Массовый взлом и заражение сайтов

Та же история.. не думаю что это файлзилла

в прошлом году было подобное заражение.. около 20 сайтов на серваке заразились но там код вируса был абфусцирован

а этот вирь поколупал - все открыто. похоже что он сделан чтоб поднять поведенческий фактор по запросам в bing

Не хранить пароли в FTP клиентах.

И будет счастье, после того как у меня троян утащил пароли от фтп, вобще больше ни когда их не сохраняю или харню там белеберду.

файлзилой и тоталом не пользуюсь. скорее всего утекло через editplus и/или winscp =(

некоторые восстанавливают из бэкапов, некоторые выкачивают все файлы,удаляют на своём компе и закачивают обратно,теряя выставленные права.

а вот так можно удалить зловредный код через ssh:

Linux

find -type f -iname '*.php' | xargs perl -p -i -e 's/<script src=\"http:\/\/yourerating.com\/cookiesave.js\"><\/script>//g'

FreeBSD

find /usr/home/ololo/ \ -name ".php" | xargs perl -p -i -e 's/<script src=\"http:\/\/yourerating.com\/cookiesave.js\"><\/script>//g'

во втором варианте вместо /usr/home/ololo/ подставить свою домашнюю директорию.

только для всех php файлов. затем также пройтись для html и htm

на одном из хостингов нет ssh. получилось эту команду выполнить через крон)

Вы забыли сказать, чтобы не забыли сделать бэкап перед этим)

Какие еще варианты доменов кто находил? У меня было два варианта:

"http://redirectingnow.com/jquerly.js"

и

"http://microsprogram.com/editpage.js"

Мне только это попадалось

googleconnects.com/tipslide.js

Заражение произошло 2011-08-10 06:13:13.

IP адрес с которого зашли на фтп - 66.14.76.98

akiselev, вот еще -

<script src="http://byhosted.com/ajaxengine.js"></script>

Из ОЧЕНЬ неприятного. У кого прошёл взлом, смотрите аккаунты. Просите у Хостеров FTP логи. На одном из акков нашёл, судя по всему BackDoor.

PHP файл. Упакованный зендом. Название файла случайны набор букв и цифр. При обращении к нему выдаёт белый экран, однако если дать ему GET переменную pass выдаёт "Password incorrect". Обнаружился только на одном. Все остальные чистые.

Однако это совсем не радует :(

mymind добавил 12.08.2011 в 04:15

В довесок IP-ники с которых ломились

Первый взлом 68.16.182.149

Второй раз уже пытались забежать с 64.179.212.219

Мы теперь будем сюда постить весь прокси лист инета?

а вы в последнее время до взлома не пользовались YCCY?

Это старый вирус. в нем из нового лишь сайты меняются и шифрование кода. Я как то писал про него на форуме. При открытии в браузере сайта зараженного, он на лету выдирает пароли от Total commander и Filezilla (хотели халявы, халява аукнулась) и шлет их владельцу, а дальше на автомате все это дело проходит по сохраненным аккаунтам. Благо столкнувшись пару раз уже с этим не страдаю. Купил лицуху на не фришный клиент и для очистки скрипт сделали. А так он после смены паролей все равно пробегается по файлам и заражает все .php .html .js файлы с названиями index и main

Самое интересное, что момент отжатия паролей не отлавивают ни антивирусы ни фаерволы. Убеждались в этом на разных пк с разными защитниками. Основные потенциальные клиенты для вируса это самые популярные FTP клиенты. FileZilla сдается самой первой. Улетает информацию тут же. Далее тотал и ему подобные все. После второго раза даже не стал проверять комп, сразу полез удалять фаилзилу , менять пароли от FTP и покупать другой менеджер. Чем популярнее клиент, тем больше уязвимостей к нему найдено

Лечить сервер или откатом на дату до заражения или ручками.

Но чтобы вылавливать зараженные файлы советую юзать скрипт ищущий в файлах по маске определенные куски кода. Погуглить и найдете кучу таких решений.