我的网站 www.edeimusic.net 和 www.juraatmedia.com 感染了 JS:Illredir-S [Trj] 恶意软件。我的网站不断受到一些重定向或 js 脚本或 iframe 脚本的感染,清理它们后我更改了密码,几天后又出现了。
谁能告诉我如何正确保护我的网站以及如何删除此病毒 JS:Illredir-S [Trj] ?我没有得到任何关于这个病毒以及我服务器上的哪个文件感染了它的信息。
请帮我!
问问题
5342 次
1 回答
3
我遇到了同样的问题,Windows 是最新的,防病毒软件是最新的(第一台计算机上是 AVG,第二台计算机上是 Symantec),反间谍软件是最新的.....我从不安装“奇怪的东西” ......所以我认为我受到了保护。突然间,我的 filezilla 中的所有站点/帐户都被 JS:Illredir-CB [Trj] 木马感染了。
它发生在看到一家大公司的网站后。这个木马在没有任何警告的情况下进入了我的电脑......很容易。该脚本是一个 javascript 函数:各种技巧来创建到具有端口 8080 的远程站点的所有链接。这个将 JAVA 小程序放在 iframe 中,这在后台打开了一个 CMD,它在 system32 中本地安装了一些文件。
我做了什么:
- 删除所有 FTP 登录设置,或在“询问密码”的所有帐户中设置此项
- 我更改了 FTP 帐户的所有设置。(做吧,因为我忘记了一个,这个是3天后再次触摸的)
- 完全扫描您的计算机。我注意到此时只有 AVAST 检测到了这个(我确实尝试了很多扫描仪)
- 你所有的 FTP 站点都被触及......每张地图......在我的情况下也是 https 文件......所以你必须检查所有文件(检查日期/时间)
检查所有 .JS 文件和所有名称如“home”、“default”和“index”的文件......在文件的底部是一个额外的行。(它们并不完全相同!! ....但看起来很像)我的一些文件完全损坏了,所以我不得不为这些文件进行备份。
在服务器的 de FTP 日志文件中,我多次看到尝试使用旧设置进行连接.....所以他们尝试了不止一次。
我仔细查看了感染我计算机的脚本:在我的情况下,该函数打开了 [ http:// highstate 的后门。ru: 8080 /google.com/stumbleupon.com/btjunkie.org.php ] 但我在其他一些脚本中看到 highstate.ru 不是唯一的域.....查看这些链接诺顿对这个域的说法:[ https://safeweb.norton.com/report/show?name=anyscent.ru] 或 [https://safeweb.norton.com/report/show?name=highstate.ru]
我看到的最新的:
index.html: JS:Illredir-CB [Trj] ++ exemple.htm [L] HTML:Downloader-F [Trj] ++ Applet1.htm [L] JS:Jaderun-A [Expl] all通过相同的方法:网页底部的远程脚本/ js-file
很好的例子:此时此站点上有一个木马:[ http://wordpress.org/support/topic/349452 ] 我的 AVAST 看到了这个,并禁用了该页面。
我希望有人可以用我的经验做点什么!
于 2010-06-16T09:45:33.767 回答