Ktoś miał do czynienia z tym wirusem? Dodaje on do plików zawierających nazwę index, db, config kod php, natomiast do plików html (wszystkich) dodaje kod javascript. Ja niedawno musiałem usuwać to gówno m.in. z forum phpBB2. Mam nadzieję że mnie znowu nie zaatakuje, zmieniłem hasło. Podejrzewam 2 drogi włamania: luki w phpBB2 lub przez klienta ftp (total commander) - błąd że zapisywałem hasło w programie.

Z tego co widzę to takich wirusów jest masa, widzę że to forum też zaatakował podobny więc skrypt invisionboard nie jest bezpieczniejszy. Trzeba będzie chyba postawić coś autorskiego.

Autorski skrypt też nie będzie bezpieczny, jeżeli Twój komputer taki nie jest - a najwidoczniej masz wirusa.

Właśnie dzisiaj walczę z tym. To nie wina skryptu czy serwera, tylko zapisywania haseł w klientach FTP.

Nawet jeśli podmienisz pliki na swoje, to w większości katalogów o nazwie images tworzone są pliki image.php, które są furtką do wykonywania dowolnego kodu PHP. Dlatego nie wystarczy tylko zmiana hasła do serwera i podmiana plików. Najlepiej wyrzucić wszystko z serwera i skopiować 'czyste' pliki.

Co ciekawe - jeżeli używasz Smarty, robot podczas wejścia na FTP zmienia prawa do katalogu $compile_dir i plików podrzędnych na 755. Dzięki temu nawet upload nowej templatki nic nie daje, bo wczytywane są stare, skompilowane już pliki.

Do tego oczywiście zainfekowane wszystkie pliki .js, większość PHP i HTML.

Muszę przyznać, że jestem pod wrażeniem pomysłowości programisty.

A no tak, image.php wywaliłem też, pliki .js też wyszyściłem, puki co w źródle strony nie ma już żadnych podejrzanych kodów więc serwer jest chyba czysty.

Najlepiej patrzeć na datę ost. modyfikacji pliku, jak był ost. modyfikowany to na 100% jest zainfekowany.

Więcej http://blog.unmaskparasites.com/2009/05/07...njected-script/

Zacznijcie w końcu używać wyszukiwarki. Tematów o wirusach jest cała masa.
Zamykam.