Вирус- связанные файлы

[geval 3]

при заходе на главную страницу магазина- пишет троян.. в ифрэйме, буквально в одном файле..

зараза была в конце- в файле index.php, в logon.php, но не помогло..все равно троян.

прочесал несколько файлов,  в папке includes, которые вызываются из индекса, также в templates, там не нашел..

вопрос- в каких еще файлах может быть, то есть какие файлы участвуют в формировании главной страницы index.php?

да и на будущее думаю многим пригодится, ибо троянцы любят такое дело..

[support 447]

Вроде нет больше, а ты посмотри по дате изменения файла.

[geval 3]

в том то и юмор, что по дате не помогает. дата одинаковая- а касперский ругает.. уже просмотрел все что только можно..там ведь еще файлы из includes какие-то участвуют- но в той папке все нормально.. может какой то бокс из шаблона-но тоже вроде все в норме..

[evk 0]

была та же проблема, поймал троян.

Короче смотри все файлы типа index.html, они есть даже в картинках, просто возьми с самого начала и проверь все файлы, после этого к хостеру, пусть ещё у себя посмотрит. Потом меняй все пароли от ФТП и если не знаешь другого способа то переустанавливай винт - я только так и избавился.

[ABerezin 0]

Этот вирус обсуждают уже год на всех форумах, включая даже searchengine.ru.

Троянская программа, которая похищает конфиденциальную информацию пользователя. Является приложением Windows(PE-EXE файл). Размер компонентов троянца варьируется от 39 до 48 КБ.

Инсталляция

При запуске троянец извлекает из своего тела следующий файл:

%System%\msvcrl.dll - имеет размер 39 424 байта, упакован с помощью UPX.

Троянец получает путь к установленному Internet Explorer и изменяет файл iexplore.exe, добавляя в его таблицу импортов импорт из библиотеки

%System%\msvcrl.dll.

После чего троянская библиотека будет загружаться при каждом запуске Microsoft Internet Explorer.

При этом оригинальный файл троянца удаляется.

Деструктивная активность

Троянец похищает пароли на учетные записи из файлов данных следующих клиентов мгновенных сообщений:

QIP2005

Trillian

MSN Messenger

Yahoo Messenger

AOL

Miranda

Также троянец похищает пароли к FTP серверам из файлов конфигурации следующих FTP клиентов:

WS_FTP

Total Commander

CuteFTP

FAR

Похищает пароли к учетным записям электронной почты из файлов настроек следующих почтовых клиентов:

TheBat

Outlook Express

Outlook

Также троянец похищает словарь IE Auto Complete Fields.

Троянец устанавливает перехватчики на API функции для работы с сетью интернет:

InternetReadFile

InternetOpenURL

с помощью которых следит за посещаемыми пользователем Интернет сайтами. Также троян перехватывает отсылаемые Internet Explorer данные из полей ввода на web-формах.

Кроме того при открытии в Internet Explorer адресов, которые попадают в заложенный внутрь троянца список, троян осуществляет перенаправление запросов на сайты злоумышленника.

Собранную на компьютере пользователя информацию троянец отправляет на сайт злоумышленника в параметрах HTTP запроса.

Схема заражения довольно проста: достаточно зайти на зараженный сайт и при стандартных настройках безопасности браузера, вирус автоматически установится на компьютере пользователя. После этого он начинает отслеживать логины и пароли от FTP, высылая их злоумышленникам. Собрав определенное количество паролей, запускается специальная программа, которая подключается по FTP к каждому сайту и встраивает в начало или конец индексной страницы собственный html-код.

Не использующим контрацептивы помогает HaxFix:

Скачайте Haxfix и установите, после запуска из меню выберите 2. Run auto fix

[skh 0]

Тоже заразился. Очень долго мучался. Удалял все коды, чистил все файлы, не помогло, пришлось удалить все файлы на хосте и залить заново с бэкапа весь сайт.

[support 447]

Если не почистишь комп, то это ведь не поможет, пароли опять уплывут и опять будут заражать файлы.

[skh 0]

Прочистил комп с помощью бесплатной утилиты CureIt от drweb, нашел пару вредителей в кэше, убил, но, пароли уплыли не от меня, это точно, а от фирмы которая промоутом моего сайта занимается.

И взял за привычку не сохранять пароли ftp и mail на компе. Пусть они будут уж лучше на бумажке, туда то им не добраться )

[ABerezin 0]

А зачем промоутеру доступ к фтп? Темплейты править?

[skh 0]

Для поддержания сайта на первых местах в поисковиках они закачивают постоянно какие то бяки. Это было их обязательным условием.

[support 447]

skh

Просто в качестве флейма, я вот например под линуксом сижу и такой проблемы с вирусами и прочей какой здесь нет в принципе.

[skh 0]

Линукс конечно крут, тем не менее с виндой глюкованной как то всё привычней, к сожалению конечно.

[ABerezin 0]

Для поддержания сайта на первых местах в поисковиках они закачивают постоянно какие то бяки. Это было их обязательным условием.

А какие именно "бяки" и куда они сказали?

P.S. И что, действительно вывели и держат на первых местах? За какой срок?

[skh 0]

Бегущая строка внизу страницы, см. www.4runner.ru и срок раскрутки 3 месяца. Реально ребята работают и вывели на первые места в яндексе по словам которые были мне необходимы.

[ABerezin 0]

Круто! Они Вас используют как рекламную площадку для обмена ссылками.

<center><span style="" onclick="location='http://NetPromotion.Ru'" title="Продвижение сайта в поисковых системах на первые места!">Продвижение сайта — <b>NetPromotion.Ru</b></span> (<span class="eoc"><marquee behavior="alternate" scrollamount="1" style="width: 400px;">благодарим Вас за каждый Ваш визит, надеемся, что материалы нашего сайта сфокусируют Ваши интересы <a href="http://4Runner.Ru">кенгурины пороги и продажа кенгуринов</a>. <p style="display: inline;">предлагаем Вашему вниманию <a href="http://EcoOkna.com">Окна пвх и Цены на окна</a>. поздравляем всех с праздником Сергия Радонежского! <a href="http://GeServis.Ru">daewoo ремонт и холодильники daewoo</a>. в интернете Вы также найдёте других наших друзей <a href="http://www.TourAgent.Ru">поездка в Израиль и погода в Израиле</a>. на правах рекламы о сайтах наших партнёров <a href="http://www.Inv-S.Ru">коммерческая недвижимость подмосковье и торговые помещение Мытищи</a>. наша компания с радостью приветствует Вас <a href="http://Vuokatti-DOM.Ru">дом из клееного бруса и деревянный дом под ключ</a>. финансовая информация: индекс российской торговой системы на сегодня 2120.29 (-0.32%) на 15:59 <a href="http://www.Alon.Ru">частотный преобразователь и конвейер</a>. эти и другие услуги Вы можете заказать, перейдя по соответствующей ссылке <a href="http://www.EkoOkna.Ru">Производство пластиковых окон и Остекление балконов</a>. здравствуйте, наш потенциальный клиент <a href="http://InternetPromoter.Ru">продвижение сайта: продвижение сайта и поисковая оптимизация сайтов</a>. следите за погодой в режиме реального времени с помощью этой рекламной строки <a href="http://www.Eleks-N.Ru">первичное жилье и квартиры в новостройках продажа</a>. бегущая строчка нашего сайта опишет род нашей деятельности <a href="http://NetPromotion.Ru">продвижение сайта: цена сайта и студия web дизайна</a>. время по Гринвичу 14:50 <a href="http://UlexTrans.Ru">грузовые перевозки по Москве и грузовые автоперевозки</a>. московское время 18:50 дата 24-10-2007 <a href="http://www.InterStock.Ru">торговля опционами и future</a>. </p></marquee></span>)</center>

В ФФ это выглядит странно

[support 447]

:)

[skh 0]

Да это я знаю. Это повышает ИЦ моего сайта. Главное результат, а он меня удовлетворяет. :)

[Shabba 0]

и как магазин, работает? много заказов?

[TITOFF 0]

Да это я знаю. Это повышает ИЦ моего сайта. Главное результат, а он меня удовлетворяет. :)

Данный метод раскрутки - кратчайший путь в БАН поисковой системы. Заканчивайте работу с этими, простите ухарями. ИЦ поднимать лучше белымим методами, ваш медот черный!!

[matvey 0]

+1

Очень плохо что ссылки разных тематик, а некоторые очень напоминают мне ссылки с Сапы: коммерческая недвижимость подмосковье и торговые помещение Мытищи. Есть и пластиковые окна и еще черт знает что. Они маскируют эти ссылки, но все равно поисковики научились их вычислять. А не дешевле бы было заказать ручной прогон или полуавтоматический прогон по тематическим каталогам с разными анкорами и описаниями, которые бы содержали в себе нужные Вам ключевые слова, а пиаристых ссылок прикупить на Сапе или Ксапе, тем более что там и тематика есть вроде-бы Авто. Самое главное, что если на Вас будут ссылаться с этих же сайтов (недвижимость, пластиковые окна), то это конечно не приведет к бану, но результат значительно меньший чем от тематических ссылок.

Это лично мое мнение и может не совпадать с мнением других.

skh, а если не секрет, по каталогам Вы сами проганяли или этот нетпромоутер? Беков по Яху не мало, и в поиске Яши Вы на первой странице!

PS. а Нетпромоутер ушлые ребята - одним выстрелом и сразу двух зайцев ;D!

[ABerezin 0]

очень напоминают мне ссылки с Сапы

У меня сложилось такое же ощущение.

это конечно не приведет к бану, но результат значительно меньший чем от тематических ссылок.

К бану могут привести "сокрытие" этих ссылок с помощью css. Но для этого кто-то должен "стукнуть".

Беков по Яху не мало

Если не секрет, то как ты беки считал? Через http://www.yandex.ru/yandsearch?text=%22*.4runner.ru%22 ?

PS. а Нетпромоутер ушлые ребята - одним выстрелом и сразу двух зайцев ;D!

Это точно! :)

Только я так и не понял, почему им был нужен полный доступ к фтп (а значит и ко всему магазину со всеми данными и прочей требухой). Это полностью нарушает все известные принципы безопасности. Чтобы менять кусок html-кода в футере можно воспользоваться другими способами - от примитивного ssi или <?php php include(); ?> (дать доступ к специально выделенной директоии) до php+mysql.

Это всё так, разговоры, главное, что результат был достигнут! :)

[matvey 0]

[shadow=red,left]К бану могут привести "сокрытие" этих ссылок с помощью css. Но для этого кто-то должен "стукнуть".[/shadow]

Как сообщает служба Яндекса, то от стука, банится где-то около толи 2% то ли 5%, все остальное банится автоматом. Может понты, а может и правда!

[shadow=red,left]Если не секрет, то как ты беки считал? Через http://www.yandex.ru/yandsearch?text=%22*.4runner.ru%22 ?[/shadow]

Только проверял сервисами:

h**p://yaback.net (проверяет ссылки по Yahoo, а потом проверяет проиндексированы ли они Яндексом) - не знаю можно ли доверять подобному сервису - многие вебмастера не совсем довольны такой проверкой

h**p://seocheck.net - по этому сервису мне и показало что беков по Yahoo 1145, но как оказалось сайтов значительно меньше (кстати этот сервис позволяет проверять склейку на PR - тем кто занимается покупкой ссылок - очень удобная штука)

[shadow=red,left]Это всё так, разговоры, главное, что результат был достигнут![/shadow]

Согласен, ради этого мы все здесь собрались! :)

ABerezin, а Ваш метод тоже возьму на вооружение. Спасибо!

[ABerezin 0]

ABerezin, а Ваш метод тоже возьму на вооружение. Спасибо!

Не пугай! Какой метод? :) Я вроде никакого метода не рассказывал!

[matvey 0]

Не пугай! Какой метод?  Я вроде никакого метода не рассказывал!

Ну хотя-бы вот этот  "*.4runner.ru" в поиск Яши  ;)

[ABerezin 0]

Это не я, это Ашманов. Хотя от такого запроса тоже толку мало. :(