Новая тема   Ответить

 Gidz
Поймал какуе-то хуйню, заражаются файлы .php .html таким инфреймом
Код:

чищу, но он снова появляется. Лезет в файлы smartcj, progress'a и еще в linkex есть тоже. Как его поймать? все пассы поменял, на фтп тоже

 magay
У меня тоже этот ублюдок понасырал и на сиджах и на блогах (во всех файлах где присутствует слово index) Почистил, пароли сменил вроде все ок. Тьфу-Тьфу-Тьфу

 Woland
Цитата: Пинать админов, пусть смотрят логи.

 Yacc
Gidz писал:
Да ни как - спамеры непобедимы.

Поискал трой, который грузиться по ссылке из ифрейма:
http://www.google.ru/search?hl=ru&q=%22Trojan.Win32.Agent2.kvp%…=f&oq=

А ты их ловить собираешься.

 Woland
Yacc: Чё вдруг "никак" ? Обычно вся эта лажа написана из расчёта "под дефолтный сервак", полюбому видна в логах (если их вести) и исправляется, было б желание ...

 Yacc
Woland: Думаешь, что когда не останется серверов с дефолтными настройками, выключенными логами и ленивыми админами - спамеры и иже с ними сразу вымрут?
Кстати не такая уж это и лажа. А когда она на живом сидже, так это вообще катастрофа.

 Woland
Цитата: Кто сказал, что так когда-то будет ? Но пока оно пишется вот так и особой проблемы отловить обычно нет, было бы желание, о чём я и писал (ну а чё написать - опусти руки, не парься - смысла отлавливать нет ?)

Цитата: Я не трактую слово "лажа", как синоним слова "мелочь" - само-собой это очень херовая вещь, на сидже тем более ...

 Yacc
Пардон. Я решил, что тс собрался бота ловить.

2 тс: Должен быть скрипт, который ифрейм пишет. Найди его, потом по сигнатуре ищи во всех файлах. Свой комп тоже проверь.
Очень нестандартный трейдер или взлом АТS?
Help! Защита от заливки чужих РНР

А вот и хостер: masterhost.ru
http://www.malwaredomainlist.com/mdl.php?search=masterhost&cols…uantity=50

Касперский троя в свои базы добавил 8 июля.
http://www.kaspersky.ru/viruswatchlite?search_virus=trojan.win32.ag…=0&y=0

Вот сюда загляни
http://www.f-secure.com/en_EMEA/security/security-lab/tools-and-services/
может помочь.

Последний раз редактировалось: Yacc (11/07/09 в 15:20), всего редактировалось 1 раз

 alex.raven
подобная хрень меня терроризировала одно время, причем хостер говорит установить права на запись только для хозяина, но хрен там. оказалось, что оно дописывается по фтп (т.е троян скачивает - изменяет - закачивает обратно файлы на сервак). а потом нашел статью, где описан этот способ взлома через дыры в CPanel. долго писал в саппорт хостера, а потом они проапгрейдили спанел и всё прекратилось.

 Woland
Панели (особенно популярные, а не качественные, но самописные) вообще зло. И ftp протокол, кстати - тоже

 rrr
а все же какая природа появления вирусов помогите понять более точно?
расхлябанность овнера, которому в падлу поставить антивирус с лицензией?
непредусмотрительность админов хостинга по настройке безопасности?
чаще всего - как появляются вирусы на сиджах?

 Woland
rrr: Дырки в скриптах, особенно популярных, дырки и беспечность в настройках сервера, нежелание отойти на шаг от привычки и озаботиться мерами безопасности (например не юзать ftp вообще, юзать ограничение по IP, юзать не IE, антивирус+файрволл на машине, разные пароли, а не один на всё (мыла, админки, акки), иногда интересоваться содержимым автозагрузки своей винды, а не только тогда, когда уже не можешь работать ну и т.д.).

 rrr
Woland
ну т.е. по сути за редким исключением овнер сам виноват в произошедшем - можно так сказать в заключении?

 Woland
rrr: Нет, наравне с кодерами, которые не всегда утруждаются (или не обладают квалификацией достаточной) думать о безопасности писанного ими кода.
Если в скрипте конкретная дыра, скрипт стал популярным и дыру нашли - овнер в этом никак не виноват и предусмотрительность админов и овнера в плане безопасности не всегда способна помочь при таком раскладе.

 WASP
Перезалей фсе файлы на хосте, если есть возможность и меняй пассы на фтп. Тоже подобное было - увелы пассы на фтп.

 alex.raven
у нас уже давно не юзается фтп, и вайтлист по айпи - но это возможно только на дедике.

 Gidz
бля, насоздавались во всех папках каждого сайта index.php, это пиздец, их там тысячи, как их теперь все удалить что бы нужные не попортить ума не приложу

 Woland
Gidz: По размеру может скриптом, если они маленькие создаются ?

 W
По дате создания?

upd. По содержимому?

 magay
Wahoven писал:
Я по дате у себя все задетектил

 CTAKAH
у меня была такая хрень, трой создавал файл servises.exe в папке систем32, когда его удалил больше ифрейм не появлялся