X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Ломают FTP, как вы поступите или поступали
xamlet
xamlet
Topic Starter сообщение 10.11.2011, 11:57; Ответить: xamlet
Сообщение #1


Бывалый
****

Группа: User
Сообщений: 440
Регистрация: 1.2.2010
Из: Россия МСК
Поблагодарили: 173 раза
Репутация:   36  


В общем очень простая тема, на протяжении полугода с небольшими перерывами происходит взлом клиентских сайтов. Сайты висят на Мастерхост и Зенон. Самое необычное в этой истории, что взломы явно направлены на получение прибыли с сайтов имеющих высокий Тиц или Пр. Схема взлома проста залить базу любой из бирж в любое место сайта. И потирая ручки продавать ссылки. За небольшой промежуток времени заметил как минимум 2 биржи это ТрастЛинк и Сапа. arbayten.gif В общем с этим я вроде справился, хотя конечно искать так называемые Шеллы по всему сайту дело весьма неблагодарное. На несколько месяцев было затишье. :mudak: Но в последний ап заметил что на одном сайте влетело в индекс аж 3600 страниц. Я "почасал репу" полез юзать индекс и на мое удивление заметил в залитый сайт в одну из папок старых. Сайт ровненько так 3600 страниц. facepalm.gif

И так к сути дела, есть ли прога которая может определить дату создания и изменения (страниц, папок)?

Также интересно какими ФТП заливчиками пользуетесь, так как скорее всего через него пароли тырят?

P/s: Тапками не кидаться popcorn2.gif (антивирь касперский интернет (лицензия))


--------------------
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
SoulCry
SoulCry
сообщение 10.11.2011, 12:04; Ответить: SoulCry
Сообщение #2


Завсегдатай
*****

Группа: Active User
Сообщений: 661
Регистрация: 1.8.2010
Поблагодарили: 175 раз
Репутация:   19  


Настрой фаерволл, например, комодо, чтобы вообще никакая отсылка левых данных не проходила незамеченной, будет куда лучше чем свинка высшей пробы). Я пользуюсь веб интерфейсом, ну или тоталом. Проблем за 5 лет не было, слава богу.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
xamlet
xamlet
Topic Starter сообщение 10.11.2011, 12:32; Ответить: xamlet
Сообщение #3


Бывалый
****

Группа: User
Сообщений: 440
Регистрация: 1.2.2010
Из: Россия МСК
Поблагодарили: 173 раза
Репутация:   36  


(SoulCry @ 10.11.2011, 12:04) *
Настрой фаерволл, например, комодо, чтобы вообще никакая отсылка левых данных не проходила незамеченной, будет куда лучше чем свинка высшей пробы). Я пользуюсь веб интерфейсом, ну или тоталом. Проблем за 5 лет не было, слава богу.


Вот я тоже думаю что вебинтерфейс в самый раз. А фаервол надо будет поюзать подробнее. Вот по поводу тотала как раз сомневаюсь ощущение что с него тырят пассы. Так как все сайты которые в нем есть ломают... Возможно просто стечение обстоятельств.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
KipiaSoft
KipiaSoft
сообщение 10.11.2011, 18:31; Ответить: KipiaSoft
Сообщение #4


Старожил
******

Группа: Active User
Сообщений: 2096
Регистрация: 16.11.2009
Из: Волгоград
Поблагодарили: 632 раза
Репутация:   74  


(xamlet @ 10.11.2011, 12:32) *
Так как все сайты которые в нем есть ломают... Возможно просто стечение обстоятельств.

Навряд ли. Лучше всего начинать поиски со своего компа. Как правило это не просто стечение обстоятельств


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
x64
x64
сообщение 10.11.2011, 19:10; Ответить: x64
Сообщение #5


F.A.L.L.O.U.T.
*******

Группа: Super Moderator
Сообщений: 3424
Регистрация: 30.6.2011
Из: Железнодорожный (Балашиха)
Поблагодарили: 2746 раз
Репутация:   289  


несколько лет назад на тридесятом (позже известном как ht-systems, а сейчас просто hts) поломали сервер (как я понял, угнали пароли для фтп) и тупо всем айфрейм забабахали в индексный файл. после этого сказочный хостер молчком поменял все пароли. может быть подобная ситуация. а может быть, и правда на домашней машине гад сидит. скачайте каспера и курит, прошуршите машину, хотя бы спокойствие на этот счёт обретёте smile.gif


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Serenita
Serenita
сообщение 10.11.2011, 19:17; Ответить: Serenita
Сообщение #6


Старожил
******


Группа: Active User
Сообщений: 1658
Регистрация: 20.7.2010
Из: Киев
Поблагодарили: 1822 раза
Репутация:   230  


и на мое удивление заметил в залитый сайт в одну из папок старых. Сайт ровненько так 3600 страниц


Добро пожаловать в клуб

И это не взлом FTP - как выяснилось, это использование разных уязвимостей. В ВП это через timthumb, в других движках что-то свое...результат один, варезник в подпапках. Заливают через шелл...нашла его кстати, сохранила на память. # Web Shell by oRb называется...

Вот мой любимый пример - портал Союза Правых Сил sps.ru и их подарок - http://sps.ru/wap/drivers-10/drayver-epson...ction-1270.html. Как раз СДЛ пример с высоким ТИЦ, в ЯК, все дела.

Не пишу им из принципа, интересно, когда заметят ))

Сообщение отредактировал Serenita - 10.11.2011, 19:22
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
bum
bum
сообщение 10.11.2011, 19:59; Ответить: bum
Сообщение #7


reg.com.ru
*******

Группа: Super Moderator
Сообщений: 2859
Регистрация: 10.6.2008
Из: RU
Поблагодарили: 4760 раз
Репутация:   233  


Перво-наперво надо проверить компьютеры всех кто имеет доступ по фтп, защитить их антивирусами и дополнительно периодически проверять разными утилитами навроде cureit. Фаерволлом не надо пренебрегать.
Если хостер позволяет то использовать ftps.
Не хранить пароль в клиенте.


--------------------
домены RU/SU/РФ/gTLD(reg.ru, nic.ru, r01.ru, webnames.ru, naunet.ru, PublicDomainRegistry.com, uk2group.com)
с безbumажным и простым как 1,2,3 переоформлением при продаже. Подробности в тех.поддержке.
Работай без риска!
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
DmitrySidorov
DmitrySidorov
сообщение 10.11.2011, 21:08; Ответить: DmitrySidorov
Сообщение #8


Участник
***

Группа: User
Сообщений: 149
Регистрация: 20.5.2011
Поблагодарили: 23 раза
Репутация:   3  


Сначала проверьте свой ПК 2-3 антивирусами, настройте файрвол на ПК, смените все пароли на сложные, если кто-то еще имеет доступ к данным, постарайтесь максимально ограничить доступ, не сохраняйте пароли в браузерах и фтп-клиентах. После этого пройдитесь по серверам, права на запись ставьте только там, где это критически необходимо, запретите выполнение скриптов в каталогах, где по определению их быть не должно (например, uploads, images, tmp и т.д.), обратитесь к разработчику скриптов по вопросу уязвимостей или наймите программиста, который все проверит.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Светозар
Светозар
сообщение 10.11.2011, 21:23; Ответить: Светозар
Сообщение #9


Бывалый
****

Группа: User
Сообщений: 273
Регистрация: 22.8.2011
Из: Москва
Поблагодарили: 24 раза
Репутация:   3  


xamlet, всё не читал, но, есть php скрипт, который можно прописать в крон, он будет проверять изменения в файлах и сообщать о них вам, или же просто разрешить вход в ТП и в панель управления сайта только с вашего IP, ну и пароли сменить... Если всё продолжится то это либо хостеры вас "обувают", либо CMS дырявая!
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


 



RSS Текстовая версия Сейчас: 14.12.2017, 3:08
Дизайн