Master-X
Регистрация
|
Вход
Форум
|
Новости
|
Статьи
Главная
»
Форум
»
Читеры и Разгильдяи
»
Тема:
Взлом фтп
Новая тема
Ответить
цитата
26/05/07 в 19:19
YUIOP
Hide-R писал:
Я вообще до сих пор поражаюсь, как мои кенты, далеко не начинающие АВМ'ы до сих пор хранят пароли в тексовом файлике на рабочем столе
Я тоже всегда хранил и храню пароли в текстовом файле. Только не на рабочем столе, а в папке на одном из дисков. И расширение у моего текстового файлика вовсе не .txt Открываю его по F4 из FAR
В качестве FTP менеджера советую использовать FAR - он не хранит пароли в открытом виде.
цитата
26/05/07 в 19:26
YUIOP
Kors писал:
Stek:
тут дело не в креках.
я тоже такую заразу поймал, и даже почти догадываюсь где...
Swapper:
проверь вот это: %windows%\csrss.exe
по принципу действия очень похож на тот что Ман ссылку давал, тоже имитирует нажатия кнопок в окнах сообщений (т.е. оутпост и каспер не спасают) запускается как системный процесс - просто так не снимешь.
Я только что проверил - есть у меня процесс csrss.exe
Как ты его удалил?
цитата
26/05/07 в 19:32
Sergeyka
YUIOP писал:
Я только что проверил - есть у меня процесс csrss.exe
Как ты ег о удалил?
Он у всех есть
это майкрософтовская приблуда
посомтри дату создания файла и свойства
цитата
26/05/07 в 20:39
Kors
YUIOP писал:
В качестве FTP менеджера советую использовать FAR - он не хранит пароли в открытом виде.
утягиваются и из ФАРа пароли тоже.
какая разница как он их хранит - троян берет записи из реестра - пусть они и пошифрованые - на другом компе импортируем эти записи в реестр и ФАР их отлично понимает.
по поводу процесса - ранее писали -
Файл csrss.exe всегда расположен в каталоге C:\Windows\System32/. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален.
цитата
26/05/07 в 20:55
YUIOP
Sergeyka писал:
Он у всех есть
это майкрософтовская приблуда
посомтри дату создания файла и свойства
Дата создания файла - 2002 год. Видимо все OK
цитата
26/05/07 в 21:29
benzole
quastro писал:
всмысле и расширение будет к примеры .jpg ??
ага
цитата
28/05/07 в 11:41
miroz
Сегодня опять обнаружил ифрейм в индексе и шелл в корне домена. Опять на том же домене, другие не тронуты. По логам фтп все чисто, никто не заходил.
в логам httpd обнаружил следующее:
Код:
[Sun May 27 04:02:17 2007] [notice] Apache/1.3.37 (Unix) mod_ssl/2.8.28 OpenSSL/0.9.7a PHP/4.4.4 mod_perl/1.29 FrontPage/5.0.2.2510 configured -- resuming normal operations
[Sun May 27 04:02:17 2007] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Sun May 27 04:02:17 2007] [notice] Accept mutex: sysvsem (Default: sysvsem)
[Sun May 27 04:06:10 2007] [error] [client 127.0.0.1] File does not exist: /var/www/html/r57shell/version.php
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.osrelease' is an unknown key
Как они этот шелл пропихивают
?
цитата
28/05/07 в 15:39
Hide-R
Может на серваках, которые ломают стоит какой-нить софт, в котором дырочку нашли?
цитата
28/05/07 в 16:07
Andx
на все сайты вчера повесили ифреймы.
по фтп с этого айпи 217.175.91.126.
откуда взяли пароли от всех серверов я хз антивирусы ничего не нашли.файрволл стоит.
я не понимаю смысл таких взломов ведь такое почти сразу просекается.
inetnum: 217.175.91.0 - 217.175.91.127
netname: Fort-DKS
descr: Fort DKS (Dnepr)
country: UA
admin-c: YVA7-RIPE
tech-c: YVA7-RIPE
status: ASSIGNED PA
mnt-by: DG-MNT
source: RIPE # Filtered
person: Vyacheslav Yalanskiy
address: 49040, Dnepropetrovsk, Dgincharadze, 12a
e-mail:
phone: +38 056 777-10-55
fax-no: +38 056 777-10-55
nic-hdl: YVA7-RIPE
source: RIPE # Filtered
цитата
28/05/07 в 20:03
Xaker
Конечно просекаеться. А вы как думали. И до сих пор как дураки не можете понять? Веть все очень предельно просто. ))))))))))) . Взять и подставить конкурентов или врагов своих. Вот и все.
цитата
28/05/07 в 21:20
Pentarh
Жопе слова не давали. Вали давай отсюда.
цитата
29/05/07 в 17:39
YUIOP
miroz писал:
Сегодня опять обнаружил ифрейм в индексе и шелл в корне домена. Опять на том же домене, другие не тронуты. По логам фтп все чисто, никто не заходил.
Как они этот шелл пропихивают
?
Включи PHP Safe Mode
Отключи PHP Register Globals
цитата
29/05/07 в 18:28
miroz
YUIOP писал:
Включи PHP Safe Mode
Отключи PHP Register Globals
Скрипты работать не будут
цитата
29/05/07 в 21:35
Pentarh
плохие скрипты
цитата
29/05/07 в 22:06
awa
а какие скрипты не требуют ON на
PHP Safe Mode
PHP Register Globals
?
цитата
30/05/07 в 18:33
miroz
Все разобрался, у меня ломали через скрипт голосовалки, которая на сайте висела
(
цитата
03/06/07 в 18:52
sexogen
miroz писал:
Как-то подозрительно, уж очень сильная эпидемия началась, где все могли это подцепить?
каникулы
Fiber писал:
Скорее всего, это какой-то криптованный pinch.
да так и есть, ты зайди на один из его сайтов, там целая страница фитч , от чего и как тянет, что пробивает
benzole писал:
выход - только в паранойе. я вон даже на закрытых сеошных форумах архивы предпочитаю не качать и на первые попавшиеся внешние ссылки не клацаю.
вчера инфу искал в рунете, по безобидной теме , на какой то сайт научных разработак зашел а там трояны кишат, эта гадасть уже по всюду распространилась
Kors писал:
проверяйте еще вот эту дрянь:
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=135929
да, где то читал что рекомендуют юзать старенькие и мало известные фтп клиенты, заибутся настраиваться под каждый из них свои продукты
цитата
03/06/07 в 21:42
rusawm
мля что за долбаебизм с доменными именами? этот урод перевез домен на другой хост и там же опять поставил свой код.
У кого-нибудь есть идеи как добить этого урода?
цитата
04/06/07 в 02:43
Gourad
rusawm писал:
У кого-нибудь есть идеи как добить этого урода?
Нормальные скрипты + нормальный хостер у которого один юзер не сможет поправить скрипты другого + антивирь на компе. Из моих ресурсов ничего не ломали
цитата
04/06/07 в 23:34
rusawm
Gourad писал:
Нормальные скрипты + нормальный хостер у которого один юзер не сможет поправить скрипты другого + антивирь на компе. Из моих ресурсов ничего не ломали
ты не понял. Трояна удалили переустановкой винды. я отписал абуз хостеру, тот забанил акк, он перевез его на другой хост за бакс и будет делать это каждый раз. Писал регистратору абуз на эксплойты и неверных вхуиз, ответа так и не получил. У меня желание принести побольше гемороя создателю трояна хочу чтобы домен этот залочили и юзеры не заражились.
цитата
05/06/07 в 19:11
Irvin
У меня вот подобная проблема была так я сейчас вообще фтп не прописываю никуда а просто копирую с фара с отдельной папки соединяюсь и удаляю чтобы не было настройках FTP никаких соединений надеюсь пронесет
цитата
05/06/07 в 21:29
dos622
вот так вот почитаешь, и параноиком станешь... лето блять, каникулы...
мож накатать абуз общими силами? или регистратора домена задолбить по полной. Надавить на неправильный хуиз.
цитата
07/06/07 в 13:51
САДКО
Вот уроды! Вчера на три домена инфреймы в индексах поставили.
Айпишник этот же самый -
217.175.91.126
цитата
08/06/07 в 11:19
LOVE
Блин, много жалоб на NOD32
цитата
15/06/07 в 18:36
Andx
LOVE писал:
Блин, много жалоб на NOD32
у меня он чтото дохуя пропускает.
Стр.
« первая
<
2
,
3
,
4
,
5
>
последняя »
Новая тема
Ответить
Эта страница в полной версии