passtas

www.passtas.net.ua
Рейтинг
0
Регистрация
13.05.2007
Опасная инъекция в сайты от mdfc.info - у меня заразились все 30 сайтов!

по поводу злоумышленника:

1. Злоумышленик залезает с server2.masterdedicated.com

2. Вообще ресурс странный masterdedicated.com, наталкивает на ощущения крутой маскировки, а особенно разработчик metaller.ru aka некий Боровиков Денис, весьма странно что в его портфолио нет данного сайта + сайт вообще не мечется как проффесионально сделан + на данном хосте размещено несколько аматорских студенческих сайтов, большинство из них находятся в домене первого уровня info, с whois'ом наталкивающим на размышления...

3. Вот лог доступа с данного сервера:

Sat May 12 00:33:46 2007 0 server2.masterdedicated.com 39976 /home/cool_site/html/a-breed-apart/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:33:47 2007 0 server2.masterdedicated.com 40168 /home/cool_site/html/a-breed-apart/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:33:48 2007 0 server2.masterdedicated.com 76497 /home/cool_site/html/about-face-designs/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:33:49 2007 0 server2.masterdedicated.com 76689 /home/cool_site/html/about-face-designs/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:33:50 2007 0 server2.masterdedicated.com 29012 /home/cool_site/html/adam-ziege/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:33:50 2007 0 server2.masterdedicated.com 29204 /home/cool_site/html/adam-ziege/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:33:51 2007 0 server2.masterdedicated.com 9062 /home/cool_site/html/admin/admin/index.php a _ o r cool_user ftp 0 * c
Sat May 12 00:33:51 2007 0 server2.masterdedicated.com 9025 /home/cool_site/html/admin/admin/index.php a _ i r cool_user ftp 0 * c
Sat May 12 00:33:52 2007 0 server2.masterdedicated.com 9059 /home/cool_site/html/admin/index.php a _ o r cool_user ftp 0 * c
Sat May 12 00:33:53 2007 0 server2.masterdedicated.com 26207 /home/cool_site/html/all-that-jazz/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:33:54 2007 0 server2.masterdedicated.com 26399 /home/cool_site/html/all-that-jazz/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:33:55 2007 0 server2.masterdedicated.com 27520 /home/cool_site/html/angels-beside-me/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:33:55 2007 0 server2.masterdedicated.com 27712 /home/cool_site/html/angels-beside-me/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:33:56 2007 0 server2.masterdedicated.com 155862 /home/cool_site/html/annalee/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:33:57 2007 0 server2.masterdedicated.com 46111 /home/cool_site/html/annalee/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:33:58 2007 0 server2.masterdedicated.com 86871 /home/cool_site/html/armani/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:33:59 2007 0 server2.masterdedicated.com 1707 /home/cool_site/html/armani/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:34:00 2007 0 server2.masterdedicated.com 24989 /home/cool_site/html/art-impressions/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:34:00 2007 0 server2.masterdedicated.com 25181 /home/cool_site/html/art-impressions/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:34:01 2007 0 server2.masterdedicated.com 57694 /home/cool_site/html/artesania-rinconada/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:34:02 2007 0 server2.masterdedicated.com 0 /home/cool_site/html/artesania-rinconada/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:34:03 2007 0 server2.masterdedicated.com 84099 /home/cool_site/html/artis-orbis/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:34:04 2007 0 server2.masterdedicated.com 84291 /home/cool_site/html/artis-orbis/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:34:04 2007 0 server2.masterdedicated.com 40343 /home/cool_site/html/baby-gund/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:34:05 2007 0 server2.masterdedicated.com 40535 /home/cool_site/html/baby-gund/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:34:06 2007 0 server2.masterdedicated.com 35217 /home/cool_site/html/barbie-collectibles/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:34:07 2007 0 server2.masterdedicated.com 35409 /home/cool_site/html/barbie-collectibles/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:34:08 2007 0 server2.masterdedicated.com 47576 /home/cool_site/html/bearington-collection/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:34:08 2007 0 server2.masterdedicated.com 47768 /home/cool_site/html/bearington-collection/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:34:09 2007 0 server2.masterdedicated.com 58655 /home/cool_site/html/berta-hummel/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:34:10 2007 0 server2.masterdedicated.com 58847 /home/cool_site/html/berta-hummel/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:34:11 2007 0 server2.masterdedicated.com 42629 /home/cool_site/html/better-homes-and-gardens/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:34:12 2007 0 server2.masterdedicated.com 42821 /home/cool_site/html/better-homes-and-gardens/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:34:12 2007 0 server2.masterdedicated.com 40555 /home/cool_site/html/betty-boop-by-westland/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:34:13 2007 0 server2.masterdedicated.com 40747 /home/cool_site/html/betty-boop-by-westland/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:34:14 2007 0 server2.masterdedicated.com 106116 /home/cool_site/html/blue-sky/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:34:15 2007 0 server2.masterdedicated.com 106308 /home/cool_site/html/blue-sky/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:34:16 2007 0 server2.masterdedicated.com 40825 /home/cool_site/html/boyds-baby/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:34:17 2007 0 server2.masterdedicated.com 41017 /home/cool_site/html/boyds-baby/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:34:18 2007 0 server2.masterdedicated.com 181582 /home/cool_site/html/boyds-bearstones/index.html a _ o r cool_user ftp 0 * c
Sat May 12 00:34:19 2007 0 server2.masterdedicated.com 181774 /home/cool_site/html/boyds-bearstones/index.html a _ i r cool_user ftp 0 * c
Sat May 12 00:34:20 2007 0 server2.masterdedicated.com 34489 /home/cool_site/html/boyds-dolls/index.html a _ o r cool_user ftp 0 * c

4. По логу явно видно что работает автоматизированная программа....

5. Я уважаю злоумышленника, достаточно хорошо спрятался.... запутал всех....

6. Нужно каким-то макаром определить кто же это такие скриптики у них на серваке запускает....

7. О дальнейшем расследовании буду писать позже....

Опасная инъекция в сайты от mdfc.info - у меня заразились все 30 сайтов!

в общем так, ребятки....

с хостингом вопрос решил.

у меня впс, от сюда и рутовский доступ.

написал банальный скрипт который ходит по "зараженным" файлам и удаляет от туда вставленные ифреймы... скрипт идет в приложении...

написан на пхп как исполняемый файл... кто разбирается думаю поймет и использует...

под всех, извините, подстраиваться не стал... юзайте!

Мини-инструкция:

1. просто укажите исходную папку от куда начинаются зараженные директории в переменной $PATH (в 3 строке прикрепленного файла)

2. далее запускайте как процесс на впсе или как задание крон на хостинге.

3. все отзывы и пожелания пишем на passtas@gmail.com

zip cleaner.zip