Новая тема   Ответить

 raider
спасибо! сгодня бухаю вместо постинга

 X-dream
Теперь перед постингом буду на мастер заходить всегда

 andreich
X-dream писал:
уже не однократно писал
putty - организуем SSH тунель до сервака

 zJ
X-dream писал:

SCP, SFTP...

 PFT
на своём компьютере как обнаружить этот трой, подскажите?

 CraZ
уже можно постить ? Хорошо что гулял пару дней...

 coder-code
PFT писал:

а вот хуй его знает

для начало посмотри автозагрузку в реестре на пред мет всякой хуйни

 xkrainer
Kit

есть какая то информация о том как это все было сделано ?

 Sergeyka
Самое первое при обноружении, в корне диска с или d находится подозрительный (не вы его туда поместили) exe файл

Троян переписывает файл svhost

Далее ищите все что с этим файлом связано в реестре

Ну и чистите файлы на своем хосте

 Guest
Кто из ативирей ловить умеет?

 Sergeyka
Старую модификацию брал каспер и нод, про новую не знаю

 Sergeyka
http://www.greenguyandjim.com/board/showthread.php?t=40670

 coder-code
пусть бы кит и тут отписал

 Oc
Мои домены тоже прошли. Насколько удалось разобраться, пацаны из китая и польши ломанули.
В два притопа сделали. 2 мая заметил тупой дефейс в течении 5 минут 10 доменов.. только индексы.
Быстро было всё зачищено. Пароли поменяны.. поставлено на учёт и контоль. SSH закрыто.. FTP заменён на SFTP.. ну и ещё куча всякого..
Всё нормально..
проходит две недели - замечаю утечку траффика. Ищем. Находим iframe в индексах с аккуратным скриптом, укладывающим троян защедшим.
Троян сразу засёк Каспер. Достаточно тяжёлый троянчик, мощный..
Попобовал его посмотреть - интерфейс у него весь на китайском..

Долго проверялся потом у себя. Тырит пароли с локали.
Так вот - оказывается в первый раз был уложен троян аккуратно на сервак, который выждал 2 недели и активизиовался.
Даёт веб-шелл владельцу. Поэтому никаких ФТП ненужно. Через веб интерфейс всё делается с сайтами.

Сломали скорее всего через WordPress ..
Такая вот истоия.
Будьте бдительны к скиптам на пхп в основном..

Уроды, короче.. столько времени истратил.. на починку
всем бдеть!!!

 PFT
Oc, Sergeyka, спасибо за информацию, буду глядеть у себя.

п.с. думал кто-то из наших хацкеров такое провернул

 Rams
нод не ловит. каспер справляется любой. троян сажает скачанный софт. точнее при распаковке архива с каким либо софтом. я поймал при скачке какойто проги с citysmile.ru
воруются только фтп пароли. потом меняются все корневые индексы.

 Барт
Rams писал:
какой у тебя фтп-клиент? TotalCommander или другой? или это не имеет значения?

 Rams
у меня несколько в том числе и totalcom. вполне возможно что воруется именно тоталовский wcx_ftp.ini

 kit
slonic писал:
Отписываю ещё раз: На локальных компьютерах мы ничего не нашли.
С учётом того, что внедрение вируса было сделано довольно глупо, и явно автоматом, у нас есть подозрение, что эти пароли были добыты через сниффинг трафика где-то по дороге.

1) Лечится такое переходом на шифрованный протокол SFTP
2) Разрешать логин нужно только со своего IP-адреса, который желательно иметь статичным.

 LOVE
Sergeyka писал:

Без решения суда не удаляют.

 Sergeyka
LOVE писал:

Домен залочили читай ниже, я скинул им урл на этот топик, и домен залочили

 Ged
не только на penisbote!!!

Антивирус Касперского 6.0

The requested URL http://www.porninspector.com/reviews/category/single-models/ is forbidden

Trojan-Downloader.JS.Agent.ga