С нами с 19.01.06
Сообщения: 22
Рейтинг: 16
|
Добавлено: 22/05/07 в 09:43 |
_Milan_ писал: | наивные, сейчас пароли к фтп...совсем не троянами пиздятся.... |
да ну, а чем еще?
если только обработка логов...... но это провайдеры задействованы должны быть
во всяком случае мы сталкивались только со случаями когда трояном уводились пароли, и описание того трояна здесь на мастере уже выкладывалось
|
|
|
|
С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016
|
Добавлено: 22/05/07 в 09:47 |
А такой троян чем-нибудь ловится? Как его обнаружить?
|
|
|
|
full-plastic programmist
С нами с 05.09.03
Сообщения: 8361
Рейтинг: 4779
|
Добавлено: 22/05/07 в 11:01 |
miroz писал: | Подозреваю, что это не через трояна ставят, но как не знаю |
а других вариантов нет.
со стороны хостинга или провайдера это нереально, объяснять почему - долго, но думаю и так все понимают.
и если этот троян ненаходится - не факт что его не было.
вполне возможно кстати, что собрав все пароли и отослав их он самоубивается - чтобы никто ничего и не подумал...
|
|
вот соскучился по мастеру...
|
0
|
|
|
С нами с 19.01.03
Сообщения: 15
Рейтинг: 5
|
Добавлено: 22/05/07 в 11:07 |
Скорее всего, это какой-то криптованный pinch.
То, что я пытался отследить у себя, выглядело так:
Был у меня один фтп со слабым паролем 5 символов, его, скорее всего путем перебора выявили и прописали айфреймов.
Я, видя что страница не открывается в опере, зашел осликом, тут же заверещали все антивирусы, оутпост и прочее.
Вышел из сети, пришлось делать откат винды, чистить все.
Результат - на следующий день по всем фтп, что были в CuteFTP были айфреймы в индексных файлах.
Вобщем лоханулся по полной программе.
На хакерских сайтах продают скрипт, который по списку фтп, полученному из троянов, переписывает все индексные файлы.
Даже на PPCшный форумах такие предложения проскакивают.
|
|
|
|
С нами с 19.12.06
Сообщения: 528
Рейтинг: 511
|
Добавлено: 22/05/07 в 12:07 |
ИМХО любой антивирь и файрвол можно обойти. Взять хотя бы те же лич тесты для фаеров. Всегда есть пара-тройка, которые ни один (бывает в разброс) файрвол не проходит. А сокрытием троев от антивирей и я баловался в свое время.
Касперский...тогда еще 5 версии было совсем легко наебать, Др. Веб сложнее, но можно было, самый мощный в этом отношении был VBA, но с базами у него напряг. Нод как я понял, сейчас также тяжело обойти, как раньше VBA, но и его можно обойти - 100%.
Просто нашлись умельцы и решили побаловаться. ИМХО это только начало. Сейчас механизмы обкатают и в следующий раз будт больнее
|
|
|
|
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
|
Добавлено: 22/05/07 в 12:18 |
Hide-R писал: | ИМХО любой антивирь и файрвол можно обойти. Взять хотя бы те же лич тесты для фаеров. Всегда есть пара-тройка, которые ни один (бывает в разброс) файрвол не проходит. А сокрытием троев от антивирей и я баловался в свое время.
Касперский...тогда еще 5 версии было совсем легко наебать, Др. Веб сложнее, но можно было, самый мощный в этом отношении был VBA, но с базами у него напряг. Нод как я понял, сейчас также тяжело обойти, как раньше VBA, но и его можно обойти - 100%.
Просто нашлись умельцы и решили побаловаться. ИМХО это только начало. Сейчас механизмы обкатают и в следующий раз будт больнее |
НОД гавно
он пропустил вирус в тот первый раз когда у многих ломанули фтп
|
|
|
|
С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016
|
Добавлено: 22/05/07 в 12:22 |
Sergeyka писал: | НОД гавно
он пропустил вирус в тот первый раз когда у многих ломанули фтп |
А чем же можно тогда оперделить?
|
|
|
|
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
|
Добавлено: 22/05/07 в 12:30 |
не знаю но я точно знаю что продлять лицензию на НОД я не буду
лучше куплю НортонАнтивирус
|
|
|
|
Милитарист
С нами с 13.01.06
Сообщения: 677
Рейтинг: 569
|
Добавлено: 22/05/07 в 12:41 |
Я в этом смысле сторонник разделения машин.
Одна для серфинга-закачек, одна для работы, одна чисто под финансы.
|
|
|
|
С нами с 19.12.06
Сообщения: 528
Рейтинг: 511
|
Добавлено: 22/05/07 в 14:16 |
Sergeyka писал: | НОД гавно
он пропустил вирус в тот первый раз когда у многих ломанули фтп |
Ну не совсем гавно. Я поэтому и написал, что ни один антивирь не даст 100% защиты. Обойти можно любой антивирь и файрвол.
Цитата: | не знаю но я точно знаю что продлять лицензию на НОД я не буду
лучше куплю НортонАнтивирус |
А вот этого не советую Вот оно точно говно, причем тормозное и громоздкое. Если уж брать из продукции Симантека, то лучше Symantec Antivirus Server (Corporate что ли...). Компания одна и та же, а продукты очень разные. Последние версии не знаю как, но "предпоследние" очень неплохи. Есть фичи, которых я не видел ни у одного антивиря
|
|
|
|
С нами с 05.11.03
Сообщения: 140
Рейтинг: 98
|
Добавлено: 22/05/07 в 14:20 |
Цитата: | Swapper: проверь вот это: %windows%\csrss.exe
по принципу действия очень похож на тот что Ман ссылку давал, тоже имитирует нажатия кнопок в окнах сообщений (т.е. оутпост и каспер не спасают) запускается как системный процесс - просто так не снимешь. |
не, нету явно не у меня сперли, еще 1 одного человека был доступ.
Насчет антивирей - давно уже пользуюсь Symantec Antivirus Corporate version, никогда еще не подводил, AVP больше вирусов пропускал, когда тестировал.
А вообще если не качать непонятно что и не запускать - все будет хорошо
|
|
|
|
Раздаю инвайты, ищу линк-трейд
С нами с 20.08.04
Сообщения: 16668
Рейтинг: 8593
|
Добавлено: 22/05/07 в 16:23 |
не качать непонятно что и не запускать не всегда возможно - начало атаки ревьверы и овнеры ЛЛов приняли, насколько мне помнится.
+1 иметь 2-3 "тачки" виртуально - и чтоб ни из одной не было видно дисков других. Вон у меня есть акроникс где-то - надо пойти диск купить, да поставить все по-новой
|
|
|
|
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9411
Рейтинг: 6676
|
Добавлено: 22/05/07 в 16:28 |
Sergeyka писал: | НОД гавно
он пропустил вирус в тот первый раз когда у многих ломанули фтп |
нормальный нод
а в первый раз вроде как ни один антивирус не ловил его
|
|
|
|
С нами с 22.02.06
Сообщения: 38
Рейтинг: 5
|
Добавлено: 23/05/07 в 08:40 |
Kors писал: | Stek: тут дело не в креках.
я тоже такую заразу поймал, и даже почти догадываюсь где...
Swapper: проверь вот это: %windows%\csrss.exe
по принципу действия очень похож на тот что Ман ссылку давал, тоже имитирует нажатия кнопок в окнах сообщений (т.е. оутпост и каспер не спасают) запускается как системный процесс - просто так не снимешь. |
есть у меня
windows/system32/csrss.exe
но создан он в 2004 году, тоесть в пакете винды он был получается. Не думаю что это вирус...
|
|
|
|
Милитарист
С нами с 13.01.06
Сообщения: 677
Рейтинг: 569
|
Добавлено: 23/05/07 в 08:47 |
BigSup писал: | есть у меня
windows/system32/csrss.exe
но создан он в 2004 году, тоесть в пакете винды он был получается. Не думаю что это вирус... |
Там с ним вот какая штука:
Цитата: | CSRSS.EXE – часть пользовательской Win32 подсистемы. SRSS - сокращение от "client/server run-time subsystem" (клиент/серверная подсистема). csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS.
Файл csrss.exe всегда расположен в каталоге C:\Windows\System32/. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько десятков вирусов (например Trojan.Webus, W32.Dalbug.Worm, Spyware.LoverSpy и множество других), использующих имя csrss.exe для сокрытия своего присутствия в системе. |
|
|
|
|
С нами с 22.02.06
Сообщения: 38
Рейтинг: 5
|
Добавлено: 23/05/07 в 08:55 |
Понятно, тогда спокойнее немного...
Вообще нужно быть просто осторожнее. я к своему рабочему компутеру даже жену не пускаю почту проверять, потому что есть привычка у нее кликать по всяким рекламным ссылкам, обьявлениям итд...
Тут борьба тех кто что то прячет и тех кто хочет что то украсть.
Вторые всегда будут впереди, потому что они специально сидят и ищут дырки, а первые работают и у них нет столько времени что бы искать все дырки... да и не их профиль.
|
|
|
|
С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016
|
Добавлено: 23/05/07 в 08:59 |
Бля, сегодня опять на том же домене обнаружил ифрейм что за херня (
Закрыл все ФТП к нему.
Причем у меня еще куча других доменов, а ифрейм появляется только на одном Почему так, значит ли это, что у меня на моем компе нет трояна?
Сейчас смотрю логи фтп, заходов с чужих IP вообще не было.
|
|
|
|
full-plastic programmist
С нами с 05.09.03
Сообщения: 8361
Рейтинг: 4779
|
Добавлено: 23/05/07 в 10:46 |
BigSup писал: | есть у меня
windows/system32/csrss.exe
но создан он в 2004 году, тоесть в пакете винды он был получается. Не думаю что это вирус... |
да - это не он.
я же писал что в каталоге самих виндов - а не в system32
вообще это привычная практика - называть вирусы и трояны как разные системные файлы.
|
|
вот соскучился по мастеру...
|
0
|
|
|
С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016
|
Добавлено: 23/05/07 в 10:49 |
Обнаружил на сервере в логах
Код: | 127.0.0.1 "GET /r57shell/version.php?version=13 ... |
Но самого файла и такой папки на сервере не нашел. Но проблема в том, что этот код выполняли как раз в том время, как повесили ифрейм.
Все бля нашел, в корне домена сидел троян shell.php с кодом от r57shell.
Самое интересное закачали его 20 Апреля, а первый раз взломали только 21-го Мая, как раз когда логи за 20 Апреля стерлись ( Поэтому даже не узнать откуда закачали
Как бы узнать, не наставил ли он еще всякой дряни через этот шелл?
|
|
|
|
С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016
|
Добавлено: 23/05/07 в 16:44 |
А у всех стоит safe mode на сервере?
|
|
|
|
С нами с 06.12.05
Сообщения: 9710
Рейтинг: 1222
|
Добавлено: 23/05/07 в 20:27 |
обнаружил на всех индекс файлах, а не только на морде.
по маске наверное как то впихивает инфрейм. все фрихи заразил сцука.
|
|
|
|
1К13!
С нами с 07.05.04
Сообщения: 7721
Рейтинг: 2428
|
Добавлено: 23/05/07 в 21:31 |
miroz писал: | Все бля нашел, в корне домена сидел троян shell.php с кодом от r57shell. |
ну яж говорил, что сервак надо сперва почистить.
по сабжу нодов и пинчей - я тут поинтересовался маленько: пинч запросто может самоудаляться, при этом его можно залепить хоть даже в картинку (да вообще много куда). и если пинч не нубский (фриварный или ещё из каких пионерских ресурсов), а спецом подготовленный - хрен его вообще хоть какой антивирь опознает. они его начнут опознавать только после того, как он пропалится и данные о нём поступят в базы.
выход - только в паранойе. я вон даже на закрытых сеошных форумах архивы предпочитаю не качать и на первые попавшиеся внешние ссылки не клацаю.
|
|
|
|
full-plastic programmist
С нами с 05.09.03
Сообщения: 8361
Рейтинг: 4779
|
Добавлено: 24/05/07 в 17:16 |
|
|
вот соскучился по мастеру...
|
0
|
|
|
+ + +
С нами с 26.05.04
Сообщения: 817
Рейтинг: 470
|
Добавлено: 24/05/07 в 17:36 |
проверяйте еще вот эту дрянь:
эту заразу каспер ловит на раз
АОЛ версия
мне грузили вот с этого сайта jillvideos.com
был в трейдерах, но не долго
с админки открываетсля чисто, при заходе с сайта полный букет
|
|
|
|
С нами с 12.02.07
Сообщения: 312
Рейтинг: 156
|
Добавлено: 24/05/07 в 17:48 |
benzole писал: | пинч запросто может самоудаляться, при этом его можно залепить хоть даже в картинку (да вообще много куда). |
всмысле и расширение будет к примеры .jpg ??
|
|
|
|