+ + +
С нами с 11.11.06
Сообщения: 291
Рейтинг: 15
|
 Добавлено: 26/05/07 в 19:19 |
| Hide-R писал: | | Я вообще до сих пор поражаюсь, как мои кенты, далеко не начинающие АВМ'ы до сих пор хранят пароли в тексовом файлике на рабочем столе |
Я тоже всегда хранил и храню пароли в текстовом файле. Только не на рабочем столе, а в папке на одном из дисков. И расширение у моего текстового файлика вовсе не .txt Открываю его по F4 из FAR
В качестве FTP менеджера советую использовать FAR - он не хранит пароли в открытом виде.
|
|
|
|
| |
+ + +
С нами с 11.11.06
Сообщения: 291
Рейтинг: 15
|
| Добавлено: 26/05/07 в 19:26 |
| Kors писал: | Stek: тут дело не в креках.
я тоже такую заразу поймал, и даже почти догадываюсь где...
Swapper: проверь вот это: %windows%\csrss.exe
по принципу действия очень похож на тот что Ман ссылку давал, тоже имитирует нажатия кнопок в окнах сообщений (т.е. оутпост и каспер не спасают) запускается как системный процесс - просто так не снимешь. |
Я только что проверил - есть у меня процесс csrss.exe
Как ты его удалил?
|
|
|
|
| |
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
 
|
| Добавлено: 26/05/07 в 19:32 |
| YUIOP писал: | Я только что проверил - есть у меня процесс csrss.exe
Как ты ег о удалил? |
Он у всех есть  это майкрософтовская приблуда
посомтри дату создания файла и свойства
|
|
|
|
| |
full-plastic programmist
С нами с 05.09.03
Сообщения: 8361
Рейтинг: 4779
|
| Добавлено: 26/05/07 в 20:39 |
| YUIOP писал: | | В качестве FTP менеджера советую использовать FAR - он не хранит пароли в открытом виде. |
утягиваются и из ФАРа пароли тоже.
какая разница как он их хранит - троян берет записи из реестра - пусть они и пошифрованые - на другом компе импортируем эти записи в реестр и ФАР их отлично понимает.
по поводу процесса - ранее писали - Файл csrss.exe всегда расположен в каталоге C:\Windows\System32/. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален.
|
|
|
|
вот соскучился по мастеру...
|
0
|
|
| |
+ + +
С нами с 11.11.06
Сообщения: 291
Рейтинг: 15
|
| Добавлено: 26/05/07 в 20:55 |
| Sergeyka писал: | Он у всех есть это майкрософтовская приблуда
посомтри дату создания файла и свойства |
Дата создания файла - 2002 год. Видимо все OK
|
|
|
|
| |
1К13!
С нами с 07.05.04
Сообщения: 7721
Рейтинг: 2428
|
| Добавлено: 26/05/07 в 21:29 |
| quastro писал: | | всмысле и расширение будет к примеры .jpg ?? |
ага
|
|
|
|
| |
С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016
|
| Добавлено: 28/05/07 в 11:41 |
Сегодня опять обнаружил ифрейм в индексе и шелл в корне домена. Опять на том же домене, другие не тронуты. По логам фтп все чисто, никто не заходил.
в логам httpd обнаружил следующее:
| Код: | [Sun May 27 04:02:17 2007] [notice] Apache/1.3.37 (Unix) mod_ssl/2.8.28 OpenSSL/0.9.7a PHP/4.4.4 mod_perl/1.29 FrontPage/5.0.2.2510 configured -- resuming normal operations
[Sun May 27 04:02:17 2007] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Sun May 27 04:02:17 2007] [notice] Accept mutex: sysvsem (Default: sysvsem)
[Sun May 27 04:06:10 2007] [error] [client 127.0.0.1] File does not exist: /var/www/html/r57shell/version.php
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key |
Как они этот шелл пропихивают  ?
|
|
|
|
| |
С нами с 19.12.06
Сообщения: 528
Рейтинг: 511
|
| Добавлено: 28/05/07 в 15:39 |
Может на серваках, которые ломают стоит какой-нить софт, в котором дырочку нашли?
|
|
|
|
| |
С нами с 05.11.02
Сообщения: 649
Рейтинг: 467
|
| Добавлено: 28/05/07 в 16:07 |
на все сайты вчера повесили ифреймы.
по фтп с этого айпи 217.175.91.126.
откуда взяли пароли от всех серверов я хз антивирусы ничего не нашли.файрволл стоит.
я не понимаю смысл таких взломов ведь такое почти сразу просекается.
inetnum: 217.175.91.0 - 217.175.91.127
netname: Fort-DKS
descr: Fort DKS (Dnepr)
country: UA
admin-c: YVA7-RIPE
tech-c: YVA7-RIPE
status: ASSIGNED PA
mnt-by: DG-MNT
source: RIPE # Filtered
person: Vyacheslav Yalanskiy
address: 49040, Dnepropetrovsk, Dgincharadze, 12a
e-mail:
phone: +38 056 777-10-55
fax-no: +38 056 777-10-55
nic-hdl: YVA7-RIPE
source: RIPE # Filtered
|
|
|
|
| |
С нами с 17.05.07
Сообщения: 1
|
| Добавлено: 28/05/07 в 20:03 |
Конечно просекаеться. А вы как думали. И до сих пор как дураки не можете понять? Веть все очень предельно просто. ))))))))))) . Взять и подставить конкурентов или врагов своих. Вот и все.
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 28/05/07 в 21:20 |
Жопе слова не давали. Вали давай отсюда.
|
|
|
|
| |
+ + +
С нами с 11.11.06
Сообщения: 291
Рейтинг: 15
|
| Добавлено: 29/05/07 в 17:39 |
| miroz писал: | Сегодня опять обнаружил ифрейм в индексе и шелл в корне домена. Опять на том же домене, другие не тронуты. По логам фтп все чисто, никто не заходил.
Как они этот шелл пропихивают ? |
Включи PHP Safe Mode
Отключи PHP Register Globals
|
|
|
|
| |
С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016
|
| Добавлено: 29/05/07 в 18:28 |
| YUIOP писал: | Включи PHP Safe Mode
Отключи PHP Register Globals |
Скрипты работать не будут
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 29/05/07 в 21:35 |
плохие скрипты
|
|
|
|
| |
Дизайн, вёрстка, то сё
С нами с 16.10.02
Сообщения: 4875
Рейтинг: 3947
|
| Добавлено: 29/05/07 в 22:06 |
а какие скрипты не требуют ON на
PHP Safe Mode
PHP Register Globals
?
|
|
|
|
Респонсивная верстка - icq 282886909
|
0
|
|
| |
С нами с 04.07.06
Сообщения: 4956
Рейтинг: 3016
|
| Добавлено: 30/05/07 в 18:33 |
Все разобрался, у меня ломали через скрипт голосовалки, которая на сайте висела (
|
|
|
|
| |
С нами с 07.10.03
Сообщения: 5194
Рейтинг: 3325
|
| Добавлено: 03/06/07 в 18:52 |
| miroz писал: | | Как-то подозрительно, уж очень сильная эпидемия началась, где все могли это подцепить? |
каникулы
| Fiber писал: | Скорее всего, это какой-то криптованный pinch.
|
да так и есть, ты зайди на один из его сайтов, там целая страница фитч , от чего и как тянет, что пробивает
| benzole писал: | | выход - только в паранойе. я вон даже на закрытых сеошных форумах архивы предпочитаю не качать и на первые попавшиеся внешние ссылки не клацаю. |
вчера инфу искал в рунете, по безобидной теме , на какой то сайт научных разработак зашел а там трояны кишат, эта гадасть уже по всюду распространилась
да, где то читал что рекомендуют юзать старенькие и мало известные фтп клиенты, заибутся настраиваться под каждый из них свои продукты
|
|
|
|
| |
+
сам дебил
С нами с 25.07.06
Сообщения: 5379
Рейтинг: 1822
|
| Добавлено: 03/06/07 в 21:42 |
мля что за долбаебизм с доменными именами? этот урод перевез домен на другой хост и там же опять поставил свой код.
У кого-нибудь есть идеи как добить этого урода?
|
|
|
|
| |
саблезубый кролик
С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993
|
| Добавлено: 04/06/07 в 02:43 |
| rusawm писал: | | У кого-нибудь есть идеи как добить этого урода? |
Нормальные скрипты + нормальный хостер у которого один юзер не сможет поправить скрипты другого + антивирь на компе. Из моих ресурсов ничего не ломали
|
|
|
|
| |
+
сам дебил
С нами с 25.07.06
Сообщения: 5379
Рейтинг: 1822
|
| Добавлено: 04/06/07 в 23:34 |
| Gourad писал: | | Нормальные скрипты + нормальный хостер у которого один юзер не сможет поправить скрипты другого + антивирь на компе. Из моих ресурсов ничего не ломали |
ты не понял. Трояна удалили переустановкой винды. я отписал абуз хостеру, тот забанил акк, он перевез его на другой хост за бакс и будет делать это каждый раз. Писал регистратору абуз на эксплойты и неверных вхуиз, ответа так и не получил. У меня желание принести побольше гемороя создателю трояна хочу чтобы домен этот залочили и юзеры не заражились.
|
|
|
|
| |
С нами с 09.11.06
Сообщения: 112
Рейтинг: 59
|
| Добавлено: 05/06/07 в 19:11 |
У меня вот подобная проблема была так я сейчас вообще фтп не прописываю никуда а просто копирую с фара с отдельной папки соединяюсь и удаляю чтобы не было настройках FTP никаких соединений надеюсь пронесет
|
|
|
|
McColo - Вам надо недорогой хостинг или сервер ICQ 477771 и 407737.
|
0
|
|
| |
С нами с 07.09.04
Сообщения: 763
Рейтинг: 874
|
| Добавлено: 05/06/07 в 21:29 |
вот так вот почитаешь, и параноиком станешь... лето блять, каникулы...
мож накатать абуз общими силами? или регистратора домена задолбить по полной. Надавить на неправильный хуиз.
|
|
|
|
| |
С нами с 18.04.04
Сообщения: 89
Рейтинг: 12
|
| Добавлено: 07/06/07 в 13:51 |
Вот уроды! Вчера на три домена инфреймы в индексах поставили.
Айпишник этот же самый - 217.175.91.126
|
|
|
|
| |
С нами с 06.11.02
Сообщения: 24551
Рейтинг: 5315
|
| Добавлено: 08/06/07 в 11:19 |
Блин, много жалоб на NOD32
|
|
|
|
| |
С нами с 05.11.02
Сообщения: 649
Рейтинг: 467
|
| Добавлено: 15/06/07 в 18:36 |
| LOVE писал: | | Блин, много жалоб на NOD32 |
у меня он чтото дохуя пропускает.
|
|
|
|
| |
