Не зарегистрирован
Вход
Забыли пароль?
Регистрация
Подписаться
Сэкономьте время — перед вопросом на форуме узнайте, как найти ответ быстрее
По техническим проблемам необходимо обращаться в Консультационный центр

Поиск по форуму: 

Приглашаем в блог Amiro.CMS. Регулярные обзоры, опыт, решения, практикумы.

Форум  ->   Курилка  ->  вирус в папке FTP

Свободное общение на любые темы

Добавлено: 05.09.13 13:57:37 #1



Регистрация: 03.09.13
Сообщений: 33


Обратиться по имени

Переодически, раз в неделю, появляются дллки вирусни в амировской папке.
Backdoor:Win32/Cinasquel.A http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=Backdoor%3aWin32%2fCinasquel.A&t...22#tab=2

Антивирусник майкрософтовский конечно чистит, винда на виртуалке и кроме амиро там нет ничего, другие антивирусники тоже ничего не находят после удаления этих файлов.
я вот к чему, может это как то лечится? настройки безопасности/скуля/апача/etc... на никсы прошу не посылать, это будет чуть позже, материнка в ремонте...
ЗЫ не нервирует ибо сразу удаляется, ды и вопрос временный, но потенциальные дырки не люблю...
ЗЗЫ может включить какие логи(где?) дабы глянуть через какую дырку эта гадость лезет...



Добавлено: 06.09.13 13:30:36 #2

Амиро



Регистрация: 03.12.03
Сообщений: 992


Обратиться по имени

То, что файлы появляются в папке Амиро как раз говорит о том, что они попадают не через движок, а по FTP, иначе они появлялись бы не только в этой папке.

Попробуйте сменить пароль на FTP на безопасный ( сложный, с цифрами и спецсимволами) и ни в коем случае не сохраняйте его в FTP клиенте - "воруют" пароли как правило там.

Кроме того, имеет смысл проверить все компьютеры с которых производилось или производится подключение по FTP к этому серверу на вирусы/трояны.



Добавлено: 06.09.13 14:26:36 #3



Регистрация: 03.09.13
Сообщений: 33


Обратиться по имени

ненене не в папке фтп )))
Объекты:
containerfile:C:\AmiroCMS\usr\local\mysql4\bin\cna12.dll
file:C:\AmiroCMS\usr\local\mysql4\bin\cna12.dll->(UPX)



Добавлено: 06.09.13 14:30:39 #4



Регистрация: 03.09.13
Сообщений: 33


Обратиться по имени

если б там была папка фтп - я бы и не спрашивал.. ды и надпись в названии вируса
Backdoor:Win32/cinaSQueL.A как бы намекает. правда учитывая описание, о том, что использует для загрузки файлов РДП намекает на необходимость отключить оный... но это буит неудобно ((...
Папка амиро в смысле папка AmiroCMS в ней уже и скуль и апач и корень "сайта"...

запретил запись в эту папку на уровне безопасности файлов, по идее ничего не сломает, с файлов там только экзешники, на чтение им достаточно... с обновлением бы только не пролететь ))))



Добавлено: 06.09.13 14:55:12 #5



Регистрация: 03.09.13
Сообщений: 33


Обратиться по имени

Ну и зачем было переименовывать тему не разобравшись до конца? прям дети ей богу, мусор под ковер и типа ничего не было .. русским по белому ж написано...

Backdoor:Win32/Cinasquel.A may be present in your MySQL plug-in folder as a file with a random name, such as:
cna<random numbers>.dll
This may indicate that the MySQL server has been compromised, thus your administrator account is likely to have been compromised as well.

а пасс на учетке со спец символами цифрами заглавними и мелкими буквами и не менее 8 символов.
И да, подключение по фтп не проводилось ) только RDP , а папка для фтп - синхронизируется через яндекс.диск ... так удобнее.

http://open-server.ru/forum/viewtopic.php?f=6&t=786
нашлось на просторах интернета... => вопрос как сменить пасс на мускуль(в винде) дабы не отвалилась амира... мускуль поставляемый вместе с инсталляшкой амиры...



Добавлено: 09.09.13 12:06:59 #6

Амиро


Регистрация: 13.09.07
Сообщений: 195


Обратиться по имени

dddvvv:
вопрос как сменить пасс на мускуль(в винде) дабы не отвалилась амира... мускуль поставляемый вместе с инсталляшкой амиры...


После смены пароля пропишите новый в файле _local/config.ini.php



Добавлено: 09.09.13 14:40:38 #7



Регистрация: 03.09.13
Сообщений: 33


Обратиться по имени


Создать новую тему

Всего тем: 6587
Всего сообщений: 27636
Всего зарегистрированных пользователей: 47877
Последний зарегистрированный пользователь: user5302684462