntp.giganews.com!postnews.go
ogle.com!w1g2000prk.googlegroups.com!not-for-mail
From: "b...@g...com" <b...@g...com>
Newsgroups: pl.internet.polip
Subject: Re: [ mallware doklejajacy zdalnie kod do stron ]
Date: Sat, 14 Feb 2009 06:27:12 -0800 (PST)
Organization: http://groups.google.com
Lines: 33
Message-ID: <f...@w...googlegroups.com>
References: <8...@4...googlegroups.com>
<s...@g...intertele.pl> <gmssjp$2aj$1@news.onet.pl>
<gmtst6$h0o$1@node2.news.atman.pl> <gmv0ds$hsv$1@news.onet.pl>
<s...@t...ceti.pl>
<8...@m...googlegroups.com>
<gn4an8$rgc$1@inews.gazeta.pl>
<d...@l...googlegroups.com>
<gn4li1$1ak$1@inews.gazeta.pl>
<1...@c...googlegroups.com>
<gn65e8$9t5$1@inews.gazeta.pl>
<1...@w...googlegroups.com>
<gn6dqe$ug6$1@cougar.axelspringer.pl> <gn6eab$k8q$1@inews.gazeta.pl>
NNTP-Posting-Host: 83.6.156.40
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: quoted-printable
X-Trace: posting.google.com 1234621633 9415 127.0.0.1 (14 Feb 2009 14:27:13 GMT)
X-Complaints-To: g...@g...com
NNTP-Posting-Date: Sat, 14 Feb 2009 14:27:13 +0000 (UTC)
Complaints-To: g...@g...com
Injection-Info: w1g2000prk.googlegroups.com; posting-host=83.6.156.40;
posting-account=3w5kMAoAAAAEsa_XNyrt1KQdHNOn3tvM
User-Agent: G2/1.0
X-HTTP-UserAgent: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.6)
Gecko/2009011913 Firefox/3.0.6,gzip(gfe),gzip(gfe)
Xref: news-archive.icm.edu.pl pl.internet.polip:88968
[ ukryj nagłówki ]

On Feb 14, 1:43 pm, crazy bejbi <t...@n...ma> wrote:
> Krzysztof Oledzki pisze:
>
> > To jest zły, a nawet bardzo zły pomysł. Taki ciąg może trafić
> > się we wszystkim, zaczynając od sesji ssh, a kończąc na sesji
> > nntp do serwera news i próbie pobrania tego posta. ;)
>
> poza tym blokujesz tylko wyjście wirusa na zewnątrz. A problem jest,
> żeby go nie dopuścić ...
>
> na pewno można poszukać wpisów wirusa na całym serwerze:
> wejść do katalogu se stronami (np. /home) i komenda:
> grep -r -l ohhe *
>
> oczywiście ciąg może się znaleźć w wielu plikach, to bierzemy pod uwagę
> tylko .html, .htm, .php
> Wszystkie konta, na których są zmienione pliki najlepiej zacząć od
> zmiany hasła do ftp i czyścić pliki ...
>
> Wojtek

Jk usuniesz ten kod z plików i zmienisz hasło do FTP, to już więcej to
gówno się nie doklei. Ale jak tylko znowu sie połączysz z FTP
(używajac nowego hasła), wirus znowu przechwyci twoje hasło i zabawa
zaczyna się od początku.

Czy komuś udało się usunąć tego wirusa z komputera? Norton Internet
Security nic mi nie wykrywa =(