обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh
Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?
Спасибо.
ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.
http://virusinfo.info/pravila.html
Как убить Трояна?
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ | Как задавать вопросы | Как устанавливать расширения
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение
).
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ | Как задавать вопросы | Как устанавливать расширения
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение
).
-
AdmninsCluba
- phpBB 1.2.1
- Сообщения: 22
- Стаж: 18 лет 7 месяцев
- Благодарил (а): 1 раз
-
Kate admin
- phpBB 1.4.0
- Сообщения: 31
- Стаж: 17 лет 4 месяца
Да.crash писал(а):знаете что такое shared хостинг?
У меня dedicated server и я эгоистично думаю только о своем форуме.
8)Добавлено спустя 30 секунд:
А, спасибо, действительно не поняла. :-)Палыч писал(а):Речь шла о другом пользователе вашего сервера, если вы этого не поняли.
-
Krolist
- phpBB 1.0.0
- Сообщения: 1
- Стаж: 17 лет 3 месяца
Вы что думаете что это дыры в форумах??
Я уверен, что это не так!!
Я за последний год столкнулся с несколькими модификациями этого вируса.
Сейчас схватил его в очередной раз.
Но в этот раз я решил разобраться откуда он пришел!!
Догадываюсь как он действует. Вот несколько фактов.
1) прописывается всегда когда присутствует тег <body> или </body>
2) попадает на сервер через мой комп.
3) вирус состоит из нескольких составляющих файлов. То что мы видим в html'ках или php'шках - это уже результат
4) о дыре в скриптах не может быть речи, потому что все мои скрипты написаны мной, а вирус на многих сайтах...
Теперь мне предстоит узнать 2 вещи:
1) как он попал на мой комп
2) как он попал на сервер сайта
Кстати, мои файлы сайта на компе чистенькие, а на сервере уже с вирусом...
Добавлено спустя 2 минуты 20 секунд:
Придумал как можно проверить то, что он выходит с моего компа на сервер...
Нужно использовать снифер. Обожаю сниферить ))
Я уверен, что это не так!!
Я за последний год столкнулся с несколькими модификациями этого вируса.
Сейчас схватил его в очередной раз.
Но в этот раз я решил разобраться откуда он пришел!!
Догадываюсь как он действует. Вот несколько фактов.
1) прописывается всегда когда присутствует тег <body> или </body>
2) попадает на сервер через мой комп.
3) вирус состоит из нескольких составляющих файлов. То что мы видим в html'ках или php'шках - это уже результат
4) о дыре в скриптах не может быть речи, потому что все мои скрипты написаны мной, а вирус на многих сайтах...
Теперь мне предстоит узнать 2 вещи:
1) как он попал на мой комп
2) как он попал на сервер сайта
Кстати, мои файлы сайта на компе чистенькие, а на сервере уже с вирусом...
Добавлено спустя 2 минуты 20 секунд:
Придумал как можно проверить то, что он выходит с моего компа на сервер...
Нужно использовать снифер. Обожаю сниферить ))
-
crash
- Former team member
- Сообщения: 6517
- Стаж: 20 лет 9 месяцев
- Откуда: Бердск
не помнючтобы в index.php было body.Krolist писал(а):прописывается всегда когда присутствует тег <body> или </body>
это не показатель.Krolist писал(а):о дыре в скриптах не может быть речи, потому что все мои скрипты написаны мной
возможно по фтп.Krolist писал(а):как он попал на сервер сайта
а это выясните.Krolist писал(а):как он попал на мой комп
Как правильно задавать вопросы
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса
-
GVD
- phpBB 1.4.0
- Сообщения: 36
- Стаж: 18 лет 2 месяца
- Откуда: Питер
У меня хостер km.ru (бесплатный), пароль менять может только хостер, но до него не достучаться... Целый месяц ждал нового пароля. Получил, а заодно и нового "трояна" :
DrWeb его не видит. На форуме пожаловались на CPG - Касперский обнаруживает "троянскую программу". Начал проверять и нашёл этот "подарок". Файлы были изменены на сервере вчера (04.03.08).
Этой заразой были "награждены" все indexы php и html в CPG, DLE и phpbb 2.0.22
Комп чищу, но вирусы прут как из рога изобилия. Антивирус стоит DrWeb 4.44, обновляется ежедневно, но винда слетала за последний месяц трижды...
Сегодня в очередной раз переустанавливал OS, комп чистый, пароли в голове. Как защитить сайты?.. Только регулярной чисткой?
Код: Выделить всё
<script>function v47f68b3871ed0(v47f68b3871ed6)
...
</script>Этой заразой были "награждены" все indexы php и html в CPG, DLE и phpbb 2.0.22
Комп чищу, но вирусы прут как из рога изобилия. Антивирус стоит DrWeb 4.44, обновляется ежедневно, но винда слетала за последний месяц трижды...
Сегодня в очередной раз переустанавливал OS, комп чистый, пароли в голове. Как защитить сайты?.. Только регулярной чисткой?
Последний раз редактировалось Sheer 12.10.2011 12:14, всего редактировалось 1 раз.
Причина: Убран вредоносный код
Причина: Убран вредоносный код
Всё течёт, всё изменяется.
-
GVD
- phpBB 1.4.0
- Сообщения: 36
- Стаж: 18 лет 2 месяца
- Откуда: Питер
-
GVD
- phpBB 1.4.0
- Сообщения: 36
- Стаж: 18 лет 2 месяца
- Откуда: Питер
-
GVD
- phpBB 1.4.0
- Сообщения: 36
- Стаж: 18 лет 2 месяца
- Откуда: Питер
Ещё вопрос по теме "трояна".
Начал наблюдать, что "обновление" файлов index.php, index.html, auth.php, login.php и т. д. происходит в одно время (плюс-минус пара минут). Вопрос: или "доброжелатель" использует программу для загрузки мусора, или я не полностью чищу все зараженные файлы? Могут ли остатки зараженных файлов грузить "трояна" по чистым файлам? И ещё - код скрипта "трояна" изменяется практически раз от раза.
P.S. Спустя час после чистки "троян" снова в файлах.
Начал наблюдать, что "обновление" файлов index.php, index.html, auth.php, login.php и т. д. происходит в одно время (плюс-минус пара минут). Вопрос: или "доброжелатель" использует программу для загрузки мусора, или я не полностью чищу все зараженные файлы? Могут ли остатки зараженных файлов грузить "трояна" по чистым файлам? И ещё - код скрипта "трояна" изменяется практически раз от раза.
P.S. Спустя час после чистки "троян" снова в файлах.
Всё течёт, всё изменяется.
-
Alek$
- Former team member
- Сообщения: 2616
- Стаж: 19 лет 8 месяцев
- Откуда: Новосибирск
- Поблагодарили: 3 раза
GVD
почистите свой комп от вирусов и поменяйте все пароли.
почистите свой комп от вирусов и поменяйте все пароли.
Самая страшная ошибка, это ошибка без видимых причин и конкретных последствий.
phpBB3 [db_update.php generator]
Первая помощь по всем phpBB-вопросам: phpBB2 и phpBB3 FAQ; Правила общения;
Все консультации в icq или личке - на платной основе.
phpBB3 [db_update.php generator]
Первая помощь по всем phpBB-вопросам: phpBB2 и phpBB3 FAQ; Правила общения;
Все консультации в icq или личке - на платной основе.
-
GVD
- phpBB 1.4.0
- Сообщения: 36
- Стаж: 18 лет 2 месяца
- Откуда: Питер
А кто подскажет - что это за скрипт? Раньше его в файлах не было.
Код: Выделить всё
<script language=JavaScript>function upbpnban(x)
***
</script><!-- host5.km.ru -->
Последний раз редактировалось Sheer 12.10.2011 12:15, всего редактировалось 2 раза.
Причина: Убран вредоносный код
Причина: Убран вредоносный код
Всё течёт, всё изменяется.
-
Alek$
- Former team member
- Сообщения: 2616
- Стаж: 19 лет 8 месяцев
- Откуда: Новосибирск
- Поблагодарили: 3 раза
GVD
похоже на троян. Расшифровывать лень, но нормальные скрипты так не шифруют.
похоже на троян. Расшифровывать лень, но нормальные скрипты так не шифруют.
Самая страшная ошибка, это ошибка без видимых причин и конкретных последствий.
phpBB3 [db_update.php generator]
Первая помощь по всем phpBB-вопросам: phpBB2 и phpBB3 FAQ; Правила общения;
Все консультации в icq или личке - на платной основе.
phpBB3 [db_update.php generator]
Первая помощь по всем phpBB-вопросам: phpBB2 и phpBB3 FAQ; Правила общения;
Все консультации в icq или личке - на платной основе.
-
GVD
- phpBB 1.4.0
- Сообщения: 36
- Стаж: 18 лет 2 месяца
- Откуда: Питер
-
Alek$
- Former team member
- Сообщения: 2616
- Стаж: 19 лет 8 месяцев
- Откуда: Новосибирск
- Поблагодарили: 3 раза
Свежий еще. Отправь им, глядишь, начнут видеть
Самая страшная ошибка, это ошибка без видимых причин и конкретных последствий.
phpBB3 [db_update.php generator]
Первая помощь по всем phpBB-вопросам: phpBB2 и phpBB3 FAQ; Правила общения;
Все консультации в icq или личке - на платной основе.
phpBB3 [db_update.php generator]
Первая помощь по всем phpBB-вопросам: phpBB2 и phpBB3 FAQ; Правила общения;
Все консультации в icq или личке - на платной основе.
-
GVD
- phpBB 1.4.0
- Сообщения: 36
- Стаж: 18 лет 2 месяца
- Откуда: Питер
Re: Как убить Трояна?
И ещё одна фигня обнаружилась: с некоторых страниц форума или галереи идёт перенаправление на http://ya.ru/ ( даже после чистки)...
Всё течёт, всё изменяется.
