X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

4 страниц V   1 2 3 4 >
Открыть тему
Тема закрыта
> nic.ru - что происходит?, Неожиданные неожиданности от RU-CENTER
rjksdfhe
rjksdfhe
Topic Starter сообщение 3.12.2012, 20:42; Ответить: rjksdfhe
Сообщение #1


Straight arms
*******

Группа: Active User
Сообщений: 2760
Регистрация: 21.4.2009
Из: Мытищи, МО, РФ
Поблагодарили: 1111 раз
Репутация:   163  


Добрый вечер, господа.

Как любил излагать Конан Дойль, предыстория.

Пт 30.11.12 - Звонок поздно вечером из ветклиники, там работает моя программа 24 часа в сутки в регистратуре. "Ничего не работает!!! Люди в очереди стоят, регистрировать не можем!". Залезаю через Хром, вижу какую-то ошибку в JS в коде JQuery.mini. С чего бы? Не трогал последнюю неделю, всё работало, и вдруг неожиданно встало. Перезалил всё с localhost на сервер, сразу всё заработало. Пошёл спать.

Сб 1.12.12, день - Друг сообщил, что в админке перестал работать визуальный редактор. К вечеру покопался, посмотрел, ничего не нашёл - просто перезалил код, всё заработало.

Вс 2.12.12 - в панели ЯWM в первый раз за долгую практику вылезло 3 сайта, помеченные красными червячками (как "сайт заражён"). Учитывая, что первый сделан на Joomla, а два других на своей рукописной CMS, засомневался. Отправил на перепроверку. Получил ответы "всё ещё заражён" (без детальных комментариев, как всегда).

Пн 3.12.12 - Понеслась... Как я понял, кол-во заражённых сайтов постоянно увеличивается.

(Для справки: локально у меня стоит лицензионный KIS 13, всё актуально, обновлено только что и перепроверено - всё что только возможно).

Теперь картинки (только что снятые):

1. Сообщение о заражении от KIS:


2. ЯWM с заражениями:


3. Х.з. откуда появившийся скрипт и куки - всё от pagecookie.


4. Ответ сайта, который не трогал уже месяца 3 точно:


По всему сказанному делаю вывод, что или только сервер, где лежат мои сайты в РУ-ЦЕНТРЕ взломали, или и на других тоже. РУ-ЦЕНТР молчит.

Блин, один из самых дорогих и стабильных хостингов в России. Куда и клиентов приводил безвозмездно, и на котором самые ответственные проекты держал.

(Есть проекты на masterhost, hc и прочих, т.е. проблема не во мне)

Все проблемы, как вижу исходят только от pagecookie3.org, который и KIS блокирует, и из-за которого ЯWM отмечает сайты как заражённые. И своей вини не вижу - заражались сайты, которые давно не трогал.

Завтра попробую провести очередное расследование... Пока настроение печальное.
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Hint
Hint
сообщение 3.12.2012, 20:47; Ответить: Hint
Сообщение #2


Частый гость
**

Группа: User
Сообщений: 70
Регистрация: 27.8.2010
Поблагодарили: 14 раз
Репутация:   2  


Ну что поделать. Всякое бывает mellow.gif
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
wasley
wasley
сообщение 3.12.2012, 20:51; Ответить: wasley
Сообщение #3


Участник
***

Группа: User
Сообщений: 164
Регистрация: 30.11.2011
Поблагодарили: 48 раз
Репутация:   9  


А вы не думали, что проблема в том, что уязвимость в сайте? Залили шелл, и там уже изменили исходный код.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
rjksdfhe
rjksdfhe
Topic Starter сообщение 3.12.2012, 21:22; Ответить: rjksdfhe
Сообщение #4


Straight arms
*******

Группа: Active User
Сообщений: 2760
Регистрация: 21.4.2009
Из: Мытищи, МО, РФ
Поблагодарили: 1111 раз
Репутация:   163  


Нет, взломать не могли, пароль 11 символов и прочее, безопасность блюжу.
Скачал код заражённого локально - никаких упоминаний о `pagecookie` нет, и eval тоже никаких.

Завтра буду раздирать техподдержку с утра.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
DmitrySidorov
DmitrySidorov
сообщение 4.12.2012, 13:33; Ответить: DmitrySidorov
Сообщение #5


Участник
***

Группа: User
Сообщений: 149
Регистрация: 20.5.2011
Поблагодарили: 23 раза
Репутация:   3  


rjksdfhe, могли использовать уязвимость в скриптах, а не красть пароль.


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
WebGraf
WebGraf
сообщение 4.12.2012, 16:19; Ответить: WebGraf
Сообщение #6


Завсегдатай
*****

Группа: Active User
Сообщений: 914
Регистрация: 13.1.2011
Поблагодарили: 134 раза
Репутация:   15  


Вполне может быть трон что ворует пароль фтп и удаленно изменяет файлы. Это один из самых распространенных вариантов.


--------------------
EuroHoster.org - территория быстрых серверов
30% скидка на VPS SSD в Нидерландах - промо-код Winter.2017


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
spavoda
spavoda
сообщение 4.12.2012, 16:49; Ответить: spavoda
Сообщение #7


Бывалый
****

Группа: User
Сообщений: 386
Регистрация: 11.7.2011
Поблагодарили: 126 раз
Репутация:   33  


rjksdfhe, от beget пришло письмо что отключили доступ к SQL базам, т.к. появилась уязвимость, которой пользуются злоумышлиники и могут внести правки в чужие БД.
Поэтому они принудительно выключили доступ к базам до лучших времен.

Незнаю, связано ли это как то с вашей бедой.


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Kuznec37
Kuznec37
сообщение 4.12.2012, 17:29; Ответить: Kuznec37
Сообщение #8


Старожил
******

Группа: Active User
Сообщений: 1134
Регистрация: 24.4.2008
Из: Кафа
Поблагодарили: 279 раз
Репутация:   32  


Была такая же ситуация там же, заразились все сайты на аккаунте.
(rjksdfhe @ 3.12.2012, 17:42) *
у меня стоит лицензионный KIS 13, всё актуально

У меня тоже.
(rjksdfhe @ 3.12.2012, 17:42) *
Учитывая, что первый сделан на Joomla

Как раз таки Джумла более всего и подвержена заражению.
(rjksdfhe @ 3.12.2012, 18:22) *
взломать не могли, пароль 11 символов

А никто и не будет пароль подбирать, ищут дыры в компонентах, плагинах, и через них проникают.

Так что говорю вам со 100% уверенностью: заражены все сайты на вашем аккаунте и все скопом надо лечить.
Если один вылечите, а другие нет, пойдет по кругу все.


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
KipiaSoft
KipiaSoft
сообщение 4.12.2012, 18:11; Ответить: KipiaSoft
Сообщение #9


Старожил
******

Группа: Active User
Сообщений: 2096
Регистрация: 16.11.2009
Из: Волгоград
Поблагодарили: 632 раза
Репутация:   74  


(Kuznec37 @ 4.12.2012, 17:29) *
и все скопом надо лечить

Лечить мало, нужно найти и устранить уязвимость. А то будут нечто подобное через день устраивать, пока не надоест, либо своей цели не добьются


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
seowolf
seowolf
сообщение 4.12.2012, 18:17; Ответить: seowolf
Сообщение #10


Бывалый
****

Группа: User
Сообщений: 286
Регистрация: 11.11.2012
Поблагодарили: 125 раз
Репутация:   16  


Не понял смысл названия. ТС, у вас подозрение что ломанули хостера? Ну тогда все соседи бы хрюкали, несложно же пошукать вашим лицензионным касперским по квартирам. Если все чисто - источник бед ваш акк. Что то подсунули.

В свое время помню ломали MCHOST, так только по следам потом понять успел, за ночь все сам хостер вычистил. Потом они конечно чудили много - но это уже другая история.


Результаты расследования ждем с нетерпением.

Сообщение отредактировал seowolf - 4.12.2012, 18:20


--------------------
Бутик драгоценных камней. Удивительные драгоценные камни.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
4 страниц V   1 2 3 4 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыКто и что читает?
Любимые и не только, книги.
251 Levels 31017 Вчера, 16:47
автор: Catherine_Molli
Открытая тема (нет новых ответов) Карим Баратов признался, что имел отношение ко взлому компании Yahoo
4 MissContent 606 Вчера, 16:38
автор: wertu
Горячая тема (нет новых ответов) Что лучше, фриланс, удаленка, или работа в офисе солидной компании?
93 Levizar 7530 Вчера, 16:27
автор: Catherine_Molli
Открытая тема (нет новых ответов) Что вы можете сказать про мегакассу?
16 DimaMyrzich 3551 7.12.2017, 16:13
автор: vds4you
Горячая тема (нет новых ответов) что лучше? Группа или страничка личная?
103 vipms 16928 6.12.2017, 3:14
автор: jingo


 



RSS Текстовая версия Сейчас: 12.12.2017, 1:06
Дизайн