Новая тема   Ответить

 XXX-Server
_Milan_ писал:
да ну, а чем еще?
если только обработка логов...... но это провайдеры задействованы должны быть
во всяком случае мы сталкивались только со случаями когда трояном уводились пароли, и описание того трояна здесь на мастере уже выкладывалось

 miroz
А такой троян чем-нибудь ловится? Как его обнаружить?

 Kors
miroz писал:
а других вариантов нет.
со стороны хостинга или провайдера это нереально, объяснять почему - долго, но думаю и так все понимают.

и если этот троян ненаходится - не факт что его не было.
вполне возможно кстати, что собрав все пароли и отослав их он самоубивается - чтобы никто ничего и не подумал...

 Fiber
Скорее всего, это какой-то криптованный pinch.
То, что я пытался отследить у себя, выглядело так:
Был у меня один фтп со слабым паролем 5 символов, его, скорее всего путем перебора выявили и прописали айфреймов.
Я, видя что страница не открывается в опере, зашел осликом, тут же заверещали все антивирусы, оутпост и прочее.
Вышел из сети, пришлось делать откат винды, чистить все.
Результат - на следующий день по всем фтп, что были в CuteFTP были айфреймы в индексных файлах.
Вобщем лоханулся по полной программе.
На хакерских сайтах продают скрипт, который по списку фтп, полученному из троянов, переписывает все индексные файлы.
Даже на PPCшный форумах такие предложения проскакивают.

 Hide-R
ИМХО любой антивирь и файрвол можно обойти. Взять хотя бы те же лич тесты для фаеров. Всегда есть пара-тройка, которые ни один (бывает в разброс) файрвол не проходит. А сокрытием троев от антивирей и я баловался в свое время.
Касперский...тогда еще 5 версии было совсем легко наебать, Др. Веб сложнее, но можно было, самый мощный в этом отношении был VBA, но с базами у него напряг. Нод как я понял, сейчас также тяжело обойти, как раньше VBA, но и его можно обойти - 100%.
Просто нашлись умельцы и решили побаловаться. ИМХО это только начало. Сейчас механизмы обкатают и в следующий раз будт больнее

 Sergeyka
Hide-R писал:

НОД гавно
он пропустил вирус в тот первый раз когда у многих ломанули фтп

 miroz
Sergeyka писал:
А чем же можно тогда оперделить?

 Sergeyka
не знаю но я точно знаю что продлять лицензию на НОД я не буду
лучше куплю НортонАнтивирус

 Юнга
Я в этом смысле сторонник разделения машин.
Одна для серфинга-закачек, одна для работы, одна чисто под финансы.

 Hide-R
Sergeyka писал:
Ну не совсем гавно. Я поэтому и написал, что ни один антивирь не даст 100% защиты. Обойти можно любой антивирь и файрвол.
Цитата:
А вот этого не советую Вот оно точно говно, причем тормозное и громоздкое. Если уж брать из продукции Симантека, то лучше Symantec Antivirus Server (Corporate что ли...). Компания одна и та же, а продукты очень разные. Последние версии не знаю как, но "предпоследние" очень неплохи. Есть фичи, которых я не видел ни у одного антивиря

 Swapper
Цитата:

не, нету явно не у меня сперли, еще 1 одного человека был доступ.

Насчет антивирей - давно уже пользуюсь Symantec Antivirus Corporate version, никогда еще не подводил, AVP больше вирусов пропускал, когда тестировал.

А вообще если не качать непонятно что и не запускать - все будет хорошо

 pierx
не качать непонятно что и не запускать не всегда возможно - начало атаки ревьверы и овнеры ЛЛов приняли, насколько мне помнится.

+1 иметь 2-3 "тачки" виртуально - и чтоб ни из одной не было видно дисков других. Вон у меня есть акроникс где-то - надо пойти диск купить, да поставить все по-новой

 color
Sergeyka писал:
нормальный нод
а в первый раз вроде как ни один антивирус не ловил его

 BigSup
Kors писал:

есть у меня
windows/system32/csrss.exe

но создан он в 2004 году, тоесть в пакете винды он был получается. Не думаю что это вирус...

 Юнга
BigSup писал:

Там с ним вот какая штука:

Цитата:

 BigSup
Понятно, тогда спокойнее немного...

Вообще нужно быть просто осторожнее. я к своему рабочему компутеру даже жену не пускаю почту проверять, потому что есть привычка у нее кликать по всяким рекламным ссылкам, обьявлениям итд...

Тут борьба тех кто что то прячет и тех кто хочет что то украсть.
Вторые всегда будут впереди, потому что они специально сидят и ищут дырки, а первые работают и у них нет столько времени что бы искать все дырки... да и не их профиль.

 miroz
Бля, сегодня опять на том же домене обнаружил ифрейм что за херня(
Закрыл все ФТП к нему.
Причем у меня еще куча других доменов, а ифрейм появляется только на одном Почему так, значит ли это, что у меня на моем компе нет трояна?
Сейчас смотрю логи фтп, заходов с чужих IP вообще не было.

 Kors
BigSup писал:
да - это не он.
я же писал что в каталоге самих виндов - а не в system32
вообще это привычная практика - называть вирусы и трояны как разные системные файлы.

 miroz
Обнаружил на сервере в логах
Код:

Но самого файла и такой папки на сервере не нашел. Но проблема в том, что этот код выполняли как раз в том время, как повесили ифрейм.

Все бля нашел, в корне домена сидел троян shell.php с кодом от r57shell.
Самое интересное закачали его 20 Апреля, а первый раз взломали только 21-го Мая, как раз когда логи за 20 Апреля стерлись( Поэтому даже не узнать откуда закачали

Как бы узнать, не наставил ли он еще всякой дряни через этот шелл?

 miroz
А у всех стоит safe mode на сервере?

 case
обнаружил на всех индекс файлах, а не только на морде.
по маске наверное как то впихивает инфрейм. все фрихи заразил сцука.

 benzole
miroz писал:
ну яж говорил, что сервак надо сперва почистить.

по сабжу нодов и пинчей - я тут поинтересовался маленько: пинч запросто может самоудаляться, при этом его можно залепить хоть даже в картинку (да вообще много куда). и если пинч не нубский (фриварный или ещё из каких пионерских ресурсов), а спецом подготовленный - хрен его вообще хоть какой антивирь опознает. они его начнут опознавать только после того, как он пропалится и данные о нём поступят в базы.

выход - только в паранойе. я вон даже на закрытых сеошных форумах архивы предпочитаю не качать и на первые попавшиеся внешние ссылки не клацаю.

 Kors
проверяйте еще вот эту дрянь:
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=135929

 sersol
проверяйте еще вот эту дрянь:

эту заразу каспер ловит на раз
АОЛ версия
мне грузили вот с этого сайта jillvideos.com
был в трейдерах, но не долго
с админки открываетсля чисто, при заходе с сайта полный букет

 quastro
benzole писал:

всмысле и расширение будет к примеры .jpg ??