Od paru dni próbowałem zlokalizować wirusa na mojej stronie - bezskutecznie. Zdecydowałem więc, że skasuję całą zawartość katalogu i zainstaluję Joomlę jeszcze raz.
Tak też zrobiłem. Problem polega na tym, że katalog domeny jest pusty a w dalszym ciągu NOD (oraz AVAST na drugim kompie) pokazują mi komunikaty o wirusie a dokładniej JS/TrojanDownloadre.HackLoad.Downloader AD koń trojański. Zmieniłem hasła dostępu, wykasowałem cache przeglądarek itd...
Liczę, że ktoś mi podpowie co mogę jeszcze zrobić.
Adres strony - www.allen-carr.pl (http://www.allen-carr.pl)
Strona umieszczona na serwerze NetArt - Provider
pozdrawiam
pyziak
31-08-2010, 22:43
Zgaduje że do wrzucenia plików nowej Joomla na serwer użyłeś Total Commandera ?
dariusov77
31-08-2010, 22:52
Jeszcze nowej joomli nie wrzuciłem. na chwilę obecną katalog jest pusty. Do ftp używam File Zilla. nią właśnie kasowałem dotychczasową stronę.
Dodam, że serwer jest ustawiony tylko na moje IP i innego podobno nie zaloguje.
pyziak
31-08-2010, 22:56
Skasowałeś i dalej jest Wirus ? , chyba nie ma :) , u mnie nic nie pokazuje tylko [403] Forbidden : Dostęp zabroniony, dla pewności skasuj cały katalog public_html czy jaki tam masz do www
dariusov77
31-08-2010, 23:40
Na tym serwerze nie mam public_html. Mam za to katalogi które są nazwami domen. niestety ale taki katalog mogę usunąć jedynie z panela zarządzającego serwerem - a to się wiąże z jednoczesnym usunięciem kont pocztowych oraz baz danych przypisanych do domeny. Poprosiłem admina serwera o przywrócenie strony z backup'u. Spróbuję jeszcze poszukać tego g.... Sprawa jest jeszcze o tyle dziwna, że po skopiowaniu całej strony na kompa i przeskanowaniu jej NOD'em nic się nie pokazało. Wnioskuję że antyviry wykrywają tego trojana dopiero jak strona jest uruchomiona na serwerze. Ale mogę się mylić. Nod podawał mi ścieżkę dostępu do zainfekowanego pliku którego nie miałem we wskazanym miejscu. Dodam że sprawdzałem również katalogi templat'ów.
zwiastun
31-08-2010, 23:49
A co na to administracja serwera? (tzn. na fakt, że z "pustego" katalogu emitowany jest wirus)
dariusov77
31-08-2010, 23:57
Administracja mi odpisała że nie mają możliwości sprawdzenia takiego faktu. Wcześniej zgłaszałem im ten fakt, tzn o wirusie i odpisali mi tak:
Niestety nie świadczymy usług skanowania
serwerów programami antywirusowymi. Proponuję sprawdzić jaki plik/skrypt program
antywirusowy zgłasza jako niebezpieczny, lub pobrać zawartość strony i
przeskanować ją lokalnie na komputerze.
dariusov77
19-09-2010, 20:08
Witam ponownie
Dzisiaj zauważyłem jeszcze jedną rzecz. Otóż problem nie dotyczy jednej domeny na tym serwerze lecz wszystkich jakie są na nim dopisane (7). Utworzyłem sub domenę w adresie www.test.allen-carr.pl (http://www.test.allen-carr.pl) której katalog jest pusty. Jednak NOD w dalszym ciągu wykrywa trojana. Mam również na tym serwerze domenę www.palenie.com.pl (http://www.palenie.com.pl) także z pustym katalogiem - problem ten sam. Myślałem, że może moje komputery mają problem więc poprosiłem kolegę aby mi to sprawdził na swoich. Na pierwszym z programem AVG nic mu nie pokazało ale już na drugim z Kaspersky problem się potwierdził. Napisałem do Netart maila z pytaniem "jak to możliwe, że puste katalogi domen generują trojana?" ale jeszcze nie dostałem odpowiedzi. Jak tylko mi odpiszą to umieszczę na forum. Może komuś to się przyda.
PS. Jeżeli ktoś miał podobny problem i się z nim uporał to proszę o pomoc.
Pozdrawiam
tomaszek83
19-09-2010, 22:03
a dokładnie ten obiekt jest blokowany http://www.test.allen-carr.pl/favicon.ico//favicon
dariusov77
19-09-2010, 22:14
Właśnie o to chodzi że nic tam nie powinno być blokowane bo katalog domeny jest pusty. Taka sama sytuacja jest z domeną www.palenie.com.pl której katalog także jest pusty.
mjmartino
21-09-2010, 11:52
AV NOD 4 nie wykrywa nic
ESS 4 nie wykrywa nic
na głównych domenach dalej nie sprawdzałem
dariusov77
23-09-2010, 10:59
Witam
20.09 (poniedziałek) udało się w końcu uporać z tym problemem. Po wielu mailach do Netart dostałem taką odpowiedź:
Przy wyświetleniu strony palenie.com.pl w kodzie źródłowym dla błędu 403 widać dodatkowo:
czyli szkodliwy skrypt pobierany jest z zewnątrz. Do stron błędów dołączany jest ten skrypt, ponieważ zmodyfikowane zostały pliki:
errordocs/FOOT.shtml errordocs/HEADER.shtml
Złośliwy kod został dopisany najprawdopodobniej przez niezabezpieczone skrypty w katalogu cgi-bin, następnie nadpisał poniższe skrypty oraz ich odpowiedniki w katalogach domen.