Вирусная атака

kest 2010-08-12 12:28:26 UTC #1

так на каждой странице вверху. появилось сегодня утром.

Black_Priest 2010-08-12 13:31:40 UTC #2

ХЗ, ничего не менял уже несколько месяцев...
Разбираемся, отправил вопрос на конфу поддержки...

Black_Priest 2010-08-12 14:23:43 UTC #3

Плохо дело, троян на форуме: phpbbguru.net/community/post ... ml#p288599
Советую обновить антивирусные базы.
Боремся...

kest 2010-08-13 06:42:47 UTC #4

вроде заработало нормально.

ЗЫ сервер этого форма основан на винде и кто-то им пользуется для серфинга по интернету?

Black_Priest 2010-08-13 07:11:12 UTC #5

Вроде победил...

Схема заражения:
1. Троян откуда-то из глубин интернета попал на мой домашний комп, NOD23 даже не пискнул!
2. Стырил, сука, из ТоталКомандера ФТП пароль на сайт (никогда не храните пароль в фтп-менеджерах!!! лучше уж на бумажке)
3. Инициировал ФТП-сессию на smolensk-velo.ru и приписал ко всем файлам index.* вредоносный скрипт
4. После этого прибил на компе IE и Оперу.

Схема лечения:
0. Сменил все пароли
1. Из Билайновской локалки скачал Avast и Оперу
2. Вычистил комп от вируса.
3. Вручную почистил все измененные файлы (около 30)
4. Написал письмо хостеру, хотя он и не виноват.

не доверяйте НОДУ!!!!!

[color=#008000]

Про вирус ушло в отдельную тему

[/color]

Mr_Zet 2010-08-13 08:59:43 UTC #6

КИС спалил его сразу.
12.08.2010 15:32:54
Заражен вирус HEUR:Exploit.Script.Generic stagepause.****/jquery.jxx?v=5.3.4 Высокая

13.08.2010 12:54:14
Заражен вирус HEUR:Exploit.Script.Generic clockledge.****/jquery.jxx?v=5.3.4 Высокая

Не давал авторизоваться, зарегиться заново тоже не мог, капча не отображалась.
Каспер до сих пор плюётся!

kest 2010-08-13 09:28:11 UTC #7

ага, у меня тоже каспер его видел. только ничего не сказал мне, а в логах всё есть

Black_Priest 2010-08-13 09:37:41 UTC #8

А на что сейчас (какие странички) каспер плюется? видимо не все зачистил.

Mr_Zet 2010-08-13 09:41:29 UTC #9

Вылезает всё на главной.

kest 2010-08-13 09:55:18 UTC #10

в конце на главной

apx 2010-08-13 12:03:40 UTC #11

у меня MSE тоже ругался. сейчас молчит.

dracoola13 2010-08-14 11:37:59 UTC #12

Аваст все еще вылавливает на главной.
Объект:
index.php|>{gzip}

Заражение: HTML: Script-inf

Объект: Mealpoets.ru/file_extension.jr
Заражение: URL: Mal

Neeerw 2010-08-15 20:52:58 UTC #13

avg тоже ловит на главной. И google chrome блокирует странички

apx 2010-08-16 04:09:55 UTC #14

ничего хром не блокирует. по крайней мере стабильная ветка, 5.0.375.126

dracoola13 2010-08-16 04:39:10 UTC #15

У меня опера не дает входить на главную только. index.php
Все остальные открывает.

Neeerw 2010-08-16 06:50:59 UTC #16

Внимание! Посещение этого сайта может нанести вред вашему компьютеру.
Веб-сайт smolensk-velo.ru содержит элементы с сайта sackball.ru, на котором, судя по всему, размещено вредоносное ПО – программы, которые могут нанести вред вашему компьютеру или выполнять действия без вашего согласия. Даже простое посещение сайта, на котором размещено вредоносное ПО, может привести к заражению вашего компьютера.
Более подробную информацию о неполадках с этими элементами можно найти на странице Google Страница диагностики безопасного просмотра для домена sackball.ru.
Подробнее о том, как защититься от вредоносного ПО, распространяемого в Интернете.
Я осознаю, что посещение этого сайта может нанести вред моему компьютеру.

Вот что хром пишет, сборка 5.0.375.126.

kest 2010-08-16 09:05:24 UTC #17

я уже говорил где проблема. на главной странице внизу самом висит вот такая кака:

когда её уберут все станет норм

Black_Priest 2010-08-16 12:10:33 UTC #18

/forum/index.php

давно почищен, видимо он у тебя откуда-то из кэша берется...

11115 2010-08-16 12:27:12 UTC #19

у меня аваст не даёт доступ на форум пришлось отключить

apx 2010-08-16 13:05:41 UTC #20

чистим кэш и куки