Перейти к содержимому


Фотография
* * * * * 1 Голосов

Шеллы, двери и очередной спам.


  • Авторизуйтесь для ответа в теме
В теме одно сообщение

#1 Оффлайн   ruslan

    Активный


  • Пользователи
  • Репутация
    6
    • Cообщений: 132
    • Форум:3.3.х

Отправлено 14 Март 2013 - 19:57

День добрый.

Форум смотрел, стать читал, отправку писем закрывал, искал в поиске шеллы, шелл.

Движок и хуки ставил с этого ресурса.

 

Пришло сообщение что форум отправляет спам.

 

 

Хостинг сайтов - нет возможности проверить через айболит, по этому администрация хостинга сделала проверку.

Start scanning account with ShellFinder: 

/home//www//regionalservers.ru/admin/sources/classes/virusChecker/lib_known_names.php: Suspicious(r57): 'r57.php',
/home//www//regionalservers.ru/admin/applications/core/modules_public/global/share.php: Suspicious(base64_decode):  IPSText::base64_decode_urlSafe( 
/home//www//regionalservers.ru/monitor/sources/cache_start.php: Suspicious(base64_decode): o base64_decode( $cache[2
/home//www//regionalservers.ru/cache/skin_cache/cacheid_4/skin_editors.php: Suspicious(c99): 8c91c2747cc9940fac = is
/home//www//regionalservers.ru/cache/skin_cache/cacheid_3/skin_stats.php: Suspicious(c99): b935f7c245c9909e6774801
/home//www//regionalservers.ru/cache/abook0g9u.php: Suspicious(base64_decode): cb251ec = base64_decode($v1cb251e
/home/p165146/www//regionalservers.ru/ips_kernel/sabre/Sabre/HTTP/BasicAuth.php: Suspicious(base64_decode): lode(':', base64_decode(substr($a
Start scanning account with ClamAV: 
 
/home//www/regionalservers.ru/initdata.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/index.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/dav.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/conf_global.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/cache/wchckd5.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/cache/installer_lock.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/cache/abook0g9u.php: PHP.Trojan.Spambot FOUND
/home//www/regionalservers.ru/cache/wp-conf.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/wp-conf.php: Trojan.PHP-43 FOUND
 
Start scanning account with ShellFinder: 
 
/home//www//regionalservers.ru/admin/sources/classes/virusChecker/lib_known_names.php: Suspicious(r57): 'r57.php',
/home//www//regionalservers.ru/admin/applications/core/modules_public/global/share.php: Suspicious(base64_decode):  IPSText::base64_decode_urlSafe( 
/home//www//regionalservers.ru/monitor/sources/cache_start.php: Suspicious(base64_decode): o base64_decode( $cache[2
/home//www//regionalservers.ru/cache/skin_cache/cacheid_4/skin_editors.php: Suspicious(c99): 8c91c2747cc9940fac = is
/home//www//regionalservers.ru/cache/skin_cache/cacheid_3/skin_stats.php: Suspicious(c99): b935f7c245c9909e6774801
/home//www//regionalservers.ru/cache/abook0g9u.php: Suspicious(base64_decode): cb251ec = base64_decode($v1cb251e
/home//www//regionalservers.ru/ips_kernel/sabre/Sabre/HTTP/BasicAuth.php: Suspicious(base64_decode): lode(':', base64_decode(substr($a
Start scanning account with ClamAV: 
 
/home//www/regionalservers.ru/initdata.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/index.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/dav.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/conf_global.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/cache/wchckd5.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/cache/installer_lock.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/cache/abook0g9u.php: PHP.Trojan.Spambot FOUND
/home//www/regionalservers.ru/cache/wp-conf.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/wp-conf.php: Trojan.PHP-43 FOUND
 
----------- SCAN SUMMARY -----------
Known viruses: 1973565
Engine version: 0.97.6
Scanned directories: 780
Scanned files: 9504
Infected files: 9
Data scanned: 77.25 MB
Data read: 42.96 MB (ratio 1.80:1)
Time: 15.304 sec (0 m 15 s)

 

 

 

Файлы эти я вроде как удалил, но есть факт что спам не повториться?

 

Решил сделать бекап на всякий, по антивирь вот чего нашел..

 

Прикрепленный файл  ScreenShot 12.png   34,15К    скачиваний 16

 

Кто может дать эти файлы нулевые? IPB 3.3.3

Кто даст какие советы по решению проблемы?


  • 0

Заработок и обучение заработку

#2 Оффлайн   ๖ۣۣۜDesperate™

    Администратор


  • Администраторы
  • Репутация
    4 616
    • Cообщений: 8 560
    • Форум:3.4.х
    • Город:IpbZona
    Участник

Отправлено 14 Март 2013 - 20:18

/home//www/regionalservers.ru/initdata.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/index.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/dav.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/conf_global.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/cache/wchckd5.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/cache/installer_lock.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/cache/abook0g9u.php: PHP.Trojan.Spambot FOUND
/home//www/regionalservers.ru/cache/wp-conf.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/wp-conf.php: Trojan.PHP-43 FOUND

 

Удаляем:

 

/home//www/regionalservers.ru/cache/wchckd5.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/cache/installer_lock.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/cache/abook0g9u.php: PHP.Trojan.Spambot FOUND
/home//www/regionalservers.ru/cache/wp-conf.php: Trojan.PHP-43 FOUND
/home//www/regionalservers.ru/wp-conf.php: Trojan.PHP-43 FOUND

 

Скачиваем чистый дистрибутив вашей версии и заменяем все файлы!!! Если делали правки в файлах, то придется сделать манипуляции вновь. Потом как перезалили файлы ставим патчи (вашей версии) потом еще один патч


  • 2