Trojan JS:Cruzer-D

[zszalbot]

Witam,

Mam wielką prośbę o pomoc. Dzisiaj jeden z użytkowników serwisu razemdlaewangelii.pl poinformował mnie, że na stronie jest jakiś trojan. Okazuje się, że tego trojana widzi tylko avast i tylko jeśli przegląda się stronę w IE. W pewnym momencie avast poinformował mnie, że podejrzany plik to media/system/mootools.js. Sprawdziłem i nic takiego nie miało miejsca. mootools.js to plik, który wgrałem na serwer przy instalacji joomli z pliku zip pobranego z joomla.org. Nie zmienił się ani rozmiar pliku ani jego data modyfikacji. Mimo to wgrałem pliki raz jeszcze i zmniejszyłem uprawnienia zapisu (chyba były za wysokie) ograniczając je tylko do właściciela. Niestety niewiele to pomogło. Mniej więcej raz na 20 wywołań zdarza się, że avast znowu poinformuje o koniu trojańskim. Zauważył go w templates/rhuk_milkyway/*png (dokładnej nazwy nie zapamiętałem, bo przez przypadek zamknąłem okienko), a potem w templates/rhuk_milkyway/css/template.css

Poradźcie co robić. W sieci widzę tylko informacje o JS:Cruzer-C i kodu z tego trojana na bank nie ma w serwisie (wiem, bo przeszukałem wszystkie pliki serwisu). Natomiast kodu JS:Cruzer-D nie znam.

Jestem pod ścianą i nie wiem jak tego trojana wytropić. Patrząc na datę modyfikacji plików w serwisie, tez niczego specjalnego nie widzę. Będę wdzięczny za każdą sugestię!

[trzepiz]

podaj adres strony na PW ..

[trzepiz]

Przyznam, że objaw faktycznie dziwny.

Niestety nie mam pomysłu co jest przyczyną ani czasu (w tej chwili), żeby ściągnąć wszystkie podejrzane pliki od ciebie i sprawdzić u siebie na serwisie testowym.

Wydaje się być wszystko OK .. - ale problemu nie można oczywiście zbagatelizować. Proponuje nadpisać wszelkie pliki *.js - jakimiś sprawdzonymi ..

<script type="text/javascript" src="/media/system/js/mootools.js">***********
<script type="text/javascript" src="/media/system/js/caption.js">***********
<script type="text/javascript" src="/plugins/content/avreloaded/silverlight.js">***********
<script type="text/javascript" src="/plugins/content/avreloaded/wmvplayer.js">***********
<script type="text/javascript" src="/plugins/content/avreloaded/swfobject.js">***********
<script type="text/javascript" src="/plugins/content/avreloaded/avreloaded.js">***********

w źródle strony widnieje jeszcze taki wpis :

<script type="text/javascript" src="http://www.lcwords.com/js/pl,158,316b16,000,13,11,1,widget.js">

[zszalbot]

Przyznam, że objaw faktycznie dziwny. Niestety nie mam pomysłu co jest przyczyną ani czasu (w tej chwili), żeby ściągnąć wszystkie podejrzane pliki od ciebie i sprawdzić u siebie na serwisie testowym.

Hej - bardzo dziękuję za sugestie. Najdziwniejsze jest to, że pobrałem cały serwis na dysk lokalny i odpaliłem. Niestety nie udało mi się powtórzyć takiego zachowania. W zasadzie nie wiem o czym to może świadczyć... Sprawdziłem jeszcze /tmp na serwerze, ale tam też nic ciekawego nie znalazłem.

O JS:Cruzer-C pisze sie w sieci sporo, gorzej z tym -D. To jest chyba jakiś trojan, który został zarejestrowany po raz pierwszy 28 maja tego roku.

[pioklo]

http://forum.php.pl/index.php?showto...t=#entry614283

pozdr,
Piotr Kloc