Кaspersky Password Manager - это антивирус, который позволяет хранить пароли от сайтов - Самые разные темы

Массовый взлом и заражение сайтов

mymind · 2011-08-09T10:47:30.0000000Z

Обнаружил сегодня заражение своих сайтов. По возможности везде прописывалась строка: <script src="http://yourerating.com/cookiesave.js"></script> Начал срочно менять пароли на FTP (а это не просто) и убирать последствия. Полез в сеть по поводу этого явления и ничего не нашёл. Пусто. Собственно на акаунте робот пробегается по всем файлам и заражает в основном index.php (htm) файлы, а также config.php, header.php, footer.php, auth.php и т.д. также возможно index.htm, main.htm и похожее Если на сайте стоит какой-то популярный движок ( Joomla, WordPress, phpBB и т.д. ) то тут заражение идёт полным ходом, причём согласно архитектуре самого движка. Интегрирует код очень аккуратно, работоспособность сайтов не теряется. Благо у меня все сайты самописные, поэтому аккуратно влезть не получилось. Срочно начал устранять последствия. В некоторых случаях откат на 7 августа, в некоторых пришлось руками. Пока делал лазал по сети искал информацию. И только час назад начала появляться инфа, что заражаются сайты. Теперь любопытное. Затронуты были аккаунты которым более 2-3 месяц. Те аккаунты, которые я добавлял в Total Commander ( а на свою безбожную глупость сохранял пароли от ftp именно в нём) месяц 1 - 1,5 назад затронуты не были. Сайты были чисты и невинны. Предположу, что с месяца 2 назад был сбор ftp аккаунтов троянами (одним или нескольким). Как раз в тот период я только у себя ловил по трояну через каждые 3 дня, которые ни один антивирь не ощущал. Только после отправки в лаборатории со следующим обновлением антивирусы видели эту заразу. Затем похоже был период подготовки. И сейчас началась активная проработка собранной базы. По датам файлы изменялись 8-го августа и 9-го (т.е. буквально сегодня). Ну и надо отдать должное создателям этой заразы, что проработали они всё на славу. Внедрённый код не мешает работоспособности большинству сайтов. Я и по своим-то узнал случайно, когда сайты с GZIP архивацией стали выдавать ошибки. Грешил на хостинг, но когда полез узнавать волосы даже подмышками зашевелились. Будем наблюдать за ситуацией, но судя по тому, что местами стали появляться люди с это проблемой возможно это только начало.

258

Badmaestro

24 августа 2011, 08:51

#71

Интересно, есть ли какие-то антивирусы для сайтов? У самого разные сайты ловили вирусняк, что приводило к дикому геморрою, чистке по фтп и даже потере позиций в выдаче (слава Богу, без АГС обходилось).

SEO без воды ( https://kupit-slona.ru ) Продвижение сайтов ( https://searchengines.guru/ru/forum/1038146 ) Аренда грузинского Adsense ( при доходе от 1000$ в мес. Adsense активирован, выплаты идут. )

BrightEdge: ошибки в конфигурации Михаил Мухин Меньше тратить Google: добавление новых страниц

R

180

Алексей

24 августа 2011, 09:06

#72

Badmaestro:
Интересно, есть ли какие-то антивирусы для сайтов? У самого разные сайты ловили вирусняк, что приводило к дикому геморрою, чистке по фтп и даже потере позиций в выдаче (слава Богу, без АГС обходилось).

Если даже есть, то они ни как не смогут определить точное местонахождение вируса, т.е. он может прописываться в системных файлах, а они не доступны дял сканирования.

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov

258

Badmaestro

25 августа 2011, 11:24

#73

Rxp:
Если даже есть, то они ни как не смогут определить точное местонахождение вируса, т.е. он может прописываться в системных файлах, а они не доступны дял сканирования.

Интересно, каким образом тогда опытные борцы с вирусняком убивают заразу? Просто бродя по фтп в поисках подозрительных файлов с последующим удалением этих файлов?

188

mymind

26 августа 2011, 03:26

#74

Ziller:
В Total Commander начиная с 7й версии абсолютно безопасно хранить пароли. Теперь там реализован мастер-пароль и пароли намертво шифруются AES-256.

При создании соединения есть же флажок "Использовать главный пароль для защиты пароля". Есть и кнопочка "Шифрование".

Но нет, я постоянно вижу стоны что в Тотале хранить пароли нельзя. Ну глазики разуйте уже и найдите эти кнопки.

Если можно уточните поточнее. У меня Total 7.04 и сколько не разувал глазики, не увидел то, о чём вы тут пишите. Зато про пароли он меня заранее предупреждает. Что небезопасно.

jpg totalcmdwin.jpg

KG

11

Kirill_GOLD

29 августа 2011, 17:46

#75

7 августа заразились сайт на joomla,пароли хранил в filezilla. Востановил через бек-ап. Сегодня грохнуло другой старый сайт,про каторый я забыл. Бекапа нет. Пытасюь очистить руками....помогите кто может.

391

Апокалипсис

29 августа 2011, 17:47

#76

Что то мне кажется, что инъекция - еще и не с помощью ФТП идет.

У себя в вордпрессе нашел зашифрованный на 100 рядов base64 - кодировкой скрипт. Удалил, не стал дешифровать.

Записки нищего (http://zapiskinishego.ru) - мой личный блог Услуги php программиста. Очень нужна любая работа. Не покупают? Поведенческий аудит интернет-магазина за 5000 руб. (/ru/forum/990312)

Y7

146

Yura78

29 августа 2011, 18:34

#77

Kirill_GOLD:
7 августа заразились сайт на joomla,пароли хранил в filezilla. Востановил через бек-ап. Сегодня грохнуло другой старый сайт,про каторый я забыл. Бекапа нет. Пытасюь очистить руками....помогите кто может.

Делал так:

1. Закачал все файлы с сайта на локальный комп.

2. Поиск/замена - удалил ненужный код.

3. залил все обратно.

Ну и конечно, нужно, менять пароль

KG

11

Kirill_GOLD

30 августа 2011, 09:53

#78

Па моему никто не сказал, я заметил что эта шняга еще почти в каждой папке создает свой html.

Название файлов index.html - обнаружил около 500 файлов содержание ниже

<html>

+ Еще в конфигах прописывается...

Оптимизация плавающих фреймов для Трюки в работе с Склейка важный инструмент SEO

14

Partneroff

30 августа 2011, 10:20

#79

По моему мнению, происходит всегда по-разному, бывает что троян пропускается антивирусом и отсылает данные. Хотя обычно хороший фаервол в режиме обучения ловит несанкционированное открытие портов и сообщает об этом.

А бывает так, что на шаред хостинге заражается один сайт, а через него заражаются другие, это когда админ хостинг провайдера не следит за безопасностью и установленными квотами.

Для себя решил не экономить на защите и использовать для хранения паролей Kaspersky Password Manager , по крайней мере НЕ позволяет делать снимки экрана, фиксировать нажатия и т.д и т.п , может подставлять на уровне API данные и не позволять сохранять их программам и шпионам. ;)

В сравнении с другими мэнеджерами паролей намного надёжнее.

Верить значит жить. ;-|

Распространённые ошибки веб-мастеров при Как работает протокол Safe Manul антивирус Яндекса для

KG

11

Kirill_GOLD

30 августа 2011, 10:31

#80

Тема гонится третий день. Одни предположения. Как только кто-то узнает что-то ценное. скажите...Уж очень интересно что это за проделки такие...

Kirill_GOLD добавил 30.08.2011 в 14:35

Провел некое иследование, штука очень странная. Я даже сомневаюсь в том на что все грешат....Я хранил пароли от сайтов только в файл зиле. Там было около 7 сайтов. 7 авгутса повредилось два...пароли я не поменял...11 го порведился еще один. Щас пароли сменил...тьфу тьфу тихо. Вопрос, почему не все сайты ? а частями?

Яндекс.Путешествия узнали, чего ждут Последние статистические данные о О чем говорить со

Маркетинг для шоколадной фабрики. На 34% выше средний чек

VK приобрела 70% в структуре компании-разработчика red_mad_robot

Массовый взлом и заражение сайтов