На сайте появиился троян

[Atmo 0]

Сайт www.atmoteam.ru

Помогите понять, куда прописался зверь и что делать в дальнейшем чтобы он не появлялся, заранее спасибо.

[demzyk 0]

Могли бы поиском воспользоваться таких тем не мало.

Смотрите файл index.php и проверьте компьютер на вирусы, пароли от ftp тоже следует изменить.

[leoxe 0]

на сайт не заходил : )

в index.php внизу айфрейм может быть, убейте его и смените все пароли на хостинге и т.п.

[Atmo 0]

Спасибо, попробую

Заменил индекс на индекс из резервной копии, проверьте кому не лень, у меня перестал антивирус орать, у товарища всеравно показывает, может он просто в базу неблагонадежных его внес?

[designf 0]

У меня вроде не руганулся каспер.

Еще бывает прописывает вирус строчки в шаблонах main.tpl

[leoxe 0]

все нормуль...

[Averom 0]

Я че то вообще не пойму,как такая инфекция попадает туда.Например у меня часто скриптами дописывает само какие то Г сайты с вирусами.У меня пасс 14 символов буквы и цифры без слов!

[guusr 19]

21.07.2009 8:26:46 http://www.atmoteam.ru/favicon.ico Firefox Запрещено: Trojan-Clicker.HTML.IFrame.aej

[Captain 623]

21.07.2009 8:26:46 http://www.atmoteam.ru/favicon.ico Firefox Запрещено: Trojan-Clicker.HTML.IFrame.aej

Тоже самое:

Kaspersky Internet Security 2009

В запрашиваемом объекте по URL-адресу:

http://www.atmoteam.ru/index.php

Обнаружена угроза:

объект заражен Trojan-Clicker.HTML.IFrame.aej

[КиберБулка 2]

Хм...

У мну анти вируса нету, но по коду могу сказать что есть чтото не то в жабе скрипт.

[baxus 49]

Да они вообще могут засирать файлы не только индекс и тпл... мне у подруги почти все файлы засрались, а причина "Такой вот не защищённый хостинг" тут не обязательно пароль виноват. Ну а ещё часто нули конечно так вот попадают.

[maks1192 96]

NOD32 (обновление 3 раза в сутки) - вирус не обнаружен...

Советы:

1) Заменить index.php с оригинального дистрибутива.

2) Если на ПК сохранён ваш шаблон (бэкап) - замените с ftp.

3) Пароли от FTP - минимум: 15. У меня: 25. Из: !"№;%:?**(), цифр и букв (латинских)

4) Пароль от FTP и от Административного Аккаунта держать разным видом!

5) Перепроверить права на запись по инструкции DLE.

6) Проверить Антивирусом DLE (в Админцентре), - если что заметит подозрительным - заменить из оригинального DLE

7) Не использовать Nulled (это так... мало ли

[dedugan 0]

NortonAntivirus заблокировал троян. Значит он там есть!

У меня подобная проблема. Версия движка 7.5

На "мозиле" выскакивает сообщение "Имеется информация, что этот сайт атакует компьютеры!" (baburxan.ru)

Пользователи также присылают сообщения на срабатывания антивирусов "Обнаружен троян!"

index.php проверил, там нет ничего лишнего.

На сервер по FTP ни кто не заходил (хостер проверял логи)

Пароли менялись буквально до этой проблемы за день-два.

Права на запись оригинальные

Антивирус DLE ничего нового не нашел.

Версия движка не Nulled

Что может быть еще? Есть варианты?

[celsoft 6 077]

Что может быть еще? Есть варианты?

реклама на сайте, отключите рекламу и посмотрите

[dedugan 0]

реклама на сайте, отключите рекламу и посмотрите

Пробовал, отключил ВСЮ рекламу, удалял по очереди сторонние скрипты, сохранял страницу в HTML, потом "резал" код.

Смешно, дошел до совсем пустой страницы... и на ней был вирус. Также на сайте есть шаблон, где нет ни единой рекламы и ни каких скриптов, но троян есть и там. Явно, что он прописан таким образом, чтобы открываться на любой странице где есть имя домена и что он не зашит где-то в файле. Интересно, что по FTP не было ни заходов, ни изменений, на сервер также посторонние не заходили... Зараза сидит везде, и на странице администратора (там нет рекламы) и в т опе, который находится на поддомене.

Сегодня перезалил полностью движок на версию 8.0...

Троян остался. Теряю пользователей с каждым днем, от нескольких тысяч, осталось несколько сотен, жду конца света (сайта)

Полундра! Я первый раз не знаю где искать, а ломают меня уже не первый десяток раз и всегда я справлялся с этим.

Помогите кто может хоть каким, даже бредовым советом, я и его бы попробовал...

Кстати кеш чистил, куки удалял...

[celsoft 6 077]

Явно, что он прописан таким образом, чтобы открываться на любой странице где есть имя домена и что он не зашит где-то в файле.

Так может быть просто ваш домен в черном списке антивируса.

[webturist 6]

Смените пароли на FTP и отсылайте обнаруженные гадости Касперскому.

Но сначала посмотрите в "стартапе", там добавляется эксешник, который стартует при запуске windows и запускает эксешники из Вашей операционной системы. Эти эксешники добавьте в архив и отошлите Касперскому.

Удалите FTP менеджер и установите его в нестандартном месте, тоесть на другом диске, в другой папке. Прежде чем входить по FTP - настройте его, чтобы не сохранял историю посещенных сайтов и паролей.

Храните пароли в другом месте.

Почистите Вашу ОС и переустановите все пароли от всего куда Вы входили, пока у Вас в системе были эти трояны.

[dedugan 0]

Так может быть просто ваш домен в черном списке антивируса.

Обязательно! Он в списке Гугла, который тесно работает с Мозилой и последняя проверяет как раз этот список и потом уже выдает запрошенную страницу. Это я знаю... Дело как раз в том, что я не нашел откуда загрузили и как, а значит это может повториться. Кстати сейчас вируса вроде нет. Проверял несколькими онлайн антивирусами, но в "черном списке" сайт провисит как минимум неделю, до следующего обхода робота. Если на тот момент вируса не будет, то браузер будет загружаться уже без этого предупреждения о заразе, а пока, я больше ничего не могу сделать...

Смените пароли на FTP и отсылайте обнаруженные гадости Касперскому...

Храните пароли в другом месте...

Почистите Вашу ОС и переустановите все пароли от всего куда Вы входили, пока у Вас в системе были эти трояны...

Это все, последствие. О котором я знаю и делаю периодически. Меня больше интересует откуда и как!

Но все равно спасибо за ответ!

[celsoft 6 077]

Это все, последствие. О котором я знаю и делаю периодически. Меня больше интересует откуда и как!

Это не последствия это и есть причины заражения компьютера и как следствие кражи паролей, имея доступ залить вирус это уже не проблема.

[webturist 6]

Это все, последствие. О котором я знаю и делаю периодически. Меня больше интересует откуда и как!

Это не последствия это и есть причины заражения компьютера и как следствие кражи паролей, имея доступ залить вирус это уже не проблема.

+1

dedugan, если Вас интересуют самые истоки заражения Вашего компьютера, а доступ получен с Вашего компьютера, то это другой сайт, содержащий iFrame в 90% случаев. +10 на все остальное: дыра в программном обеспечении сервера или скрипта; шелл, вшитый в нуленную версию; е-майл или крак с трояном и тому подобное.

Как это происходит? Вы или кто другой на Вашем компьютере вошел на сайт, в котором прописан iFrame, далее iFrame залил Вам на компьютер трояны, один из которых удачно прописывается в стартапе ОС, и при включении компьютера автоматически стартуя вызывает следующие трояны (как правило не один), которые заливаются в системную папку Вашего компьютера - Windows. Трояны воруют данные (логины и пароли с хостами) из папок, в которые их сохраняют FTP-менеджеры (пусть даже в зашифрованном виде), а также перехватывают символы, которые Вы набираете на клавиатуре. Ну и пересылают все это по прописанному в них назначению.

Почему антивирусы их не блокируют? Не знают действия всех эксешников, которые в системе. Здесь еще имеет значение какая именно защита у Вас установлена. Антивирусы + Файрволлы с логическим методом анализа более препятствуют выполнению сценария троянов, чем простые антивирусы типа Нода 32 и ему подобных Г-антивирусов.

Касперский Интернет Секьюрити, или же Касперский Антивирус + Агнитум Файрволл - наиболее справляются с неизвестными инфекциями, ввиду того, что у них есть логический отбор по действию аппликаций. Например: на компьютер проникла неизвестная аппликация, у которой есть цифровая подпись (а она у этой гадости будет, для того, чтобы защита компьютера прописала ее в группу "низких угроз"). Все. Трояны "дома" и будут делать свое дело. Логистический анализ КИС или Агнитум сообщит Вам о том, что аппликация ведет себя подозрительно и опишет ее действия (может ее и заблокировать в зависимости от настроек), но может быть уже поздно, Троян успеет что-то отослать пока Вы будете изучать "красную таблицу" логического анализа.

Что делать чтобы не украли пароли я уже писал - не храните их в ФТП-менеджерах, и не устанавливайте ФТП-менеджеры в стандартных папках. По крайней мере доступ к Вашему ФТП получен не будет, а остальное замените после чистки компа или переустановки ОС. Также делайте сложные пароли, включающие буквы верхнего и нижнего регистра, цифры и специальные символы, если таковые поддерживаются Вашей панелью.

Журналистам, размещающим новости на многих сайтах, вообще бы для своей работы виртуальный компьютер установить не мешало.

И еще, все эти эксешники Троянов пакуйте в винрар и отсылайте разработчикам антивирусов + файлволов.

А то, что сайт может заблокировать поисковик - так ясное дело. Если постоянно будет сидеть iFrame - то такие сайты и надо блокировать. После чистки напишите объяснительное письмо со всеми проделанными мероприятиями и если Ваш сайт не будет представлять угрозу - не сомневайтесь, Вам поверят и включат его в индексацию снова.

П.С. Если не заходили по ФТП - могли зайти с Вашей панели. Пароли от панели тоже перехватываются.

Изменено 23 июля 2009 пользователем webturist

[celsoft 6 077]

webturist,

Добавлю еще сюда нелегальное ПО, которое вы ставите на компьютер, которое может содержать вредоносный код, например вы ставите крякнутый FTP менеджер, то он с большой долей вероятности будет отсылать пароли злоумышленникам. Поэтому используйте либо легальный софт либо официально бесплатный, скачанный с сайтов разработчиков.

[webturist 6]

webturist,

Добавлю еще сюда нелегальное ПО, которое вы ставите на компьютер, которое может содержать вредоносный код, например вы ставите крякнутый FTP менеджер, то он с большой долей вероятности будет отсылать пароли злоумышленникам. Поэтому используйте либо легальный софт либо официально бесплатный, скачанный с сайтов разработчиков.

100% -ное добавление. Полностью согласен.

Устанавливал FlashFXP, крякнул, потом вычищал за кряком...

Такие вещи надо покупать или использовать официально бесплатные!

Поэтому я никогда не поставлю платный и зануленный скрипт, это не только ДЛЕ касается.

Нет денег на платное - используйте бесплатное.

[dedugan 0]

Все это безусловно очень познавательно и думаю не только для меня, кто-то вероятно также "намотает себе на ус" эту инфу...

Думаю вся эта бяка была именно на сайте и у всех, кто заходил, срабатывал антивирус.

На компе работаю один и доступ к нему крайне сложен напрямую. Мои "защитные" средства ничего подозрительного не находят, да если честно, то вряд ли, что-то залили именно с помощью шелла. Емайл также думаю тут не при чем. FTP-менеджер тоже не очень подходит, также как и кража чего либо, или паролей...

Мне кажется тут все таки произошло все по вине партнерских ява скриптов, над которыми я точно не имею контроля и что там вшито в них известно только владельцам.

Скорей всего так и было, но тут опять же "вилка". Просто убрать их не реально, т.к. и за сервер и за лицензии разные, надо естественно платить, а там хоть какие копейки, но капают...

А по поводу "упаковки" троянов, в моем случае я их даже не нашел, поэтому и отсылать нечего, прочем также как и iFramов, я уже писал, что на FTP ни кто посторонний не заходил, да и вообще ни кто, кроме меня туда не заходит. Это было бы видно в логах и дате изменений файлов. Короче и там все чисто и ничего лишнего...

[webturist 6]

dedugan, так сложности в определении месторасположения трояна? Тоесть, как я понял сайт чист, тоесть все чисто, кроме сторонней рекламы?

[dedugan 0]

Точно! Только теперь и трояна тоже нет (судя по онлайн анивирусам и другим системам которыми я искал его).

Поэтому и местоположение и то, как он попал на сайт уже не известно и это самое плохое. Дыры-то я не нашел!

Самое обидное то, что нельзя избавиться от предупреждения возникающего в "лисе", до следующего обхода робота...