Trojan Malvare na stronie Opcje

[sylwekb]

Witam, jeden z klientów poprosił mnie o usunięcie trojana, jest to jakiś paskudny trojan bo żadne nawet komercyjne oprogramowanie nie potrafi zlokalizować pliku w którym jest ten szkodliwy kod, adres strony [zmoderowano]
Czy ktoś ma pomysł gdzie go szukać i czym go usunąć?
Nie ma go w plikach index, jest to prosta galeria w php bez bazy danych.

[batman]

Usunąłem link do zawirusowanej strony. Proszę go dodawać.

[Ges]

Skanujesz pliki antywirusem ? (IMG:style_emoticons/default/smile.gif) Po ściągnięciu na swój komputer ?...

Ten post edytował Ges 12.03.2010, 12:56:21

[sylwekb]

Dokładnie tak, pobrałem wszystkie pliki do siebie na kompa, skanowałem system komercyjym Essetem, Kasperskym, F-Secuere i nic nie znalazł. Sparawdzałem pliki index, login, config itp do których najczęściej Trojan robi dopiski iframe, i nic nie ma, zrobiłem już nawet szukanie fragmentu kodu iframe przez system i nic nie znalazło, co to może być?

[Ges]

Daj linka do strony na priv

[sylwekb]

Znalazłem delikwenta był ukryty tylko w pliku .htaccess . Oczywiście pozmieniałem wszystkie hasła FTP itp i już nie ma robala. :-)

[Ges]

Źródłem tego typu zmian + infekcji jest najczęściej trzymanie w Total Commanderze zapisanych haseł.
Więc polecam ponad to co zrobiłeś, poinformować wszystkich którzy na tej stronie coś robią, żeby sprawdzili sobie komputery pod katem wirusa :]