JS.Siggen.192

50.115.122.28

Этот же IP видели в подобных же атаках.

может это вам поможет.

http://habrahabr.ru/company/eset/blog/141365/

Думаю Вам в раздел администрирование надо зайти

Проблема может быть и в ваших серверах, а не клиентах.

- в наших серверах, а также в их настройках проблемы нет. Заражение идет через FTP что видно и по логам FTP-сервера и по правам на модифицированные файлы клиентов (у нас файл закачаный по ftp имеет владельца отличного от того под которым работает приложение, кроме того проблема коснулась как PHP сайтов, так и сайтов использующих JSP/сервлеты). Кроме того, пострадало менее 0.5% сайтов на физически разных серверах.

- ну и в целом рассматриваю Ваше сообщение не как желание поделиться информацией и поддержать коллегу в борьбе с проблемой (которую мы собственно решили), а как ... 🙅 Собственно Интернет я уже пошерстил и знаю что и на других хостингах было заражение сайтов клиентов этим вирусом, надеюсь им как-то поможет опубликованная мной информация

---------- Добавлено 04.04.2012 в 17:15 ----------

- спасибо за отклик, но, тут скорее описывается механизм заражения клиентской машины, а вот как этот эксплоит выдрал пароли у клиента? (собственно хочется порекомендовать клиентам что-то вроде: "снесите ломаный CuteFTP и поставьте бесплатный FAR", т. е. если клиент заражен и не может найти вирус, то хоть чтобы повторно сайт не заражали)

Пока подозрения на то что троян вытащил пароли у клиентов использующих FileZilla

Тоже вчера отхватил этот вирус у себя на vds. Только я совершенно не понял, откуда он взял пароль для моего фтп. В качестве фтп-клиента я использую Total Commander, но там нет сохраненных паролей - специально проверил. Атака была с адреса 50.115.122.28.

Здравствуйте

Ну вообще, пароли фтп и почты элементарно перехватываются. Для этого достаточно запустить ethereal с опциями перехвата паролей (забыл увы, давно дело было) в локальной сетки. Аналогичные функции давно реализованы и на перл и на пхп поэтому достаточно залить на уязвимый сайт такой скрипт и помониторить с его помощью. По моему такие скрипты автоматом шлют полученные логины/пароли на мыл т.н. хакера.

Проблема тут не сколько в хостерах, столько в изначальной незащищенности протоколов. Глупо ведь ожидать что никто не додумается перехватить летающий по сети пароль в открытом виде (т.е. clear text). Поэтому крайне желательно соединяться по защищенным TLS, SSL, SFTP.

- в данном случае механизм утраты паролей был скорее всего иным, так как некоторые из пострадавших сайтов размещены несколько лет назад и пароли им высылались также несколько лет назад.

- скорее началось все с этого: У 60% пользователей установлены уязвимые версии Java и приведенной Electronn ссылки на статью в Хабре, а дальше уже троян выкрал FTP-аккаунты настроенные в FTP-клиентах

Аналогично. Вчера человеку чистил сайт от этого вируса, дописали его также с этого 50.115.122.28 по фтп.

Хостеры, блокните этот ip у себя на серверах, пусть это хоть и не надолго, но может хоть несколько сайтов ваших клиентов спасёте. :)

- я им написал абузу, но ответа не получил