Такс, ситуация прояснилась. Нашлись таки логи. Вирус приплыл отсюда: 195.78.108.220 IP не мой. Проблему искать у себя? Только вот как. Еще раз, на другом компе винт проверю.
Я так понимаю от подобных проблем может спасти закрытие доступа по ФТП с любого IP, кроме моего?
Люди, да поймите основную мысль. Я допускаю что косяк с моей стороны. Но что стоит хостеру поднять логи и обосновать это? Но логов нет. Мне это очень странно. Ведь с 24-го февраля прошло всего 2! недели.
Да и вирус какой-то мутный, был изменен только файл index.html и на одном сайте добавлен файл menu.html хотя такого файла у меня в принципе нет.
Не буду пока на компе у себя менять. На всех важных сайтах скрипт дергает каждый час основные файлы и проверяет размер. Даже если будет заражение, я узнаю об этом практически мгновенно и тогда уже буду разбираться. В таком случае уже будет достоверно известно, что проблема с моей стороны.
По поводу не хранения доступа в ФТП клиентах. Неужели нельзя перехватить пароль во время ввода или еще каким-то образом? Просто лазить постоянно в запароленных архив в котором хранятся все доступы не очень удобно, а вот дает ли это повышение надежности?
Да такой мысли даже не и были, не та это компания, чтобы такой херней маяться. Я то предполагаю локальный взлом, конкретного сервера к примеру.
Ситуация так вот какая. Мне не отвечали толком 40 часов, затем хостер сообщил что вирус удален. У себя на компе я ничего не обнаружил. Других зараженных сайтов нет. У хостера нет логов. И что мне делать?
Проверить это видимо можно и проще. Врядли представляет проблему проверить все файлы на сервере на наличие определенного код или просто кода после тега </html>
Т.е. хранить логи хотя бы за один месяц это не нормально? Может их тогда вообще не вести?
Unlock добавил 10.03.2010 в 11:50
Кстати, каспер обнаружил вирус при заходе на сайт. Странно что он его не находит у меня на компе. Удивительный вирус. Заражает только один эккаунт, не производит повторное заражение, после заражения самоуничтожается.
Ох, как долго распродают. У меня пароли в CuteFTP последние 5 лет хранятся. И купили доступ не к сайтам где по несколько тысяч посетителей, а к никому не нужному саттелиту, на который заходит 1-3 человека в день и еще два поддомена, про существование которых вообще никто не знает и никто туда не заходит. Оригинально однако!
KOSMOS aka Anarion, угу, ждет уже больше 2-х недель. Total Commander'ом вообще никогда не пользовался.
Не сохранение паролей кстати тоже гарантий не дает. Клавиатурные шпионы не вчера изобретены.
За безопасность сервера хостер ответственности не несет? Первый раз такое слышу. А зачем он тогда вообще нужен? Это же не на выделенном сервере проблема, а на виртуальном хостинге.
Unlock добавил 10.03.2010 в 11:27
CuteFTP 8.1 - слабоватое место, согласен. Насколько помню у него пароли чуть ли не в открытом виде хранятся, по крайней мере в старых версиях так было.
addurl, откуда такая избирательность у вируса, заразить только один эккаунт, из 15 имеющихся? Нет, не спорю, может такое и бывает, но смысл такой осторожности? Почему не происходит повторного заражения?
Ну я не знаю как там у других клиентов... Может у них и заражены сайты.
V(o)ViK,
У меня через панель управления доступ к двум эккантам, серверы в разных странах находятся. На одном было заражение, на другом нет. Поэтому странно если через панель управления.
Ответ хостера:
Конечно, ведь только юзеры криворукие бывают :) Хостеры - супер спецы у которых ну просто не может быть проблем :)
Да не спорю. Просто ситуация странная и как разбираться, если вроде как даже средствами хостера нельзя узнать что это было..
Да Вы что, это однозначно массовый косяк юзеров! :)
Там чистый HTML и никаких скритов, кроме счетчика. Про который я пока не слышал, чтобы его ломали. Так что взлом через дырку в софте практически исключен, если Вы про это.
Мне на самом деле не хостера надо обругать, а понять, откуда зараза взялась. Хостер отказался разбираться в ситуации: "это не возможно" - вот ответ хостера.
addurl, а откуда такая уверенность, причем 100% что проблема не со стороны хостера? Ну вот как Вы это можете абсолютно точно утверждать? Не кажется уж слишком уникальным вирус, который спокойно проходит файрвол, антивирус, заражает сайты только с одного эккаунта и повторного заражения не происходит?
Были бы логи по которым видно, кто менял файлы - не было бы вопросов. Почему клиент изначально виноват, а подтвердить это хостер никак не может.
Хостер не перетрудился. Убрать левый год из двух файлов index.html это ровно 1 минута. Сделать это я и сам мог без проблем.
