Снова о вирусах

zzzzz · 2007-06-06T18:16:33.0000000Z

Пытался найти поиском ответы, но у меня немного всё по другому. Ситуация такая, открываю я как то главную страницу своего сайта и вижу что подвал сайта(низ) как то не так выглядит как обычно, нажимаю на просмотр кода и о ужас, в самом низу расположилось около 160 внешних ссылок. Я в панике перезалил файл index.php и всё вродебы стало нормально, но потом начал думать о том что это было и сначала подумал на хостера, но мне в голову пришла мысль проверить другой свой сайт, находящийся на другом хосте и когда увидел тоже самое понял что это с моего компа туда попало. Я резко начал чистить комп nodom32 и нашёл несколько гадов, на скрине видно. Вот в связи со всем этим у меня вопрос к тем кто сталкивался с этим, ту ли я гадость поймал и что ещё надо сделать, чтобы это не повторилось.

IS

160

Igor-san

8 июня 2007, 18:15

#21

Да уж, туда лучше без свежего антивируса и фаервола не соваться (с Firefox еще ничего, но Опера и ИЕ хавают).

У Вас встроен код в iframe со ссылкой на полный вирусов сайт (http://pynet.ws_) - заходить не советую, рука устала жать кнопку "удалить" у Каспера :)

Рекомендации те же: меняй пароли на ФТП и чисти весь сайт - например, скачай на локалку и пусти поиск по маске iframe. Потом загружай обратно. Поставьте ловушку: киньте в папку пустой файл index.html (или php, htm, shtml - какой не используется на сайте), запусти через крон проверку на изменение файла. Если файл стал не пустым - значит вирус опять пробрался.

204

zzzzz

8 июня 2007, 22:13

#22

Да пришлось попотеть, эта собака (вирус) оказывается прятался не только в индексных файлах, ещё нашёл в home.php , main.php и распространился во всех папках, где были index.php ,home.php , main.php, даже в админках каталогов и досок объявлений, из за этого я и не мог понять в чём проблема.

Вобщем все файлы нашёл, перезалил, пароли ftp опять все поменял, теперь буду ждать появится или нет 😕

А подцепил я его походу дела благодаря где то скаченной базе каталогов для Allsubmitter, так что всем рекомендую сто раз проверить, прежде чем к себе на комп всякую гадость качать.

/////

JR

263

jED R.

14 июня 2007, 23:46

#23

Я тут на праздниках тоже заразу цепанул, именно эту но какая машина заражена не понял, не нашёл, наверное хостер всё таки чего то напартачил. Весь аккаунт завалило, все сайты, хорошо что только индексы.

Троян LD Pinch или подобный. Ложится в папку wndows по именем csrss.exe (не путать с csrss.exe, лежащем в папке
windows/system32). Прописывает себя в автозагрузку и использует в своих целях пароли от всех ваших фтп. Потом уже зная
пароли, заходит на все ваши сайты и добавляет в конец всех index файлов свой ифрейм. В худших случаях заменят все
содержимое index на свое.
Также замечено, что не трогает index-ы глубже второй подпапки на сервере. Т.е. ломает только в корне и на одну папку
глубже.
Drweb и Outpost его видят, но на самом деле не удаляют. Лучше всего в безопасном режиме зайти и удалить csrss.exe вручную
из папки wndows. Внимание! Такой же файл, лежащий в папке system32, а также процесс и упоминание в реестре являются
нормальными системными файлами. Будьте осторожны, не удаляйте из реестра csrss.Также необходимо проверить антивирусом cash
Вашего браузера и самое неприятное, сменить все пароли на фтп!
Если зайти на сайт с таким ифреймом снова, то можно опять похватить заразу!

Но избавился от него быстро 🚬

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

B

141

beep

15 июня 2007, 01:05

#24

Старый добрый пинч :)

Что делать, если ваша email-рассылка попала в спам

VK приобрела 70% в структуре компании-разработчика red_mad_robot