обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh
Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?
Спасибо.
ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.
http://virusinfo.info/pravila.html
Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Как убить Трояна?
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ | Как задавать вопросы | Как устанавливать расширения
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение
).
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ | Как задавать вопросы | Как устанавливать расширения
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение
).
-
AdmninsCluba
- phpBB 1.2.1
- Сообщения: 22
- Стаж: 17 лет 7 месяцев
- Благодарил (а): 1 раз
-
Dort
- phpBB 1.0.0
- Сообщения: 1
- Стаж: 16 лет 7 месяцев
Не избежал этой участи и я 
Стоял NOD32, даже не пискнул. Поставил Касперского и офонарел. Заражены все index'ые файлы и auth.php.
Визуально это выглядит так. Перестает отображаться картинка визуального подтверждения регистрации и мода ABQ.
Лечение: перезалил все зараженные файлы из резервной копии, сменил пароль доступа по FTP, перестал хранить пароли в FAR'e.
PS: После установки Касперского (я его терпеть не могу) за два дня он меня уже пять раз предупреждал об опасности заражения этим трояном на разных сайтах. Пришлось его оставить. Вот так вот!
Стоял NOD32, даже не пискнул. Поставил Касперского и офонарел. Заражены все index'ые файлы и auth.php.
Визуально это выглядит так. Перестает отображаться картинка визуального подтверждения регистрации и мода ABQ.
Лечение: перезалил все зараженные файлы из резервной копии, сменил пароль доступа по FTP, перестал хранить пароли в FAR'e.
PS: После установки Касперского (я его терпеть не могу) за два дня он меня уже пять раз предупреждал об опасности заражения этим трояном на разных сайтах. Пришлось его оставить. Вот так вот!
-
Fenix1982
- phpBB 1.2.0
- Сообщения: 12
- Стаж: 16 лет 7 месяцев
- Откуда: Москва
Странно. Я вот обратил внимание, что тоже вирус с ABQ связан...
У меня ситуация следующая:
Поставил ABQ. Всё по инструкции, доступы, итд проверил. Пароль в настройках доступа на ФТП не сохраняется. Пароль больше 10 знаков в разном регистре (буквы-числа). Стоит обновляемый Нортон Антивирус 2007.
Внести вирус от себя я не мог. На ФТП более никто не заходит.
Тем не менее, при входе на форум, вылетело предупреждение о вирусном заражении. Вирус - Downloader. Сожрал, собака, все индексы...
Нет ли, всё-таки, уязвимости в ABQ?
У меня ситуация следующая:
Поставил ABQ. Всё по инструкции, доступы, итд проверил. Пароль в настройках доступа на ФТП не сохраняется. Пароль больше 10 знаков в разном регистре (буквы-числа). Стоит обновляемый Нортон Антивирус 2007.
Внести вирус от себя я не мог. На ФТП более никто не заходит.
Тем не менее, при входе на форум, вылетело предупреждение о вирусном заражении. Вирус - Downloader. Сожрал, собака, все индексы...
Нет ли, всё-таки, уязвимости в ABQ?
Зачем Уткам ласты?
Чтобы тушить пожары.
Зачем Слонам большие ноги?
Чтобы тушить горящих Уток.
Чтобы тушить пожары.
Зачем Слонам большие ноги?
Чтобы тушить горящих Уток.
-
Rayden
- Former team member
- Сообщения: 3739
- Стаж: 18 лет 9 месяцев
- Поблагодарили: 3 раза
-
VVVas
- Former team member
- Сообщения: 4463
- Стаж: 19 лет 5 месяцев
- Поблагодарили: 1 раз
-
Fenix1982
- phpBB 1.2.0
- Сообщения: 12
- Стаж: 16 лет 7 месяцев
- Откуда: Москва
-
Rayden
- Former team member
- Сообщения: 3739
- Стаж: 18 лет 9 месяцев
- Поблагодарили: 3 раза
-
Палыч
- Former team member
- Сообщения: 9683
- Стаж: 17 лет 11 месяцев
- Откуда: Питер
- Благодарил (а): 1 раз
- Поблагодарили: 27 раз
1. На основании чего вывод? Потому, что вы не давали никому права? Тогда, не факт.Fenix1982 писал(а):На ФТП более никто не заходит.
2. К конкретному серверу-компьютеру доступ имеете только вы?
Не все то WINDOWS, что висит... phpBB только учусь.
ICQ, email, ЛС - только для личных сообщений. Вопросы по phpbb только на форумах. По найму не работаю.
ICQ, email, ЛС - только для личных сообщений. Вопросы по phpbb только на форумах. По найму не работаю.
-
Fenix1982
- phpBB 1.2.0
- Сообщения: 12
- Стаж: 16 лет 7 месяцев
- Откуда: Москва
К конкретному компьютеру, отуда идёт доступ на ФТП - только я.
По поводу Фтп... Тут сложно сказать. Я знаю ip, с которого произошёл разовый доступ на ФТП при заражении. Мне он не знаком.
Проследить, как именно он вошёл на ФТП я не могу. Но то, что был получен доступ к паролям... Я считаю мало вероятным. Фаерволл не выпустил бы информацию отсылаемую трояном с моего компьютера, даже если такаябы и была. Да и не держу я пароли в электронном виде. И не сохраняю...
Я не говорю, что в программе 100%-я дыра... Но откуда-то ноги расти должны...
По поводу Фтп... Тут сложно сказать. Я знаю ip, с которого произошёл разовый доступ на ФТП при заражении. Мне он не знаком.
Проследить, как именно он вошёл на ФТП я не могу. Но то, что был получен доступ к паролям... Я считаю мало вероятным. Фаерволл не выпустил бы информацию отсылаемую трояном с моего компьютера, даже если такаябы и была. Да и не держу я пароли в электронном виде. И не сохраняю...
Я не говорю, что в программе 100%-я дыра... Но откуда-то ноги расти должны...
Зачем Уткам ласты?
Чтобы тушить пожары.
Зачем Слонам большие ноги?
Чтобы тушить горящих Уток.
Чтобы тушить пожары.
Зачем Слонам большие ноги?
Чтобы тушить горящих Уток.
-
Палыч
- Former team member
- Сообщения: 9683
- Стаж: 17 лет 11 месяцев
- Откуда: Питер
- Благодарил (а): 1 раз
- Поблагодарили: 27 раз
Речь не откуда, речь о сервере - куда...Fenix1982 писал(а):К конкретному компьютеру, отуда идёт доступ на ФТП - только я.
что уже противоречит вашим же словам:Fenix1982 писал(а):Я знаю ip, с которого произошёл разовый доступ на ФТП при заражении.
Fenix1982 писал(а):На ФТП более никто не заходит.
Я рад за вас.Fenix1982 писал(а):Но то, что был получен доступ к паролям... Я считаю мало вероятным.
Вы уже ответили ->Fenix1982 писал(а):... Но откуда-то ноги расти должны...
Fenix1982 писал(а):Я знаю ip, с которого произошёл разовый доступ на ФТП при заражении.
Правильно. 100% гарантии не существует вообще.Fenix1982 писал(а):Я не говорю, что в программе 100%-я дыра...
Только вот, незадача: даже предполагаемая "дыра" в php-коде никак не связана с доступом по FTP или с получением хранимых паролей.
Не все то WINDOWS, что висит... phpBB только учусь.
ICQ, email, ЛС - только для личных сообщений. Вопросы по phpbb только на форумах. По найму не работаю.
ICQ, email, ЛС - только для личных сообщений. Вопросы по phpbb только на форумах. По найму не работаю.
-
Fenix1982
- phpBB 1.2.0
- Сообщения: 12
- Стаж: 16 лет 7 месяцев
- Откуда: Москва
Скажем так. Кроме меня, никто туда не заходит, так как только я занимаюсь этим форумом. Пароли тоже только у меня.
Имея ввиду, что кроме меня там никого не бывает, я имел ввиду, то, что написал выше.
Как я уже сказал - я не исключаю, что это где-то и мой косяк. Но странно всё-таки: до этого ни вирусов, ни проблем не было. Поставил ABQ? и появилось.
Но доверяясь вашему авторитетному мнению, буду искать косяки у себя.
Хотя всё-равно, странно.
Имея ввиду, что кроме меня там никого не бывает, я имел ввиду, то, что написал выше.
Как я уже сказал - я не исключаю, что это где-то и мой косяк. Но странно всё-таки: до этого ни вирусов, ни проблем не было. Поставил ABQ? и появилось.
Но доверяясь вашему авторитетному мнению, буду искать косяки у себя.
Хотя всё-равно, странно.
Зачем Уткам ласты?
Чтобы тушить пожары.
Зачем Слонам большие ноги?
Чтобы тушить горящих Уток.
Чтобы тушить пожары.
Зачем Слонам большие ноги?
Чтобы тушить горящих Уток.
-
Палыч
- Former team member
- Сообщения: 9683
- Стаж: 17 лет 11 месяцев
- Откуда: Питер
- Благодарил (а): 1 раз
- Поблагодарили: 27 раз
Всё когда-то случается в первый раз.Fenix1982 писал(а):Но странно всё-таки: до этого ни вирусов, ни проблем не было. Поставил ABQ? и появилось
Но если вы при выходе из булочной попали под дождь, не означает, что булочник виноват.
Не все то WINDOWS, что висит... phpBB только учусь.
ICQ, email, ЛС - только для личных сообщений. Вопросы по phpbb только на форумах. По найму не работаю.
ICQ, email, ЛС - только для личных сообщений. Вопросы по phpbb только на форумах. По найму не работаю.
-
Rayden
- Former team member
- Сообщения: 3739
- Стаж: 18 лет 9 месяцев
- Поблагодарили: 3 раза
-
PanAm
- phpBB 1.2.1
- Сообщения: 29
- Стаж: 16 лет 8 месяцев
Хотел создать тему, но тут такое-же
добавлен код в файлы index.htm, index.php, auth.php
Добавлено спустя 2 минуты 12 секунд:
FTP-менеджер - FAR
Добавлено спустя 6 минут 19 секунд:
DrWeb определил как -Trojan.DownLoader.33840
добавлен код в файлы index.htm, index.php, auth.php
Код: Выделить всё
</script>
FTP-менеджер - FAR
Добавлено спустя 6 минут 19 секунд:
DrWeb определил как -Trojan.DownLoader.33840
-
Петрович
- phpBB 2.0.0
- Сообщения: 244
- Стаж: 17 лет 5 месяцев
- Откуда: НСО, п. Витаминка
- Благодарил (а): 4 раза
- Поблагодарили: 2 раза
