Παναγιώτη από το στέκι έχω αφαιρέσει μόνος μου τον trojan, ενώ στο site σου παραμένει.
Καλύτερα θα είναι να τον βγάλεις κι εσύ, γιατί από το ΠΣΔ μπορεί να αργήσουν...
Στέκι, όλα καλά:
$ wget -q https://alkisg.mysch.gr/steki/ -O -
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<link rel="stylesheet" type="text/css" href="https://alkisg.mysch.gr/steki/Themes/default/css/index.css?rc5" />
...κτλ κτλ
Site σου, μολυσμένο:
$ wget -q http://users.sch.gr/ptsiotakis/ -O -
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN" "http://www.w3.org/TR/html4/frameset.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Security report #1186 / 2011-04-28</title>
</head>
<frameset rows="*,20">
<frame src="http://nimelts.cz(bad).cc/downloads/">
<frame src="http://nimelts.cz(bad).cc/xp/index.php?tp=3fb41d99137405e1" noresize scrolling="no">
</frameset>
</html>
Το (bad) το έβαλα επίτηδες για να μην πάει κάποιος κατά λάθος εκεί και κολλήσει.
Μπες με ftp στο site σου και δες ποιο .php αρχείο έχει αλλαχθεί στις 13/4...
Btw ο injected php κώδικας έχει κάποιον έλεγχο και κάνει redirect στο cz.cc μόνο μερικές φορές, όχι πάντα, οπότε το wget μπορεί να μην δείχνει πάντα το ανεπιθύμητο url.
Το προειδοποιητικό μήνυμα που βγάζουν οι browsers είναι άλλο θέμα, αφορά γενικά το users.sch.gr/* λόγω των συχνών εμφανίσεων του trojan σε αρκετούς χρήστες (υποφακέλους). Οπότε θα συνεχίσει να εμφανίζεται μέχρι το ΠΣΔ να καθαρίσει εντελώς και να βγει από την blacklist. Στο μεταξύ όμως καλό είναι τουλάχιστον εμείς οι Πληροφορικοί που έχουμε την τεχνογνωσία, να αφαιρέσουμε τον trojan από τις σελίδες μας, για να μην κολλάμε τους επισκέπτες...
