Нужна помощь

Возможно что не в тему, но тогда подскажите куда..
Вчера после посещения [://myrest.*] Dr.Web обнаружил попытку внедрения червей, а после сканирования AVZ выловил:
mail-Worm.Win32.Zhelatin.du
Trojan-Proxy.Win32.Wopla.ag
Trojan.Win32.Small.mi
Trojan-Downloader.Win32.Small.eqa
Вроде всё пролечилось, прошёлся Dr.Web, который ничего не обнаружил. Я отписал в саппорт Валуехост, у которых хостится данный сайт, о существующей проблеме, ответа правда так и не получил. Сегодня при заходе на свой сайт (://seobase.*) с почты которого и было отправленно письмо Валую, через IE происходит попытка внедрения Rootkit червя, и опять же Trojan-Proxy.Win32.Wopla.ag
Вопрос такой - могли ли стронние лица каким либо образом сделать так, что с мой сайт тоже стал разносчиком заразы и как это определить? Сайт стоит на движке Joomla! Кому будет необходимо, могу предоставить логи. Вообщем, подскажите что делать!:?
Да, хочу ещё добавить, что под Оперой вроде никаких вторжений не наблюдается, только под IE

Прочитайте здесь. [url]http://virusinfo.info/showthread.php?t=9116[/url]

Joomla последняя пропатченная? Пароль админа меняли? Никому не известен? index можете показать? и index темплейта тоже.

Пароль админа не менял, известен только мне. Joomla! стоит Joomla_1.0.12_RE-Stable-Full_Package, вам дать код указанных страниц или сами индексы в аттаче?

Давайте сначала логи по правилам с компьютера с которого вы управляете сайтом. Поменяйте пароль в админке сайта на более изощрённый , хуже не будет.

[QUOTE=drongo;109549]Давайте сначала логи по правилам с компьютера с которого вы управляете сайтом. Поменяйте пароль в админке сайта на более изощрённый , хуже не будет.[/QUOTE]
Пароль поменял, а где эти самые логи найти?:?

[quote=Crave;109551]Пароль поменял, а где эти самые логи найти?:?[/quote]
[url]http://virusinfo.info/showthread.php?t=1235[/url]

[QUOTE=drongo;109555][url]http://virusinfo.info/showthread.php?t=1235[/url][/QUOTE]
Спасибо, разобрался, вот пожалуйста лог

Не совсем разобрались, видимо. Хотелось бы увидеть еще логи утилиты AVZ - п.п. 8 - 10 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]

Исправляюсь,:)

[QUOTE]Исправляюсь,[/QUOTE]
Кто же так исправляется? :) Правила по диагонали читали?
Во-первых, версия AVZ устаревшая, сейчас 4.25.
Во-вторых, логов AVZ должно быть два.

[QUOTE=Bratez;109564]Кто же так исправляется? :) Правила по диагонали читали?
Во-первых, версия AVZ устаревшая, сейчас 4.25.
Во-вторых, логов AVZ должно быть два.[/QUOTE]

Сори:embarasse

[url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program.exe ','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=9701[/url]......
P.S. следует прочитать ещё раз правила , особенно то что написано между 7 и 8 пунктом красным цветом .

Что то вообще страшное началось, не пойму.. еле загрузил систему, пришлось восстанавливать загрузочный сектор.. Вообщем вот ещё раз выкладываю файлы, всё сделанно в [B]соответствии с правилами[/B], только вот в карантине ничего нету ...:?

так чисто, вот это надо пофиксить с помощью HiJackThis".

[url]http://virusinfo.info/showthread.php?t=4491[/url]
:
[code]
O23 - Service: SUGE1 Status Monitor Service (SM_SUGE1_FUService) - Unknown owner - C:\Program.exe (file missing)
[/code]

[QUOTE=drongo;109595]так чисто, вот это надо пофиксить с помощью HiJackThis".[/QUOTE]

Спасибо, сделанно. А как определить,внедрён ли код в index сайта? теперь боюсь на свой заходить под IE...

Просмотрел код index а, и в конце заметил вот что ниже </html>
<!-- 1179140880 --><!--[O]--
<script>document.write(unescape потом много всякой ерунды script>

оно и есть ...Загрузчик вирусов

Ну если кодили не вы, то удалить конечно ;) . Попробуйте обратиться к хостеру , чтобы проверил логи и закрыл дырки .
ещё поищите строки с iframe.

Похоже всё, удалил код, и никаких проблем. С iframe только баннер... А вот теперь придётся призадуматься, на счёт Джумлы.. ведь только недавно поставил.. быстро её ломанули :(

Ломанули не ее.

Посмотрел свои два сайта на джумле, один на мамбо - на всех в конце код вида [code]<!-- 1179142442 --> [/code]
И дальше ничего нет.

[QUOTE=anton_dr;109616]Ломанули не ее.[/QUOTE]

А что тогда? :?

1. [QUOTE]Я отписал в саппорт Валуехост[/QUOTE] [url]http://antimalware.ru/index.phtml?part=news1&newsid=120&arc=0[/url]

2. [url]http://www.viruslist.com/ru/weblog[/url] -
[QUOTE]В последнее время участились случаи взлома веб-серверов и размещения вредоносных скриптов на главных страницах сайтов. Внедряемый скрипт — Trojan-Downloader.JS.Psyme — использует старые уязвимости в Microsoft Internet Explorer для загрузки на машину посетителя взломанного сайта троянца-шпиона. В ссылке на вредоносный код фигурирует имя файла скрипта sp.php.

Как происходят подобные заражения? Три варианта:

«Живое» хакерское вторжение.

Большое количество однотипных случаев сводит вероятность данного сценария к минимуму.

Массивная автоматическая эксплуатация сервисов веб-серверов.

В случае с доступными мне для анализа зараженными серверами, скрипты загружались в директории веб-сервисов по протоколу FTP, причем с использованием уже существующего в системе логина.

Это означает, что хакер (кем или чем бы он ни был) имел доступ к учётным записям и паролям сервера — по крайней мере, некоторым. Быть может, хешированный при помощи не вполне актуального на сегодняшний день криптоалгоритма MD5 файл с паролями «вытаскивали» через дыру в каком-нибудь из веб-сервисов?

Однако и этот сценарий маловероятен — ввиду того, что модификация серверов производилась абсолютно «чисто»: в логах не зафиксированы ни предварительные попытки логина, ни какие-либо подозрительные манипуляции с сервисами — ничего, кроме легального входа на FTP.

Что же остается? Если отбросить более чем сомнительную идею о сниффинге, то...

Воровство паролей с машин конечных пользователей FTP веб-сервера.

Речь идет о вероятном троянце, который, будучи запущен на Windows-машине администратора сайта с сохраненными на ней данными для доступа к FTP (например, в Total Commander), воровал бы эти данные.

Количество доводов в пользу этого сценария увеличивается, если поразмыслить, почему заражаются именно те сервера, которые заражаются, не будучи связанными друг с другом никакой очевидной логикой. Ведь воруя пароли с машины пользователя, программа забирает их вместе с IP-адресом целевой машины.

Причем, эти пароли даже не обязательно куда-то отсылать — сам троянец может «на месте» инициировать FTP-сессию с использованием найденных реквизитов и загрузить на сервер вредоносные скрипты — при наличии у FTP-аккаунта достаточных на то привилегий.

По моей оценке, сейчас мы практически наверняка имеем дело со сценарием №3, в связи с чем противодействие «эпидемии взломов» сводится к стандартным антивирусным рекомендациям:

обязательно устанавливать на компьютеры администраторов сайтов все актуальные «заплатки» от Microsoft;
регулярно обновлять базы антивируса на таких компьютерах;
и снабдить их нормальным межсетевым экраном.

Плюс набившие оскомину предосторожности: не запускать незнакомые файлы или выключать по возможности автозагрузку ActiveX в браузере.

Очевидно и частное решение: избегать хранения паролей доступа в FTP-клиентах (и не только в них), но кто в наши дни сможет похвастаться достаточной для этого памятью?[/QUOTE]

Копирайт -Алиса Шевченко

[QUOTE]Как сотрудник техподдержки в Зеноне, могу дополнить статью еще парой фактов.
Заходят именно под логином-паролем пользователя на его фтп аккаунт. Судя по фтп - логам, вирус получает листинг файлов на глубину до трех директорий. Скачивает файлы index*.* и через мгновение закачивает файлы обратно.В некоторых случаях изменениям также подвергались файлы main*.* и login*.*
Вирус дописывает строчку iframe либо после тега body, либо после /html. Если файл был, скажем php и тегов не содержал даже никаких, то вирус просто дописывает фрейм в конец файла, после ?> и соответственно в большинстве случаев это срабатывает.
В последнее время вместо фрейма вирус прописывает трехетажный кусок яваскрипта, в теле которого зашифровано что-то, предположительно тоже фрейм.
Я, к своему стыду, тоже словил на работе этот вирус, открыв один из зараженных клиентских сайтов. У меня в тоталкомандере были прописаны несколько фтп-аккаунтов для моих сайтов и проектов. Через пару дней на них тоже появились вредоносные фреймы :(
Пароли поменял и больше не сохранял. С тех пор проблем не имею.. Но зараженные сайты попадаются все чаще и чаще, начинаю подумывать о смене первичного браузера ИЕ.. Потому что не знаю, какие еще заплатки нужно ставить, вроде все критические стоят, а ИЕ регулярно падает на некоторых сайтах и антивирус (увы, не касперский) ругается на заблокированные троянцы в системной папке.[/QUOTE]
Еще комменты.

Ну это понятно, что у них вири, ведь тот сайт, на который я зашёл имнно у них хостится.. но мой таки совсем не на валуе, и появился этот код, после того, как я отписал в саппорт Валуя.. совпадение?