Trojan.JS.Agent.axl - przywracanie strony i baza danych
Witam.
Witryna, którą się zajmuje została zainfekowana tym wirusem Trojan.JS.Agent.axl. Nie znalazłem jeszcze żadnych informacji na jego temat poza tą, że nadpisuje pliki indeks na serwerze i korzysta z haseł i loginów zapisanych w programach FTP.
Jeżeli okazałoby się, że baza danych jest nienaruszona to miałbym szansę na przywrócenie strony. I tu pytanie: czy istnieją programy do wykrywania podejrzanych zmian w rekordach mysql?
Z góry dzięki za wszelkie wskazówki.
witaj!
czy ten wirus, to nie jest odmiana lub ten sam, co rozprzestrzenia sie poprzez tc?
W tej sytuacji nie ryzykowałbym przywrócenia bazy z kopii, którą posiadasz. Chyba, że masz wcześniejsze kopie, sprzed infekcji. Na razie możesz pobrać skrypt (nie jest mojego autorstwa) i sprawdzić daty modyfikacji plików. Pytaj administratora serwera, czy posiada backupy. Radzę też zmienić klienta FTP na coś bardziej profesjonalnego, do którego takie g.......a rzadziej się podczepiają.
Zanim zapytasz na Forum:
1. Przeszukaj wątki.
2. Poszukaj odpowiedzi na wiki.
__________________________________________________ _________________
Książki oddane na makulaturę dowodzą, że cierpliwość papieru też ma swoje granice.
niszkal dzięki za wstawkę. Co do klientów FTP to korzystałem z darmowych takich jak Total Commander, SmartFTP i Free Commander. Ten ostatni nie zapisuje danych takich jak loginu i hasła co ponoć było podstawą do tego aby uniknąć infekcji. Myślę, że komercyjne oprogramowanie też by było podatne na zagrożenie. Co do backup'u admina to jest jedyne rozwiązanie. Czekam na jego odpowiedź.
big_krzysiek to z pewnością jest odmiana tego samego wirusa z linku, który podałeś. Kod jaki był doklejany do plików index jest taki sam jaki użytkownicy postowali. Zanim Kaspersky (u mnie i nie tylko) wykrył zagrożenie na serwerze były tylko dwa pliki z tym kodem. Po usunięciu ustrojstwa z tych 2 plików strona odzyskała pełną funkcjonalność. Zaraz po tym utworzyłem w JoomlaPack kopie całej witryny. Po rozpakowaniu backup'u niestety okazało się, że na około 5000 plików prawie 700 zostało zainfekowanych. Według KAV nazwa wirusa to Trojan.JS.Agent.axl. Niestety nadal bez żadnych informacji na jego temat.
Używam CuteFtp Pro i jak na razie 'wpadki' nie zaliczyłem.Wysłane przez allrunner
Zanim zapytasz na Forum:
1. Przeszukaj wątki.
2. Poszukaj odpowiedzi na wiki.
__________________________________________________ _________________
Książki oddane na makulaturę dowodzą, że cierpliwość papieru też ma swoje granice.
nikszal też kiedyś korzystałem z CuteFTP. Jak na tą chwilę przy stawianiu witryny na nowo nie widzę sensu aby korzystać z poprzednich klientów więc cFTP znów wykorzystam (takie zabezpieczenie pro forma).
Czekam na wskazówki innych użytkowników, którzy uporali się z tym problemem. Za wszelkie info wielkie thx
Uporanie się:
1. Sprawdzenie i ewentualne wyczyszczenie bazy danych
2. Odtworzenie witryny z pakietów instalacyjnych na lokalnym serwerze testowym
3. Podmiana bazy danych
4. Przeniesienie na serwer.
Reguły pisania
Cytuj