Intellect Board — cистема управления сайтом

Построение сайта на основе форума

Intellect Board — cистема управления сайтом »   Разное »   Троян на форуме под intboard
RSS

Троян на форуме под intboard

Завелся троян, подскажите как вычислить

Текущий рейтинг темы: Нет
Выводить сообщения
Правила раздела

<<Назад  Вперед>>Модераторы: aerograf, wsxПечать
 
Serega McKane
Почетный участник


Откуда: Ижевск
Всего сообщений: 175
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
26 июня 2006
На сайте (в подписи) завелся Trojan-Downloader.HTML.Agent.ez. Движок 2.19. Где искать гадость?

---
techmaniacs.net - Портал компьютерных энтузиастов - мой сайт на intellect Board
Serega McKane
Почетный участник


Откуда: Ижевск
Всего сообщений: 175
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
26 июня 2006
Сам обезвредил, заменив зараженные файлы бэкапом...

Итак, были заражены:

index.php
login.php
admin/index.php

И файлы main.php и template.php во всех стилях. Будьте бдительны ;)

---
techmaniacs.net - Портал компьютерных энтузиастов - мой сайт на intellect Board
Gram
Администратор

Gram
Откуда: Нижний Новгород
Всего сообщений: 1011
Рейтинг пользователя: 38


Ссылка


Дата регистрации на форуме:
23 июля 2003
Подхватить этот вирус очень просто:

1. Вы зашли на один из зараженных сайтов браузером ИЕ и вирус плотно зачел в ваш комп, далее он читает все файлы настроек с цельню найти данные доступа к ftp-аккаунтам, после удачного нахождения подключается по ftp и внедряется в код файлов
2. На хостинге есть несоклько сайтов, один из которых был заражен этой заразой. После этого вредоностный вирус шерстит диск в поиске ного внедрения.

На движок я тут врятли грешил бы.

Хотя на всякий случай сохраните логи и скиньте в личку мне и/или XXXX Pro
Yuras
Долгожитель форума


Всего сообщений: 382
Рейтинг пользователя: 11


Ссылка


Дата регистрации на форуме:
15 мар. 2007
Serega McKane, iframe внедрялись?
У меня такое было месяц назад на паре сайтов. После обновления Касперского троян стал определяться на зараженных сайтах.
Удалил внедрение iframe в коде. Сменил пароли на ftp и все ок. И Касперский всегда включен...
Serega McKane
Почетный участник


Откуда: Ижевск
Всего сообщений: 175
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
26 июня 2006

Gram написал:
[q]
Вы зашли на один из зараженных сайтов браузером ИЕ и вирус плотно зачел в ваш комп
[/q]


Ослом не пользуюсь, и на компе троянов не было, держу актуальные вирусные базы. Значит не от меня троянец..


Gram написал:
[q]
На движок я тут врятли грешил бы
[/q]


Ну я не подразумевал что дырка движка, просто хотел узнать как удалять, а потом сам его вычислил - скачивал на локаль с фтп файлы и записывал какие из них заражены, потом их бэкапом заменил


Yuras написал:
[q]
После обновления Касперского троян стал определяться на зараженных сайтах.
[/q]


Троянец совсем свежий, даже описаний не нашел.. Каспер определяет его только с самыми последними базами

---
techmaniacs.net - Портал компьютерных энтузиастов - мой сайт на intellect Board
Serega McKane
Почетный участник


Откуда: Ижевск
Всего сообщений: 175
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
26 июня 2006

Yuras написал:
[q]
Serega McKane, iframe внедрялись?
У меня такое было месяц назад на паре сайтов. После обновления Касперского троян стал определяться на зараженных сайтах.
Удалил внедрение iframe в коде. Сменил пароли на ftp и все ок. И Касперский всегда включен...
[/q]


Похоже внедрялись, т.к. сейчас при любой ссылке на моем сайте Опера посылает запрос еще и к какому то winhex[точка]org
Где удалять вредоносный код?

---
techmaniacs.net - Портал компьютерных энтузиастов - мой сайт на intellect Board
Serega McKane
Почетный участник


Откуда: Ижевск
Всего сообщений: 175
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
26 июня 2006
Опять всё перезалил с бэкапа, вроде убрал

---
techmaniacs.net - Портал компьютерных энтузиастов - мой сайт на intellect Board
Gich
Почетный участник

Gich
Всего сообщений: 123
Рейтинг пользователя: 6


Ссылка


Дата регистрации на форуме:
10 нояб. 2006
Пам... А как вобще определить, есть оно там или нет? Так вроде матюгов антивир е вылает, но мало ли.
Yuras
Долгожитель форума


Всего сообщений: 382
Рейтинг пользователя: 11


Ссылка


Дата регистрации на форуме:
15 мар. 2007
Gich, Касперским с обновленной базой глянь сайт. Если не завизжит - значит все ОК. \":thumbup\"
или код страниц глянь на предмет подозрительных <iframe
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 3299
Рейтинг пользователя: 70


Ссылка


Дата регистрации на форуме:
29 сен. 2001

Yuras написал:
[q]
код страниц глянь на предмет подозрительных <iframe
[/q]

Вот это более надежный вариант. И делать это рекомендуется не под IE, а под нормальным броузером.

---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно!
<<Назад  Вперед>>Модераторы: aerograf, wsxПечать
Intellect Board — cистема управления сайтом »   Разное »   Троян на форуме под intboard
RSS

1 посетитель просмотрел эту тему за последние 10 минут
В том числе: 1 гость, 0 скрытых пользователей

Последние RSS
Ограничение доступа
не отображаются разделы
Архив версий
Установка стиля на Intellect Board 2.22
Завершилась работа над новой версией 3.00

Самые активные 5 тем RSS


Время выполнения скрипта: 0.0956. Количество выполненных запросов: 17, время выполнения запросов 0.0000
Creative Commons License Rambler's Top100 Rambler's Top100 Рейтинг@Mail.ru Valid HTML 4.01 Transitional Valid CSS!