ОСТОРОЖНО!!! ВИРУСЫ

Сообщение **Leng** » 07 окт 2007, 22:36

В настоящий момент страницы форума заражены вирусом.
Вирус представляет опасность только для тех кто пользуется IE, и у кого недостаточно хороший (нелегальный/без регулярных обновлений вирусной базы/и т.п.) антивирус. Те кто не пользуется IE могут не беспокоится.

Аш-Какай, вирус мог попасть на страницы только через компьютеры тех, кто имеет непосредственный доступ к файлам форума - мне известны только два человека - я и Вы и у меня вируса нет. Тщательно проверьте свой компьютер прежде чем обновлять файлы на сайте. Текущие файлы форума я сейчас проверю

Сообщение **Oldman** » 07 окт 2007, 22:46

Leng писал(а):Вирус представляет опасность только для тех кто пользуется IE

Поясните его опастность!!!

мой антивирус словил трояна при попытке залогиниться. :zloba:

Сообщение **Арёл** » 07 окт 2007, 23:05

медведиха
Попробуй скачать NOD32, тока чтоб его установить надо сначала все антивирусные программы снести :yesyes:

Добавлено спустя 1 минуту 3 секунды:

Leng
Из-за этого весь Форум тормозит?

Сообщение **Ellenna** » 07 окт 2007, 23:06

Антивирус тоже словил трояна при заходе на форум уже под логином через Firefox. К тому же мне было настойчиво предложено скачать новый Codec с неизвестного адреса. Нажав Cancel попадала на то же предложение, нажав OK антивирус ловил вирус.

Арёл
это что такое?
у мну недавно полетел жесткий диск( вместе с блоком питания)
теперь учусь своему компу снова :zloba:

Добавлено спустя 21 секунду:

Ellenna
тоже самое :zloba:

Сообщение **Арёл** » 07 окт 2007, 23:09

медведиха
http://www.nod-32.ru/

Сообщение **Oldman** » 07 окт 2007, 23:10

У меня Dr. Web его ловит, а толку чуть! Аш-кАкай ищи лекарство!

Арёл
да-да, спасибо, яндекс уже подсказал. :yesyes:

хорошая штука?

Добавлено спустя 1 минуту 4 секунды:

боюсь, что завтра на работе админы закроют сайт, если будут ловиться вирусы :(((

Сообщение **Арёл** » 07 окт 2007, 23:13

У мну на всех компах стоит!
Обновляецца каждый день, даже триальная версия...
А потом мона и крякнуть...

Сообщение **Leng** » 07 окт 2007, 23:21

На настоящий момент все форумные скрипты/страницы проверены и вычищены от вируса.

Аш-какАй, вот полный список зараженных файлов:

Код: Выделить всё

index.php
login.php
admin\index.php
attach_mod\index.htm
attach_mod\includes\index.htm
cache\index.htm
db\index.htm
includes\index.htm
includes\auth.php
language\index.htm
language\lang_english\index.htm
language\lang_english\email\index.htm
language\lang_russian\index.htm
language\lang_russian\email\index.htm
mods\phpbb_fetch_all\index.html
mods\phpbb_fetch_all\addons\index.html
mods\phpbb_fetch_all\examples\index.html
templates\subSilver\index.htm
templates\subSilver\admin\index.htm

Нефорумные страницы похоже затронуты не были - однако полной гарантии дать не могу - для тотальной проверки желателен не фтп доступ, а полноценная командная строка - так очень тяжело.

Добавлено спустя 4 минуты 15 секунд:

Oldman писал(а):Поясните его опастность!!!

Вирус представляет из себя разновидность downloader-а - сам он неопасен, однако его функция (если он получает управление на себя) скачать с evil-сайта другой вредоносный код который уже может быть любым - как правило это уже полноценные трояны, которые позволяют злоумышленникам получить полный контроль над вашим компьютером.

Сообщение **Oldman** » 07 окт 2007, 23:22

Leng, спасибо за коментарий.

Сообщение **Leng** » 07 окт 2007, 23:22

Арёл писал(а):Leng
Из-за этого весь Форум тормозит?

Вполне возможно.

Сообщение **Арёл** » 08 окт 2007, 00:03

Обнаружил. что када форум тупит с открытием, он ожидает ответа от robotraff.com :idontknow:

Кто это?

Сообщение **Leng** » 08 окт 2007, 00:57

Нда, прошло 40 минут, а файлы которые я вычищал снова заражены, и кстати уже не только форумные. :zloba:

Аш-какАй, Если Вас в течении этих 40 минут в интернете не было - срочно меняйте пароли доступа.

Добавлено спустя 18 минут 21 секунду:

Вынужден констатировать, что вновь заражены все индексные файлы на этот раз уже во всех директориях, а не только в форумных. Вычищать их смысла уже не вижу - очень трудоемко - и для начала надо причину заражения устранить.

Аш-какАй, будете вычищать - ищите в файлах конструкции начинающиеся с

Код: Выделить всё

{script}eval(unescape("

удалить надо всё что начинается с этой конструкции и заканчивается закрывающим тэгом {/script} - имейте ввиду я использовал здесь фигурные скобки вместо угловых потому что форум не дает пользователю ввести угловые

Добавлено спустя 27 минут 59 секунд:

Основные форумные файлы и главную страницу я всё же подчистил, чтоб хоть форум читать IEшникам спокойно можно было - не знаю к сожалению надолго ли (пока источник заражения не найден то).

Добавлено спустя 6 минут 26 секунд:

Арёл писал(а):Обнаружил. что када форум тупит с открытием, он ожидает ответа от robotraff.com Кто это?

Это вполне легальный сайт - предназначен для обмена траффиком и за счет этого зарабатывании хоть каких-то средств на нужды хостинга. Действительно он несколько подтормаживает - но видимо ссылка на него нужна сайту.

О-О-О, вон оно как. То-то у меня вчера окошечко антивирусника стало выскакивать. А там, зараза, все не по нашему ( :shame:

). Я на все кнопки потыркала, что-то стало происходить. Потом комп перезагрузился. И все нормально, вроде. По крайней мере окошечко больше не выскакивает.

-, вчера сам увидел что творится какая-то фигня - просило скачать какую-то приблуду (как уже писали выше) потом увидел что в статусной строке идет соединение с robotraff.com - это меня вообще насторожило. И в тот момент когда мне Oldman сообщил что на форуме вирус - мой "любимый" интеренет провайдер СТРИМ отключил соединение и более до часу ночи соединиться с интернетом не получалось. :zloba:

Мне только и оставалось что получать смс-ки от Орла что на форуме жОпа и что Leng что-то предпринимает для исправления ситуации.
Помимо меня и Leng-а к форуму имеет доступ еще один программист с Украины. Выяснять чей это подарок - не имеет смысла. У меня стоит Dr. Web, но я ему не очень-то доверяю. Так что запросто может это и мой троян.
Какие-то меры могу предпринять только вечером, сейчас нужно узнать по-крайней мере - нужно ли отключить форум? К сожалению с вирусами я не дружен и до сих пор настолько глобальным образом я с ними не сталкивался.
Leng, нужно ли отключить форумы?

Сообщение **Natasha** » 08 окт 2007, 09:52

Женечека, у меня было тоже самое.......всплывало окно на верху и еще предлагалось все время что то загрузить.....признаюсь, тыркала на все подряд т.к. комп ни на что не реагировал......Потом просто пришлось снять все задачи.

Leng Может быть такое, что вирус все же занесли пользователи форума?

Leng писал(а):Это вполне легальный сайт - предназначен для обмена траффиком и за счет этого зарабатывании хоть каких-то средств на нужды хостинга. Действительно он несколько подтормаживает - но видимо ссылка на него нужна сайту.

Ничего такого быть не должно. Сайт отбивается засчет Директа в шапке и более ничем. :zloba:

Сообщение **Leng** » 08 окт 2007, 11:16

Аш-какАй писал(а):Leng, нужно ли отключить форумы?

Нет не нужно, после моей повторной чистки и смены пароля, дальнейшее заражение похоже прекратилось. Теперь надо только пройтись по всем php, htm и html файлам и вычистить оттуда всю заразу - форумные файлы я вчера почти все повторно вычистил.

Natasha писал(а):Leng Может быть такое, что вирус все же занесли пользователи форума?

Нет такого быть не может.

Аш-какАй писал(а):Ничего такого быть не должно. Сайт отбивается засчет Директа в шапке и более ничем.

Значит на нём (роботрафф) зарабытывают (за счёт нас) создатели вируса - заражая другие страницы и за счёт этого по сути воруя чужой траффик. :zloba:

Добавлено спустя 6 минут 8 секунд:

Аш-какАй писал(а):Помимо меня и Leng-а к форуму имеет доступ еще один программист с Украины. Выяснять чей это подарок - не имеет смысла.

Судя по тому что заражение прекратилось сразу после смены пароля - скорее всего он был похищен, вероятно трояном.
Узнать от кого было заражение, стоило бы - чтобы чётко знать что канал проникновения вируса перекрыт. Узнать несложно - нужны логи фтп-шного доступа (их можно запросить у провайдера) - по ним я смогу сказать с какого IP адреса была вирусная атака.

Сообщение **Tesoro** » 08 окт 2007, 11:22

-..как обычно всё пропустила...заходила на сайт на выходных...ничего вроде антивирус не ловил...странно :khmmm:

Только подозрительно тихо вокруг...народу практичеки никого... :popcorn:

....диверсия прям какая то...
Интересно а как узнать словила я чего нить на домашний комп или нет? Стоит Antivir PE :zloba:

Но в самый разгар событий на сайте лазила и ничего не вылавливалось :khmmm:

Гарик · Сообщение **Гарик** » 08 окт 2007, 11:23

Leng Узнайте пожалуйста, а то у меня сомнения большие- мне кажеться я уже словил его, а человек по компу только в пятницу придет проверять! Перезаражаю все и всех!

Leng
Спасибо большое! С меня при встрече пыво!!! :beer:

Сегодня вечером буду искать где собаки порылись! К сожалению не знаю как пользоваться команд. строкой на UNIX. (я так понимаю что это вы про SSH говорили?). Поэтому буду искать руками, хотя SSH доступ есть! :zloba:

И еще, не открывается http://qashqai-city.ru/apanel/login.php - страница доступа к админ. панели всего сайта! :(((

Видимо там тоже уже успели похозяйничать трояны?

Гарик · Сообщение **Гарик** » 08 окт 2007, 11:27

А если я пошлю сообщение, по нему можно определить есть вирус от меня или нет? :idontknow:

Leng писал(а):Судя по тому что заражение прекратилось сразу после смены пароля - скорее всего он был похищен, вероятно трояном.

У меня пароль хранится в трех местах:
1) В файле с названием pswd.txt

2) В настройках Total Commander (мой основной FTP агент)
3) В настройках DreamWeaver (мой Wysiwyg редактор + дополнит. FTP агент).
Откуда скорее всего он мог украсть? :zloba:

Leng писал(а):нужны логи фтп-шного доступа (их можно запросить у провайдера)

Сегодня вечером запрошу. Возможно что они есть и в панели управления площадкой - надо глянуть! :gotov:

Гарик · Сообщение **Гарик** » 08 окт 2007, 11:32

Tesoro Я вчера весь вечер бился , то одна фигня, то другая, а табл. Троян выскакивала раз десять!! Я боролся-боролся, но не знаю, вдруг он залез и теперь я источник заразы тоже!?! :(((

Leng писал(а):Судя по тому что заражение прекратилось сразу после смены пароля

Кстати, у меня интернет отрубился примерно в 20.30 - после этого я вообще не мог подключиться по вине STREAM и весь вечер смотрел ТВ. Если примерно в это время вы вылечили все файлы а потом вирус вновь атаковал - значит ли это что атака не могла быть с моего компьютера???

Сообщение **Tesoro** » 08 окт 2007, 11:36

Гарик писал(а):Tesoro Я вчера весь вечер бился , то одна фигня, то другая, а табл. Троян выскакивала раз десять!! Я боролся-боролся, но не знаю, вдруг он залез и теперь я источник заразы тоже!?!

А мне вот странно что у меня никаких табличек антивирусных вообще не вылезало...вот это и настораживает..

Гарик писал(а):вдруг он залез и теперь я источник заразы тоже!?!

Гарик, проверь весь комп. Если у тебя выскакивало сообщение то если даже он и попал на локальный компьютер, то полная проверка должна определить это. :yesyes:

Гарик · Сообщение **Гарик** » 08 окт 2007, 11:41

Аш-какАй Только я не умею! А до пятницы так далеко! Сегодня утром шло обновление Аваста, после этого ничего не выскакивало, и вообще сегодня (сейчас) все нормально! А вчера в форуме постояно сбоило! :yesyes:

Nissan Qashqai Клуб

ОСТОРОЖНО!!! ВИРУСЫ

ОСТОРОЖНО!!! ВИРУСЫ

Кто сейчас на конференции