С нами с 07.07.08
Сообщения: 142
Рейтинг: -7
|
 Добавлено: 08/02/09 в 22:03 |
Вобщем обнаружил у себя на сиджах такую гадость:
<script>
removed by moderator
</script>
сидит в файле вывода тумб для Смарт Тумбс (index.html), т.е. на морду подгружается вместе с тумбами. Админы вроде почистили, он сцуко остается. Один из зараженных доменов даже попал в базы гугла, теперь ФФ ругается на него.
Кто знаком со зверем, подскажите плиз как изгнать его, а то админы заняты переездом каким-то, а мне бы очень не хотелось, чтоб остальные сиджи тож в базу загремели.
|
|
|
|
| |
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
| Добавлено: 08/02/09 в 22:17 |
Зверя изганять свящника позови. А так стучи саппорту и пусть в спешном порядке этот вопрос пусть решают. хЗ пароль на хосте смени на всякий пожарный еще
|
|
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
3
|
|
| |
Maxx-Traffic.biz
С нами с 09.12.03
Сообщения: 754
Рейтинг: 383
|
| Добавлено: 08/02/09 в 22:43 |
А трейд скрипт не ATX случаем?
|
|
|
|
| |
С нами с 15.04.04
Сообщения: 316
Рейтинг: 298
|
| Добавлено: 08/02/09 в 23:45 |
жёсткий трой
такая же ситуация была с сиджем, у меня на домене еще сотни страниц и папок, так он в каждую страницу этот код прописал
посмотри есть ли левые файлы типа - thumb.php img.php
троян в них, но даже когда все удалил - появились снова
т к саппорт hqhost проигнорировал заявку, пришлось всё удалить
скрипты переустановить, файлы перезалить(
возможно, как временное решение можно удалить этот код и поменять права доступа на файле, чтобы он не мог записаться туда снова, но тогда и смарт остановится
|
|
|
|
| |
С нами с 07.07.08
Сообщения: 142
Рейтинг: -7
|
| Добавлено: 09/02/09 в 00:06 |
| Maxik писал: | | А трейд скрипт не ATX случаем? |
скрипт АТЛ3. давно не обновлял, админы грешат на него. Прописался везде где мог, и в файле настроек ST в том числе
"в папке st лежал скрипт sync.php который удаленно дергался и повторно инфицировал локальные файлы"
Атаки было 3 - 22-го января, 2-го и 5-го февраля.
Админ говорит удалил всё что смог... зверь возвращается 
Последний раз редактировалось: Zizi (09/02/09 в 02:15), всего редактировалось 1 раз
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 09/02/09 в 00:48 |
та же хуйня пару дней назад была, в фф и гугле выскакивало предупреждение.
Админ все почистил, предупреждение убрали.
там еще на два домена лезло, один с целебсами связан, глянь в фф доп инфу.
|
|
|
|
| |
С нами с 07.07.08
Сообщения: 142
Рейтинг: -7
|
| Добавлено: 09/02/09 в 02:10 |
| Цитата: | | там еще на два домена лезло, один с целебсами связан, глянь в фф доп инфу. |
угу...
помимо левого кода на страницах удалили с десяток левых скриптов... вроде больше не появляется
всем рейтинг !!!
|
|
|
|
| |
Maxx-Traffic.biz
С нами с 09.12.03
Сообщения: 754
Рейтинг: 383
|
| Добавлено: 09/02/09 в 08:35 |
Про ATX: было тут массовое заражение, гдето с полгодика назад. Лечилось насколько помню закрытием трейд форм, и удалением всего этого говна. Потом разработчик ATX обновление выпустил, и все утихло. Поищи поиском.
|
|
|
|
| |
С нами с 07.07.08
Сообщения: 142
Рейтинг: -7
|
| Добавлено: 09/02/09 в 20:08 |
Вчера вроде удалили всё, сегодня опять нашли, правда не на всех сиджах... Сейчас закрыл трейд формы, попробуем еще раз почистить...
|
|
|
|
| |
С нами с 15.01.05
Сообщения: 273
Рейтинг: 224
|
| Добавлено: 10/02/09 в 04:43 |
Закрытие форм не поможет. Блин, чуть что, сразу формы закрыть, а в аське никого не выловишь, уже трейдить не с кем...
Решение было в использовании последнего обновления, 2-х файлов .htaccess, и закрытия по ip в админке.
.htaccess #1
| Код: |
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^(.*)?document.write\(unescape(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?<\?(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?\?>(.*)?$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)?document.write\(unescape(.*)?$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)?iframe(.*)?$ [NC]
RewriteRule .* http://google.com/ [L]
|
.htaccess #2
| Код: |
<FilesMatch "(admin|login)\.cgi">
Order Deny,Allow
Deny from All
Allow from [тут твой IP]
</FilesMatch>
|
|
|
|
|
| |
С нами с 07.07.08
Сообщения: 142
Рейтинг: -7
|
| Добавлено: 10/02/09 в 11:46 |
Подскажите плз где размещать эти 2 htaccess?
потом тут вычитал, что в ST 5.63 и выше можно сканировать папку ST на предмет наличия посторонних файлов, и если таковые присутствуют, СТ удаляет их... Тока где эта фича не нахожу... стоит ST 5.70
и самый главный вопрос - как я могу самостоятельно идентифицировать и
удалять вредоносные файлы имея SSH доступ... а то админ после первой попытки почистить сервак просто перестал отвечать.... последнее сообщение от админа - "хз, вчера вроде все удалил... значит или не совсем все, или дыра так и есть через которую ломают"...
а у меня ещё 2 домена в базы гугла попали... может все же успею почистить сам пока все домены не загремели туда
|
|
|
|
| |
С нами с 07.07.08
Сообщения: 142
Рейтинг: -7
|
| Добавлено: 10/02/09 в 12:17 |
ещё нашел файлы login.cgi.core и x2.cgi.core в папке "at3/x"
что это? на сидже, на котором вируса нет этих файлов нет
|
|
|
|
| |
С нами с 07.07.08
Сообщения: 142
Рейтинг: -7
|
| Добавлено: 10/02/09 в 14:08 |
Нашел в ST file check (Tools)... на одном домене, в папке img/css_blue1/ сидит скрипт, не удаляется, права на себя тож поменять не дает!
как его удалить можно?
|
|
|
|
| |
С нами с 26.08.04
Сообщения: 46
Рейтинг: 42
|
| Добавлено: 10/02/09 в 23:35 |
| Zizi писал: | ещё нашел файлы login.cgi.core и x2.cgi.core в папке "at3/x"
что это? на сидже, на котором вируса нет этих файлов нет |
хацкеры не сразу определили твою OS и пробовали различные exploit для ATX!
обнови скрипт
|
|
|
|
| |
С нами с 15.01.05
Сообщения: 273
Рейтинг: 224
|
| Добавлено: 11/02/09 в 04:10 |
|
|
|
|
| |
