- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Гмммм....
Сделали в валиохосте подробный отчёт по фтп аккаунтов. левых ИП там небыло, тоесть все файлы были добавленны непосредственно через валуехост, ну или подчистили логи - что врядли...
Видимо если еще будут повторятся такие "шутки", придётся подавать на валуехост в суд за некачественные услуги хостинга, так как по другомуденьги они не вернут...
Кто как будет решать данную проблему?
На одном акке из 3 сайтов (все сайты подопытные) пострадал только один - 26.11 был изменен index.php, в конце файла был код iframe src="http://www.counter-pr.info ...
Права на файле были 644.
Кто как будет решать данную проблему?
Договор ВХ
Слишком большая сумма (для меня по крайней мере) висит в остатке. Буду ждать окончания срока договора и
домен - на r01.ru
хостинг - не определился, но однозначно не ВХ
Опущу детали и вопросы, почему Валуй, теряющий клиентов, ничего не делает. Мне это непонятно.
Анализ того, как это было раньше.
У взломщиков были системные логины с паролями к акку. Логи подтвердили то, что был заход и в контрольную панель, и по FTP, и через Shell. На сайт была залита программа icon1.php (это было видно в логах - сама эта программа, модифицированные файлы со ссылкой на левый сайт через IFRAME, откуда и подгружались вирусы).
По сути эта программа представляет собой что-то типа файл-менеджера, посредством которого можно проводить манипуляции с файлами, папками на сервере. С ее использованием впоследствии и были заражены (вставлен IFRAME) очень многие файлы сервера (всех сайтов-акков). Причем включая те папки, которые вообще не использовались под сайты и не были видны из сети.
Дальше оказалось, если это не вранье, что за проведение модификации страниц сайтов пользователей на Валуе где-то на хакерском форуме пообещали заплатить $ в Вебмани, пароли к сайтам предоставлялись, из чего можно задуматься о том, что компанию могли заказать либо конкуренты, либо обиженные сотрудники. Косвенно это подтверждается тем, что непосредственно заливка скрипта осуществлялась в одного IP, а модификация уже с другого (др. подробности, почему есть основания полагать, что разные не только IP, но и люди, опустим).
PS: потом в поисковиках запрашивался этот файл icon1.php, встретился он еще на некоторых сайтах. в т.ч. он лежал открыто в папке то ли хакерской какой-то группы, то ли разработчиков. сам скрипт по запросам предоставлять желания нет. могу указать авторов (эта строка стоит в конце скрипта): <!-- coded by tjomi4` :: nst.e-nex.com -->
Размер: 787 строк, ~ 26 Кб. Называться может icon.php (без 1) и т.п. Ничего такого особенного в нем нет. Взломщики могли для своих целей взять и какой-то другой файл-менеджер.
PPS: сейчас уже, наверное, использовалось и делалось что-то другое. но при анализе своих логов можете определить, что и как. по крайней мере, в отличие от некоторых хостеров, что-что Валуй делает хорошо - так это хранит и дает логи.
У valuehost увели базу данных со всеми паролями
Это скорее не жалоба, а информация.. у Валуя недавно опять увели БД со всеми данными к аккаунтам.. не знаю, в курсе ли сам Валуй, пока не смог дозвониться до них, но всем его клиентам полезно это знать. БД увел Tristram. На сколько я знаю, массдеффов не будет, он просто подсаживает троев через сайты. Увели базу через скуль-инъекцию. в каком именно приложении я тоже не знаю... база уже начала расползаться по сети, лично мне в асю скинул мой пасс от панели управления знакомый, у которого уже есть бд... Выводы делайте сами..
Уважаемое руководство valuehost.ru я думаю статья расположеная по данной ссылке Вам поможет www.xakep.ru/post/24136/default.asp
http://forum.hostobzor.ru/index.php?...1&hl=valuehost
/ru/forum/85626
кто-то после этого добавил к моей репутации слово бред. в общем как много еще не пуганых ...
Опущу детали и вопросы, почему Валуй, теряющий клиентов, ничего не делает. Мне это непонятно.
Анализ того, как это было раньше.
У взломщиков были системные логины с паролями к акку. Логи подтвердили то, что был заход и в контрольную панель, и по FTP, и через Shell. На сайт была залита программа icon1.php (это было видно в логах - сама эта программа, модифицированные файлы со ссылкой на левый сайт через IFRAME, откуда и подгружались вирусы).
По сути эта программа представляет собой что-то типа файл-менеджера, посредством которого можно проводить манипуляции с файлами, папками на сервере. С ее использованием впоследствии и были заражены (вставлен IFRAME) очень многие файлы сервера (всех сайтов-акков). Причем включая те папки, которые вообще не использовались под сайты и не были видны из сети.
Дальше оказалось, если это не вранье, что за проведение модификации страниц сайтов пользователей на Валуе где-то на хакерском форуме пообещали заплатить $ в Вебмани, пароли к сайтам предоставлялись, из чего можно задуматься о том, что компанию могли заказать либо конкуренты, либо обиженные сотрудники. Косвенно это подтверждается тем, что непосредственно заливка скрипта осуществлялась в одного IP, а модификация уже с другого (др. подробности, почему есть основания полагать, что разные не только IP, но и люди, опустим).
PS: потом в поисковиках запрашивался этот файл icon1.php, встретился он еще на некоторых сайтах. в т.ч. он лежал открыто в папке то ли хакерской какой-то группы, то ли разработчиков. сам скрипт по запросам предоставлять желания нет. могу указать авторов (эта строка стоит в конце скрипта): <!-- coded by tjomi4` :: nst.e-nex.com -->
Размер: 787 строк, ~ 26 Кб. Называться может icon.php (без 1) и т.п. Ничего такого особенного в нем нет. Взломщики могли для своих целей взять и какой-то другой файл-менеджер.
PPS: сейчас уже, наверное, использовалось и делалось что-то другое. но при анализе своих логов можете определить, что и как. по крайней мере, в отличие от некоторых хостеров, что-что Валуй делает хорошо - так это хранит и дает логи.
Так и не понял. В чем вина валуехоста в данном случае?
Если там одинаковый пароль на шел и ФТП, то надо искать людей, которые просто посмотрели ваш траффик. Если это не так, ищите другие способы, которыми бы он мог быть скомпрометирован.
Опять же мне непонятно, откуда такая инфа, что хостеры хранят какие-то мифические базы паролей? Для чего они им?
Если же речь идет об initial-паролях, которые сохраняются в переписке (как у хостера, так и у клиента), то тут может быть много вариантов. Действительно какие-то обиженные пионеры-бывшие работники или какой-нибудь троян у пользователя на компухтере.
Максимум до чего могли дотянутся сотрудники это до хешей, которые подсунули потом брутфорсеру. Большинство пользователей используют насколько простые пароли, что перебором подобрать их не сложно. Был бы только словарь адекватный нашему менталитету и культуре.
Мое ИМХО - рассказы про кражи парольных баз провайдеров это что-то из категории историй про гигантских крыс в московском метро или мегавзлома века Левиным Сити-банка. Очень занимательно для простого пипла, но далеко от действительности.
Взлом был именно через валуя компы, я уже писал выше что делал подробную распечатку логов, ип только наши выделеные, посторонних нету, шэлл закрыт, пароли меняли несколько раз.
Ну хорошо. Если это взлом хостинговой машины, зачем заходить шелом на аккаунты?
Если бы все сломали, то не имело бы это смысла.
О каких логах идет речь? Провайдер предоставляет логи, которые имеют отношение только к вашему хостинговому аккаунту.
Еще раз говорю, что база паролей это фикция какая-то. Зачем хостеру база паролей своих клиентов?
Если так все плохо, я бы тупо попробовал поставить всех файлам "immutable" флаг. В линуксе это работать не будет. Также не стоит это делать для файлов, которые изменяются скриптами. Это имеет смысл для статики.
Не все догадаются посмотреть флаги. Или не все полезут смотреть, почему скрипт внедряющий враждебный код не отработал.
Также стоит смотреть дату последнего изменения файлов (можно find-ом). Если у вас статика и будут появлятся измененные файлы, то легко понять, что в них опять что-то запихали?
Еще раз говорю, что база паролей это фикция какая-то. Зачем хостеру база паролей своих клиентов?
Не знаю зачем она им и как они ее хранят (базу паролей), но от "личного кабинета" они пароли высылают без проблем. Что касается "iframe ...", то подтверждаю на всех эккаунтах в index.php такое было в разное время за последнюю неделю, правда только в папке htdocs.
Дня 3 назад изменил все пароли (фтп, кабинет, главное мыло).
Вчера зашел по ФТП посмотреть как там мои файлики.... и что вы думаете?????
Опять эта мутотень!!! Только теперь не в конце файла, а в самом начале!
icon[1].php у себя не нашел.
Есть способ с этим как то бороться? У меня куча клиентов на валуе еще с давних времен - не поймут 😡