[zikro]

Здравствуйте.
Неделю назад пришло письмо от reg.ru, что появился вирус {HEX}php.cmdshell.unclassed.344
Я проигнорировал.

И далее на форуме появился один пользователь, который сам себя перевел в другую группу, получал доступ к закрытым разделам и т.д

{HEX}php.cmdshell.unclassed.344 : u535**** : /var/www/u535****/data/www/******.ru/ips_kernel/interfaces/interfaceUser.php

Я так понимаю теперь у меня шелы.

Но совершенно не знаю как это устранить, сохранить из резервной копии - не могу, так как у меня форум и люди будут очень не довольны если все темы и т.д удалятся.

Заранее большое спасибо за помощь!

[garrett]

Проверить корневой каталог сайта, на наличие посторонних файлов с расширением .php, обратить внимание на такие файлы, созданные недавно (смотреть дату создания). Найти и удалить. Также проверить файлы самого форума, тоже по датам, на наличие прописанных в них левых скриптов, т.к. злоумышленник, может прописать что угодно...

[druzhkov]

Неделю назад пришло письмо от reg.ru, что появился вирус {HEX}php.cmdshell.unclassed.344
Я проигнорировал.

Это как с обычными вирусами - чем дольше тянете, тем больше распространяется зараза.

Базовые действия:
1. выкачать всё имеющееся по фтп к себе на комп, сделать дамп базы (если есть такой шутник, то неизвестно, что еще он захочет учудить)
2. проверяем на последние измененные скрипты
3. берем анализатор ai-bolit , проверяем выкачанное на заразу
4. аккуратно вырезаем лишнее, не задев жизненно важных органов
5. заливаем обратно
6. мониторим логи - определяем путь взлома, иначе всё предыдущее будет насмарку (надо ставить обновление на движок, разбираться с хостингом и т.д.)

[hammer8]

И далее на форуме появился один пользователь,

Оригинально. Обычно сайты этим вирусом заражают на автомате получив FTP доступ через дыры движка.
Какие враждебные сайты сделал вирус: ридеректы, спам, встроенные ссылки?
У меня тоже такой был на джумле 1.5. Я избавился очистив зараженные файлы.

[Весёлый химик]

Так у вас в письме прям даже строка указана в какой зараза находится (или 344 - это тип заразы?) - скачайте к себе файл и сравните с файлом из дистрибутива. Разницу удалите :)

[zikro]

Вирус мне ничего плохого вроде как не принес, пользователя я забанил и пароль на хостинг сменил, вроде как все хорошо стало, новых юзеров-шпионов нету)
Но просто напрягает, что сам вирус то есть

[ohmygod]

Но просто напрягает, что сам вирус то есть

ai-bolit'ом не проверяли? druzhkov все правильно написал.

[OneShot]

Можно скачать базу и переустановить движок с нуля, потом влить базу обратно

[druzhkov]

Вирус мне ничего плохого вроде как не принес, пользователя я забанил и пароль на хостинг сменил, вроде как все хорошо стало, новых юзеров-шпионов нету)

Вспомнился случай из практики. Вычищаю зараженный сайт, вроде ок. Неделя проходит - всё по новой, вирусы кишат. Мораль: пока не вычистите все шеллы и другие способы заражения - так и будет до бесконечности.

Вот начало списка того, что можно делать с помощью вирусов, и о чем вы можете даже и не догадываться:
- воровать пароли
- использовать хостинг для своих собственных целей
- подсовывать пользователям другие вирусы (поисковик обнаружит - уберет сайт из выдачи)
- размещать чужие рекламные ссылки
- ну и т.д.