мы, цари - народ работящий!
С нами с 11.06.05
Сообщения: 13121
Рейтинг: 4892
|
Добавлено: 03/06/07 в 23:01 |
спасибо! сгодня бухаю вместо постинга
|
|
|
|
пьяный мастер
С нами с 06.09.05
Сообщения: 11947
Рейтинг: 5837
|
Добавлено: 03/06/07 в 23:28 |
Теперь перед постингом буду на мастер заходить всегда
|
|
|
|
Z
С нами с 15.05.05
Сообщения: 55148
Рейтинг: 7770
|
Добавлено: 04/06/07 в 00:06 |
X-dream писал: | На какие например ? |
уже не однократно писал
putty - организуем SSH тунель до сервака
|
|
|
|
С нами с 13.07.02
Сообщения: 3113
Рейтинг: 1817
|
Добавлено: 04/06/07 в 01:27 |
X-dream писал: | На какие например ? |
SCP, SFTP...
|
|
|
|
С нами с 19.09.06
Сообщения: 645
Рейтинг: 467
|
Добавлено: 04/06/07 в 09:19 |
на своём компьютере как обнаружить этот трой, подскажите?
|
|
|
|
IDDQD
С нами с 30.08.05
Сообщения: 5545
Рейтинг: 2710
|
Добавлено: 04/06/07 в 11:00 |
уже можно постить ? Хорошо что гулял пару дней...
|
|
|
|
С нами с 24.03.04
Сообщения: 10716
Рейтинг: 3949
|
Добавлено: 04/06/07 в 12:03 |
PFT писал: | на своём компьютере как обнаружить этот трой, подскажите? |
а вот хуй его знает
для начало посмотри автозагрузку в реестре на пред мет всякой хуйни
|
|
|
|
erMoney
С нами с 30.04.04
Сообщения: 3836
Рейтинг: 1826
|
Добавлено: 04/06/07 в 12:43 |
Kit
есть какая то информация о том как это все было сделано ?
|
|
|
|
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
|
Добавлено: 04/06/07 в 16:33 |
Самое первое при обноружении, в корне диска с или d находится подозрительный (не вы его туда поместили) exe файл
Троян переписывает файл svhost
Далее ищите все что с этим файлом связано в реестре
Ну и чистите файлы на своем хосте
|
|
|
|
НЕ ЗАНИМАЮСь ФИНАНСАМИ!
С нами с 16.03.03
Сообщения: 1251
Рейтинг: 653
|
Добавлено: 04/06/07 в 18:08 |
Кто из ативирей ловить умеет?
|
|
|
|
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
|
Добавлено: 04/06/07 в 18:27 |
Старую модификацию брал каспер и нод, про новую не знаю
|
|
|
|
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
|
Добавлено: 06/06/07 в 18:37 |
|
|
|
|
С нами с 24.03.04
Сообщения: 10716
Рейтинг: 3949
|
Добавлено: 06/06/07 в 18:51 |
пусть бы кит и тут отписал
|
|
|
|
С нами с 29.04.06
Сообщения: 61
Рейтинг: 63
|
Добавлено: 06/06/07 в 19:28 |
Мои домены тоже прошли. Насколько удалось разобраться, пацаны из китая и польши ломанули.
В два притопа сделали. 2 мая заметил тупой дефейс в течении 5 минут 10 доменов.. только индексы.
Быстро было всё зачищено. Пароли поменяны.. поставлено на учёт и контоль. SSH закрыто.. FTP заменён на SFTP.. ну и ещё куча всякого..
Всё нормально..
проходит две недели - замечаю утечку траффика. Ищем. Находим iframe в индексах с аккуратным скриптом, укладывающим троян защедшим.
Троян сразу засёк Каспер. Достаточно тяжёлый троянчик, мощный..
Попобовал его посмотреть - интерфейс у него весь на китайском..
Долго проверялся потом у себя. Тырит пароли с локали.
Так вот - оказывается в первый раз был уложен троян аккуратно на сервак, который выждал 2 недели и активизиовался.
Даёт веб-шелл владельцу. Поэтому никаких ФТП ненужно. Через веб интерфейс всё делается с сайтами.
Сломали скорее всего через WordPress ..
Такая вот истоия.
Будьте бдительны к скиптам на пхп в основном..
Уроды, короче.. столько времени истратил.. на починку
всем бдеть!!!
|
|
Рекламы нет. На реконструкции.
|
0
|
|
|
С нами с 19.09.06
Сообщения: 645
Рейтинг: 467
|
Добавлено: 09/06/07 в 12:52 |
Oc, Sergeyka, спасибо за информацию, буду глядеть у себя.
п.с. думал кто-то из наших хацкеров такое провернул
|
|
|
|
Нас не згвалтувати!
С нами с 16.10.02
Сообщения: 4171
Рейтинг: 1460
|
Добавлено: 09/06/07 в 13:14 |
нод не ловит. каспер справляется любой. троян сажает скачанный софт. точнее при распаковке архива с каким либо софтом. я поймал при скачке какойто проги с citysmile.ru
воруются только фтп пароли. потом меняются все корневые индексы.
|
|
|
|
да, Барт
С нами с 22.10.04
Сообщения: 2104
Рейтинг: 1965
|
Добавлено: 09/06/07 в 14:15 |
Rams писал: | нод не ловит. каспер справляется любой. троян сажает скачанный софт. точнее при распаковке архива с каким либо софтом. я поймал при скачке какойто проги с citysm ile.ru
воруются только фтп пароли. потом меняются все корневые индексы. |
какой у тебя фтп-клиент? TotalCommander или другой? или это не имеет значения?
|
|
|
|
Нас не згвалтувати!
С нами с 16.10.02
Сообщения: 4171
Рейтинг: 1460
|
Добавлено: 09/06/07 в 18:45 |
у меня несколько в том числе и totalcom. вполне возможно что воруется именно тоталовский wcx_ftp.ini
|
|
|
|
С нами с 18.11.99
Сообщения: 14226
|
Добавлено: 09/06/07 в 18:55 |
slonic писал: | пусть бы кит и тут отписал |
Отписываю ещё раз: На локальных компьютерах мы ничего не нашли.
С учётом того, что внедрение вируса было сделано довольно глупо, и явно автоматом, у нас есть подозрение, что эти пароли были добыты через сниффинг трафика где-то по дороге.
1) Лечится такое переходом на шифрованный протокол SFTP
2) Разрешать логин нужно только со своего IP-адреса, который желательно иметь статичным.
|
|
|
|
С нами с 06.11.02
Сообщения: 24551
Рейтинг: 5315
|
Добавлено: 09/06/07 в 19:11 |
Sergeyka писал: | Очередные читеры на Естдомайн, сука теперь я понимаю почему Естдомайн не любят западные овнеры, с таким подходом к бизу скоро сам буду банить
Написал абузу, поможет нет хз |
Без решения суда не удаляют.
|
|
|
|
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
|
Добавлено: 10/06/07 в 10:51 |
LOVE писал: | Без решения суда не удаляют. |
Домен залочили читай ниже, я скинул им урл на этот топик, и домен залочили
|
|
|
|
BM
С нами с 07.11.03
Сообщения: 2459
Рейтинг: 1892
|
Добавлено: 11/06/07 в 21:41 |
|
|
|
|