Новая тема   Ответить

 Sergeyka
С фрихов при загрузке выполняется Джава код грузит троян, который ворует пароли от ФТП

http://www.momsforyou.com/xxx/latina-milf/mom-mature/
http://www.lesbiansplanet.com/girls/perfect-smooth-bodies/lesbian-ass/

Цитата:

Без гандонов не входить, некоторые долго потом комп чистили, антивири его не видят

Владелец этого домена или не видит или мудак редкостный так как продолжает постить

Есть возможно еще фрихи

Последний раз редактировалось: Sergeyka (28/03/07 в 10:18), всего редактировалось 3 раз(а)

 viktorija
Sergeyka: еще вот эти два домена:

see-her-squirt.biz
beautylatinas.com

у меня улетели седня в бан

 Sergeyka
Вика спасибо, народ как лечить этого пидара не видят антивири его
Где сидит процесс что запускает файлы?

Файлы находяться в корне диска с

 ritor
Взлом с 75.126.21.163
Овнеры этих доменов у нас все сидят. Уже пофиксили все.

 Sergeyka
когда вы пофиксили, сходи по линке

Блин, еще бы научили как лечиться теперь?

 Sergeyka
забавно сука эта хуета сама себя прописала в брэндмауэр виндоса типа разрешено с него урлы отправлять, вроде убил но не уверен, не нашел где сидит эта сука

 ritor
hotsianbabes.com
lesbiansplanet.com
С этими доменами ситуация следующая.
Юзерами не были созданы бекапы, потому можно домены из листинга удалить, содержимое удаляется в данный момент под чистую, разбираться мне лень. Пароли сменены.
Овнерам
Ребята, приносим свои извинения, данная хрень почти сразу была обнаружена, мы бросили все и оперативно востановили все что смогли, не смотря на накрытый стол и ДР одного из коллег . В данный момент админы проверяют все что можно. Что вызывает подозрения сносим нафиг.
Банить постеров или не банить дело Ваше...
Спасибо за понимание, всю инфу буду постить по мере ее поступления.
Еще раз приношу свои извинения.

 Kors
вот еще пара доменов:
http://www.onlychubbypics.com/bbw/heavy-breasted-beauty/nude-bbw/
http://www.hotsianbabes.com/asia/kinky-asian-teen/asian-woman/
что забавно - на старых фрихах ифрейма нет...

 ritor
http://www.onlychubbypics.com/bbw/heavy-breasted-beauty/nude-bbw/
восстановлен из бекапа. Все в порядке. Или я не все вижу?
hotsianbabes.com хтмл.

 sexogen
да блин со многих сайтов грузится экзешник, дрочам думаю пофиг , они не заметят но что он делает на компе при автозапуске х.е.з

 Skat
сенкс за инфу, так что теперь с этими доменами делать? сносить их из бд?

 bivin
Ну так теперь всё нормально или как?

 ritor
В данный момент удален контент полностью с доменов
hotsianbabes.com
lesbiansplanet.com
так как там не было сделано юзерами бекапов.
На всех остальных серверах все восстановлено из бекапов и в данный момент вообще выключен доступ по ФТП для всех пользователей от греха подальше. До момента выяснения каким образом ушли пароли я его открывать не буду никому .
Такая ситуация не у нас одних, всем нашим партнерам я стукнул в аську и уведомил о ситуации. Кто не получил мессагу из наших партнеров стучите мне я дам все разъяснения.

 eger
У меня тоже эта хрень, прошу овнеров не выкидывать из базы фрихи с доменов:
_sugaryteen.com/
_enamoure.com/
_wetoasis.com/
_exoticwish.com/
_exoticsea.com/
_ethnicisle.com/
_ethnic-hotel.com/
_ethnicangel.com/
_exoticflame.com/
_myethnicgirls.com/
_exotic-land.com/
_honeyfree.com/
_wetforest.com/

Сейчас разбираемся.

Последний раз редактировалось: eger (30/03/07 в 13:36), всего редактировалось 1 раз

 Skat
а в чем уязвимость не определили еще? если тока html то нет опасений?

 ritor
Дело не в серверах, дело в троянах на локале. Какие трояны угнали пароли пока выясняем. Вот я отписал
Взлом с 75.126.21.163
eger бро, удачно тебе восстановить все.

 pierx
Те, кто фрихи проверял - проверьте свои хосты (индексные файлы)

 color
кто-нибудь - если удастся вытащить вирь, отошлите производетелям антивирей.... а то чувствую это надолго все...

 sexogen
pierx писал:

а что там должно быть ?


лучше проверьте C:/ , там файлы типа FKJGHT.exe
если фиревол не стоял значит ушла инфа о вас, каспер, нод сасут...

 ritor
exe размером 24605 байт ищите. пока все кто писал такой размер говорят. Но это уже в результате взлома грузили, куда ушли пароли пока не ясно. Касперскому отправили файлы.

 Еugene
угу. тоже седня такой код на 1 фрихе видел

 pierx
Сергейка, покоцай код пробелами - читать невозможно

 sexogen
ritor писал:

а откуда пароли уходят и какие имено ?

 ritor
sexogen писал:
По моим данным и данных тех кто мне стучал в аську, ушли пароли к ФТП. Оффтопик: А скрипт с айпишника 75.126.21.163 ходил по доменам, ставил редирект, зачем то залил мне чужого файла, доров каких то. много перепутал. На все наши серчфиды тоже поставлен был редирект.
4 домена наших партнеров с 300К ТГП трафа и акками полностью на экспы редиректило ну и в таком духе, дедик с сиджами успели закрыть.
так вот по опросу почти все кто попал пароли хранили в клиентах ФТП. по наличию троянов щас все усиленно проверяются, но пока безрезультатно.

 sexogen
так есть ведь разные клиенты FTP , какой софт вы юзали , как конектились ? или где хранились пароли

каким браузером пользовались, версия.

нет смысла менять пароль если не установлен путь проникновения, угонят к ебеням повторно

ЗЫ
короче надо покупать корманый компутар специально для паролей
и к никаким сетям его не подрубать

зыы
и ставим софт http://www.dfservice.com/site-monitor/index.html.ru.htm для мониторинга сайтоф