Реклама на сайте Advertise with us

Взлом фтп

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:



С нами с 19.01.06
Сообщения: 22
Рейтинг: 16

Ссылка на сообщениеДобавлено: 22/05/07 в 09:43       Ответить с цитатойцитата 

_Milan_ писал:
наивные, сейчас пароли к фтп...совсем не троянами пиздятся....

да ну, а чем еще?
если только обработка логов...... но это провайдеры задействованы должны быть icon_smile.gif
во всяком случае мы сталкивались только со случаями когда трояном уводились пароли, и описание того трояна здесь на мастере уже выкладывалось

XXX-Server.BIZ - Хостинг от 0.07$ за гиг

0
 



С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016

Ссылка на сообщениеДобавлено: 22/05/07 в 09:47       Ответить с цитатойцитата 

А такой троян чем-нибудь ловится? Как его обнаружить?

0
 

full-plastic programmist

С нами с 05.09.03
Сообщения: 8361
Рейтинг: 4779

Ссылка на сообщениеДобавлено: 22/05/07 в 11:01       Ответить с цитатойцитата 

miroz писал:
Подозреваю, что это не через трояна ставят, но как не знаюicon_sad.gif

а других вариантов нет.
со стороны хостинга или провайдера это нереально, объяснять почему - долго, но думаю и так все понимают.

и если этот троян ненаходится - не факт что его не было.
вполне возможно кстати, что собрав все пароли и отослав их он самоубивается - чтобы никто ничего и не подумал...

вот соскучился по мастеру...

0
 



С нами с 19.01.03
Сообщения: 15
Рейтинг: 5

Ссылка на сообщениеДобавлено: 22/05/07 в 11:07       Ответить с цитатойцитата 

Скорее всего, это какой-то криптованный pinch.
То, что я пытался отследить у себя, выглядело так:
Был у меня один фтп со слабым паролем 5 символов, его, скорее всего путем перебора выявили и прописали айфреймов.
Я, видя что страница не открывается в опере, зашел осликом, тут же заверещали все антивирусы, оутпост и прочее.
Вышел из сети, пришлось делать откат винды, чистить все.
Результат - на следующий день по всем фтп, что были в CuteFTP были айфреймы в индексных файлах.
Вобщем лоханулся по полной программе.
На хакерских сайтах продают скрипт, который по списку фтп, полученному из троянов, переписывает все индексные файлы.
Даже на PPCшный форумах такие предложения проскакивают.

0
 



С нами с 19.12.06
Сообщения: 528
Рейтинг: 511

Ссылка на сообщениеДобавлено: 22/05/07 в 12:07       Ответить с цитатойцитата 

ИМХО любой антивирь и файрвол можно обойти. Взять хотя бы те же лич тесты для фаеров. Всегда есть пара-тройка, которые ни один (бывает в разброс) файрвол не проходит. А сокрытием троев от антивирей и я баловался в свое время.
Касперский...тогда еще 5 версии было совсем легко наебать, Др. Веб сложнее, но можно было, самый мощный в этом отношении был VBA, но с базами у него напряг. Нод как я понял, сейчас также тяжело обойти, как раньше VBA, но и его можно обойти - 100%.
Просто нашлись умельцы и решили побаловаться. ИМХО это только начало. Сейчас механизмы обкатают и в следующий раз будт больнее icon_sad.gif

0
 

Old Oil Barrel

С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265


Передовик Master-X (16.07.2005) Передовик Master-X (16.10.2005) Передовик Master-X (01.12.2006) Передовик Master-X (01.03.2007) Передовик Master-X (16.03.2007) Ветеран трепа Master-X ()
Ссылка на сообщениеДобавлено: 22/05/07 в 12:18       Ответить с цитатойцитата 

Hide-R писал:
ИМХО любой антивирь и файрвол можно обойти. Взять хотя бы те же лич тесты для фаеров. Всегда есть пара-тройка, которые ни один (бывает в разброс) файрвол не проходит. А сокрытием троев от антивирей и я баловался в свое время.
Касперский...тогда еще 5 версии было совсем легко наебать, Др. Веб сложнее, но можно было, самый мощный в этом отношении был VBA, но с базами у него напряг. Нод как я понял, сейчас также тяжело обойти, как раньше VBA, но и его можно обойти - 100%.
Просто нашлись умельцы и решили побаловаться. ИМХО это только начало. Сейчас механизмы обкатают и в следующий раз будт больнее icon_sad.gif


НОД гавно
он пропустил вирус в тот первый раз когда у многих ломанули фтп

Правило буравчика

0
 



С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016

Ссылка на сообщениеДобавлено: 22/05/07 в 12:22       Ответить с цитатойцитата 

Sergeyka писал:
НОД гавно
он пропустил вирус в тот первый раз когда у многих ломанули фтп

А чем же можно тогда оперделить?

0
 

Old Oil Barrel

С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265


Передовик Master-X (16.07.2005) Передовик Master-X (16.10.2005) Передовик Master-X (01.12.2006) Передовик Master-X (01.03.2007) Передовик Master-X (16.03.2007) Ветеран трепа Master-X ()
Ссылка на сообщениеДобавлено: 22/05/07 в 12:30       Ответить с цитатойцитата 

не знаю но я точно знаю что продлять лицензию на НОД я не буду
лучше куплю НортонАнтивирус

Правило буравчика

0
 

Милитарист

С нами с 13.01.06
Сообщения: 677
Рейтинг: 569

Ссылка на сообщениеДобавлено: 22/05/07 в 12:41       Ответить с цитатойцитата 

Я в этом смысле сторонник разделения машин.
Одна для серфинга-закачек, одна для работы, одна чисто под финансы.

подкаст для тех кто в бизе: https://anchor.fm/hibrokakbiz

0
 



С нами с 19.12.06
Сообщения: 528
Рейтинг: 511

Ссылка на сообщениеДобавлено: 22/05/07 в 14:16       Ответить с цитатойцитата 

Sergeyka писал:
НОД гавно
он пропустил вирус в тот первый раз когда у многих ломанули фтп

Ну не совсем гавно. Я поэтому и написал, что ни один антивирь не даст 100% защиты. Обойти можно любой антивирь и файрвол.
Цитата:
не знаю но я точно знаю что продлять лицензию на НОД я не буду
лучше куплю НортонАнтивирус

А вот этого не советую icon_smile.gif Вот оно точно говно, причем тормозное и громоздкое. Если уж брать из продукции Симантека, то лучше Symantec Antivirus Server (Corporate что ли...). Компания одна и та же, а продукты очень разные. Последние версии не знаю как, но "предпоследние" очень неплохи. Есть фичи, которых я не видел ни у одного антивиря icon_smile.gif

0
 



С нами с 05.11.03
Сообщения: 140
Рейтинг: 98

Ссылка на сообщениеДобавлено: 22/05/07 в 14:20       Ответить с цитатойцитата 

Цитата:
Swapper: проверь вот это: %windows%\csrss.exe
по принципу действия очень похож на тот что Ман ссылку давал, тоже имитирует нажатия кнопок в окнах сообщений (т.е. оутпост и каспер не спасают) запускается как системный процесс - просто так не снимешь.


не, нету icon_smile.gif явно не у меня сперли, еще 1 одного человека был доступ.

Насчет антивирей - давно уже пользуюсь Symantec Antivirus Corporate version, никогда еще не подводил, AVP больше вирусов пропускал, когда тестировал.

А вообще если не качать непонятно что и не запускать - все будет хорошо icon_smile.gif

0
 

Раздаю инвайты, ищу линк-трейд

С нами с 20.08.04
Сообщения: 16668
Рейтинг: 8593


Передовик Master-X (16.11.2006) Передовик Master-X (01.09.2019)
Ссылка на сообщениеДобавлено: 22/05/07 в 16:23       Ответить с цитатойцитата 

не качать непонятно что и не запускать не всегда возможно - начало атаки ревьверы и овнеры ЛЛов приняли, насколько мне помнится.

+1 иметь 2-3 "тачки" виртуально - и чтоб ни из одной не было видно дисков других. Вон у меня есть акроникс где-то - надо пойти диск купить, да поставить все по-новой

Кому ссылку?
RU и EN Dating

0
 

XXX-Server.biz

С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676


Передовик Master-X (16.01.2008)
Ссылка на сообщениеДобавлено: 22/05/07 в 16:28       Ответить с цитатойцитата 

Sergeyka писал:
НОД гавно
он пропустил вирус в тот первый раз когда у многих ломанули фтп

нормальный нод icon_smile.gif
а в первый раз вроде как ни один антивирус не ловил его

Хостинг от $0.05/Gb, VDS от 9$, Dedicated Servers от $49
Домены от 4.99$

0
 



С нами с 22.02.06
Сообщения: 38
Рейтинг: 5

Ссылка на сообщениеДобавлено: 23/05/07 в 08:40       Ответить с цитатойцитата 

Kors писал:
Stek: тут дело не в креках.
я тоже такую заразу поймал, и даже почти догадываюсь где...

Swapper: проверь вот это: %windows%\csrss.exe

по принципу действия очень похож на тот что Ман ссылку давал, тоже имитирует нажатия кнопок в окнах сообщений (т.е. оутпост и каспер не спасают) запускается как системный процесс - просто так не снимешь.


есть у меня
windows/system32/csrss.exe

но создан он в 2004 году, тоесть в пакете винды он был получается. Не думаю что это вирус...

0
 

Милитарист

С нами с 13.01.06
Сообщения: 677
Рейтинг: 569

Ссылка на сообщениеДобавлено: 23/05/07 в 08:47       Ответить с цитатойцитата 

BigSup писал:
есть у меня
windows/system32/csrss.exe

но создан он в 2004 году, тоесть в пакете винды он был получается. Не думаю что это вирус...


Там с ним вот какая штука:

Цитата:
CSRSS.EXE – часть пользовательской Win32 подсистемы. SRSS - сокращение от "client/server run-time subsystem" (клиент/серверная подсистема). csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS.

Файл csrss.exe всегда расположен в каталоге C:\Windows\System32/. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько десятков вирусов (например Trojan.Webus, W32.Dalbug.Worm, Spyware.LoverSpy и множество других), использующих имя csrss.exe для сокрытия своего присутствия в системе.

подкаст для тех кто в бизе: https://anchor.fm/hibrokakbiz

0
 



С нами с 22.02.06
Сообщения: 38
Рейтинг: 5

Ссылка на сообщениеДобавлено: 23/05/07 в 08:55       Ответить с цитатойцитата 

Понятно, тогда спокойнее немного...

Вообще нужно быть просто осторожнее. я к своему рабочему компутеру даже жену не пускаю почту проверять, потому что есть привычка у нее кликать по всяким рекламным ссылкам, обьявлениям итд...

Тут борьба тех кто что то прячет и тех кто хочет что то украсть.
Вторые всегда будут впереди, потому что они специально сидят и ищут дырки, а первые работают и у них нет столько времени что бы искать все дырки... да и не их профиль.

0
 



С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016

Ссылка на сообщениеДобавлено: 23/05/07 в 08:59       Ответить с цитатойцитата 

Бля, сегодня опять на том же домене обнаружил ифреймicon_sad.gif что за херняicon_sad.gif(
Закрыл все ФТП к нему.
Причем у меня еще куча других доменов, а ифрейм появляется только на одномicon_sad.gif Почему так, значит ли это, что у меня на моем компе нет трояна?
Сейчас смотрю логи фтп, заходов с чужих IP вообще не было.

0
 

full-plastic programmist

С нами с 05.09.03
Сообщения: 8361
Рейтинг: 4779

Ссылка на сообщениеДобавлено: 23/05/07 в 10:46       Ответить с цитатойцитата 

BigSup писал:
есть у меня
windows/system32/csrss.exe

но создан он в 2004 году, тоесть в пакете винды он был получается. Не думаю что это вирус...

да - это не он.
я же писал что в каталоге самих виндов - а не в system32
вообще это привычная практика - называть вирусы и трояны как разные системные файлы.

вот соскучился по мастеру...

0
 



С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016

Ссылка на сообщениеДобавлено: 23/05/07 в 10:49       Ответить с цитатойцитата 

Обнаружил на сервере в логах
Код:
127.0.0.1 "GET /r57shell/version.php?version=13 ...


Но самого файла и такой папки на сервере не нашел. Но проблема в том, что этот код выполняли как раз в том время, как повесили ифрейм.

Все бля нашел, в корне домена сидел троян shell.php с кодом от r57shell.
Самое интересное закачали его 20 Апреля, а первый раз взломали только 21-го Мая, как раз когда логи за 20 Апреля стерлисьicon_sad.gif( Поэтому даже не узнать откуда закачалиicon_sad.gif

Как бы узнать, не наставил ли он еще всякой дряни через этот шелл?

0
 



С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016

Ссылка на сообщениеДобавлено: 23/05/07 в 16:44       Ответить с цитатойцитата 

А у всех стоит safe mode на сервере?

0
 



С нами с 06.12.05
Сообщения: 9710
Рейтинг: 1222

Ссылка на сообщениеДобавлено: 23/05/07 в 20:27       Ответить с цитатойцитата 

обнаружил на всех индекс файлах, а не только на морде.
по маске наверное как то впихивает инфрейм. все фрихи заразил сцука.

подпись сдается

0
 

1К13!

С нами с 07.05.04
Сообщения: 7721
Рейтинг: 2428

Ссылка на сообщениеДобавлено: 23/05/07 в 21:31       Ответить с цитатойцитата 

miroz писал:
Все бля нашел, в корне домена сидел троян shell.php с кодом от r57shell.

ну яж говорил, что сервак надо сперва почистить.

по сабжу нодов и пинчей - я тут поинтересовался маленько: пинч запросто может самоудаляться, при этом его можно залепить хоть даже в картинку (да вообще много куда). и если пинч не нубский (фриварный или ещё из каких пионерских ресурсов), а спецом подготовленный - хрен его вообще хоть какой антивирь опознает. они его начнут опознавать только после того, как он пропалится и данные о нём поступят в базы.

выход - только в паранойе. я вон даже на закрытых сеошных форумах архивы предпочитаю не качать и на первые попавшиеся внешние ссылки не клацаю.

Talitha kumi!

0
 

full-plastic programmist

С нами с 05.09.03
Сообщения: 8361
Рейтинг: 4779

Ссылка на сообщениеДобавлено: 24/05/07 в 17:16       Ответить с цитатойцитата 

проверяйте еще вот эту дрянь:
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=135929

вот соскучился по мастеру...

0
 
+ + +


С нами с 26.05.04
Сообщения: 817
Рейтинг: 470

Ссылка на сообщениеДобавлено: 24/05/07 в 17:36       Ответить с цитатойцитата 

проверяйте еще вот эту дрянь:

эту заразу каспер ловит на раз
АОЛ версия
мне грузили вот с этого сайта jillvideos.com
был в трейдерах, но не долго
с админки открываетсля чисто, при заходе с сайта полный букет

0
 



С нами с 12.02.07
Сообщения: 312
Рейтинг: 156

Ссылка на сообщениеДобавлено: 24/05/07 в 17:48       Ответить с цитатойцитата 

benzole писал:
пинч запросто может самоудаляться, при этом его можно залепить хоть даже в картинку (да вообще много куда).


всмысле и расширение будет к примеры .jpg ??

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор сайта

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »