Новая тема   Ответить

 Zizi
Вобщем обнаружил у себя на сиджах такую гадость:

<script>
removed by moderator
</script>

сидит в файле вывода тумб для Смарт Тумбс (index.html), т.е. на морду подгружается вместе с тумбами. Админы вроде почистили, он сцуко остается. Один из зараженных доменов даже попал в базы гугла, теперь ФФ ругается на него.

Кто знаком со зверем, подскажите плиз как изгнать его, а то админы заняты переездом каким-то, а мне бы очень не хотелось, чтоб остальные сиджи тож в базу загремели.

 CrazyMen
Зверя изганять свящника позови. А так стучи саппорту и пусть в спешном порядке этот вопрос пусть решают. хЗ пароль на хосте смени на всякий пожарный еще

 Maxik
А трейд скрипт не ATX случаем?

 LIAM
жёсткий трой
такая же ситуация была с сиджем, у меня на домене еще сотни страниц и папок, так он в каждую страницу этот код прописал
посмотри есть ли левые файлы типа - thumb.php img.php
троян в них, но даже когда все удалил - появились снова

т к саппорт hqhost проигнорировал заявку, пришлось всё удалить
скрипты переустановить, файлы перезалить(
возможно, как временное решение можно удалить этот код и поменять права доступа на файле, чтобы он не мог записаться туда снова, но тогда и смарт остановится

 Zizi
Maxik писал:

скрипт АТЛ3. давно не обновлял, админы грешат на него. Прописался везде где мог, и в файле настроек ST в том числе
"в папке st лежал скрипт sync.php который удаленно дергался и повторно инфицировал локальные файлы"


Атаки было 3 - 22-го января, 2-го и 5-го февраля.

Админ говорит удалил всё что смог... зверь возвращается

Последний раз редактировалось: Zizi (09/02/09 в 02:15), всего редактировалось 1 раз

 gilbert
та же хуйня пару дней назад была, в фф и гугле выскакивало предупреждение.
Админ все почистил, предупреждение убрали.
там еще на два домена лезло, один с целебсами связан, глянь в фф доп инфу.

 Zizi
Цитата:
угу...


помимо левого кода на страницах удалили с десяток левых скриптов... вроде больше не появляется

всем рейтинг !!!

 Maxik
Про ATX: было тут массовое заражение, гдето с полгодика назад. Лечилось насколько помню закрытием трейд форм, и удалением всего этого говна. Потом разработчик ATX обновление выпустил, и все утихло. Поищи поиском.

 Zizi
Вчера вроде удалили всё, сегодня опять нашли, правда не на всех сиджах... Сейчас закрыл трейд формы, попробуем еще раз почистить...

 Spilk
Закрытие форм не поможет. Блин, чуть что, сразу формы закрыть, а в аське никого не выловишь, уже трейдить не с кем...
Решение было в использовании последнего обновления, 2-х файлов .htaccess, и закрытия по ip в админке.

.htaccess #1
Код:

.htaccess #2
Код:

 Zizi
Подскажите плз где размещать эти 2 htaccess?

потом тут вычитал, что в ST 5.63 и выше можно сканировать папку ST на предмет наличия посторонних файлов, и если таковые присутствуют, СТ удаляет их... Тока где эта фича не нахожу... стоит ST 5.70

и самый главный вопрос - как я могу самостоятельно идентифицировать и
удалять вредоносные файлы имея SSH доступ... а то админ после первой попытки почистить сервак просто перестал отвечать.... последнее сообщение от админа - "хз, вчера вроде все удалил... значит или не совсем все, или дыра так и есть через которую ломают"...

а у меня ещё 2 домена в базы гугла попали... может все же успею почистить сам пока все домены не загремели туда

 Zizi
ещё нашел файлы login.cgi.core и x2.cgi.core в папке "at3/x"

что это? на сидже, на котором вируса нет этих файлов нет

 Zizi
Нашел в ST file check (Tools)... на одном домене, в папке img/css_blue1/ сидит скрипт, не удаляется, права на себя тож поменять не дает!

как его удалить можно?

 apostle
Zizi писал:
хацкеры не сразу определили твою OS и пробовали различные exploit для ATX!
обнови скрипт

 Spilk
Почитай по теме, там все расписано:

Вниманию тех кто юзает ATL3! - серьезная уязвимость!
Попытки залогинитьcя в АТЛ под user/pass
Ну вот и меня подломали...
Закрывайте админки ат3, опять..