PDA

Zobacz pełną wersję : Trojan.JS.Agent.axl - przywracanie strony i baza danych



allrunner
22-12-2009, 09:24
Witam.

Witryna, którą się zajmuje została zainfekowana tym wirusem Trojan.JS.Agent.axl (http://www.viruslist.pl/find.html?VN=Trojan.JS.Agent.axl). Nie znalazłem jeszcze żadnych informacji na jego temat poza tą, że nadpisuje pliki indeks na serwerze i korzysta z haseł i loginów zapisanych w programach FTP.

Jeżeli okazałoby się, że baza danych jest nienaruszona to miałbym szansę na przywrócenie strony. I tu pytanie: czy istnieją programy do wykrywania podejrzanych zmian w rekordach mysql?

Z góry dzięki za wszelkie wskazówki.

big_krzysiek
22-12-2009, 11:15
witaj!
czy ten wirus, to nie jest odmiana lub ten sam, co rozprzestrzenia sie poprzez tc (http://forum.joomla.pl/showthread.php?t=26197)?

nikszal
22-12-2009, 11:36
W tej sytuacji nie ryzykowałbym przywrócenia bazy z kopii, którą posiadasz. Chyba, że masz wcześniejsze kopie, sprzed infekcji. Na razie możesz pobrać skrypt (nie jest mojego autorstwa) i sprawdzić daty modyfikacji plików. Pytaj administratora serwera, czy posiada backupy. Radzę też zmienić klienta FTP na coś bardziej profesjonalnego, do którego takie g.......a rzadziej się podczepiają.

allrunner
22-12-2009, 17:12
niszkal dzięki za wstawkę. Co do klientów FTP to korzystałem z darmowych takich jak Total Commander, SmartFTP i Free Commander. Ten ostatni nie zapisuje danych takich jak loginu i hasła co ponoć było podstawą do tego aby uniknąć infekcji. Myślę, że komercyjne oprogramowanie też by było podatne na zagrożenie. Co do backup'u admina to jest jedyne rozwiązanie. Czekam na jego odpowiedź.

big_krzysiek to z pewnością jest odmiana tego samego wirusa z linku, który podałeś. Kod jaki był doklejany do plików index jest taki sam jaki użytkownicy postowali. Zanim Kaspersky (u mnie i nie tylko) wykrył zagrożenie na serwerze były tylko dwa pliki z tym kodem. Po usunięciu ustrojstwa z tych 2 plików strona odzyskała pełną funkcjonalność. Zaraz po tym utworzyłem w JoomlaPack kopie całej witryny. Po rozpakowaniu backup'u niestety okazało się, że na około 5000 plików prawie 700 zostało zainfekowanych. Według KAV nazwa wirusa to Trojan.JS.Agent.axl (http://www.viruslist.pl/find.html?VN=Trojan.JS.Agent.axl). Niestety nadal bez żadnych informacji na jego temat.

nikszal
22-12-2009, 17:22
Myślę, że komercyjne oprogramowanie też by było podatne na zagrożenie. Używam CuteFtp Pro i jak na razie 'wpadki' nie zaliczyłem.

allrunner
22-12-2009, 17:41
nikszal też kiedyś korzystałem z CuteFTP. Jak na tą chwilę przy stawianiu witryny na nowo nie widzę sensu aby korzystać z poprzednich klientów więc cFTP znów wykorzystam (takie zabezpieczenie pro forma).

Czekam na wskazówki innych użytkowników, którzy uporali się z tym problemem. Za wszelkie info wielkie thx :)

zwiastun
22-12-2009, 17:50
Uporanie się:
1. Sprawdzenie i ewentualne wyczyszczenie bazy danych
2. Odtworzenie witryny z pakietów instalacyjnych na lokalnym serwerze testowym
3. Podmiana bazy danych
4. Przeniesienie na serwer.