X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Отловил вирусяку, Шифровался под google-analytics
loginmain
loginmain
Topic Starter сообщение 7.7.2009, 18:16; Ответить: loginmain
Сообщение #1


Оптимизатор
*******

Группа: Super Moderator
Сообщений: 4327
Регистрация: 5.10.2008
Из: UA
Поблагодарили: 1946 раз
Репутация:   196  


Решил открыть тему, может кому поможет.
Недавно обновил свой блог новыми постами и в поиске гугля после индексации новых страниц появился в выдаче непонятный код. Код напоминает типа такое: $1$2$5$7$8$6$1$2$5$7$8$6$1$2$5$7$8$6$1$2$5$7$8$6$1$2$5$7$8$6

Посмотрев HTML код сайта, в самом-самом начале сайта нашел эти значки. Поняв что вирус, начал искать в файлах. Оказалось что он вписал себя (у меня двиг вордпресс) во все файлы index.php (их где-то 4 штуки). Удалив код, вроде все нормально.

Погуглив нашел про этот вирус много статей, вот пара:
_http://www.securitylab.ru/news/380710.php
_http://donbass.ua/news/technology/internet/2009/06/03/saitam-grozit-massovoe-zarazhenie-novyi-vredonosnyi-kod.html

Что еще интересно, яндекс сказал что есть вирус, а через день написало что нет уже вируса, а он был.

... поэтому проверяем свои сайты, чтобы перед
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
небыло никаких цифр и значков бакса. Вирус правда уже староват и прошло его время (скорее всего он и безобиден уже), но возможно как и у меня он зашился незаметно и висит мешая выдаче.


--------------------
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Lix
Lix
сообщение 7.7.2009, 18:20; Ответить: Lix
Сообщение #2


Dancing king :P
*****

Группа: Active User
Сообщений: 709
Регистрация: 15.4.2008
Поблагодарили: 186 раз
Репутация:   42  


Драсьте. Плотно обсуждали эту тему месяца 2 назад. Вам бы компьютер свой проверить и бросить плохую привычку сохранять пароли в фтп-менеджерах.


--------------------
Большой брат следит за тобой!
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
kronos
kronos
сообщение 7.7.2009, 18:21; Ответить: kronos
Сообщение #3


Белый веб-мастер
*******


Группа: Active User
Сообщений: 4703
Регистрация: 10.2.2009
Из: Харьков
Поблагодарили: 2629 раз
Репутация:   327  


Вероятно заражение через ваш компьютер или другого, кто заходит на фтп.
Советую просканить винт.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
loginmain
loginmain
Topic Starter сообщение 7.7.2009, 18:34; Ответить: loginmain
Сообщение #4


Оптимизатор
*******

Группа: Super Moderator
Сообщений: 4327
Регистрация: 5.10.2008
Из: UA
Поблагодарили: 1946 раз
Репутация:   196  


Через комп врядли... хотя все может быть.
Сайт не один, много, а заражение лишь на одном было.

Раз все про этот вирус знают и обсуждалось очень плотно, тогда тему можно закрывать.
Хотел только помочь...

P. S. Через поиск темы про это не нашел (видимо плохо искал)... обсуждения не видел.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Maxim-Afig
Maxim-Afig
сообщение 7.7.2009, 18:44; Ответить: Maxim-Afig
Сообщение #5


Завсегдатай
*****

Группа: Active User
Сообщений: 599
Регистрация: 19.3.2009
Из: localhost
Поблагодарили: 217 раз
Репутация:   38  


Да месяц назад я зацепил ету вирусяку слава богу успешно вывел , но долго долбил себе мозги мало инфы о ньом в сети .
Вот статья о том как с ним боротса :

В сети интернет появился новый тип вируса - Downloader.JS.Psyme.ct
(возможны другия названия), распространяющий себя через веб-сайты.
Схема заражения довольно проста: достаточно зайти на зараженный сайт и
при стандартных настройках безопасности браузера, вирус автоматически
установится на компьютере пользователя. После этого он начинает
отслеживать логины и пароли от FTP, высылая их злоумышленникам. Собрав
определенное количество паролей, запускается специальная программа,
которая подключается по FTP к каждому сайту и встраивает в начало или
конец страниц собственный html-код.

В случае обнаружения следов вируса необходимо выполнить следующие
действия с обязательным соблюдением порядка:
В случае обнаружения следов вируса необходимо выполнить следующие действия с обязательным соблюдением порядка:

1. Проверить нет ли чужих скриптов на ftp

2. Удалить все лишние коды iframe и javascript со страниц

3. Сменить ftp-клиент и браузер. Поставить новые версии, скаченные с

сайтов-производителей.

4. Поставить фаервол

5. Сменить все пароли

6. Не сохранять пароли в программах на компьютере. Вводить каждый раз.

Обращаем внимание, что в интернете можно встретить обсуждение данной
проблемы, где в качестве причин заражения указываются различные
бесплатные "движки" (phpBB и т.д.), либо наличие уязвимостей у
хостинг-провайдеров. Со своей стороны можем заверить, что вирус
распространяется только способом, описанным в этом письме, и его
появление не связано с проблемами безопасности на сервере.

если кому то будет нужна помощь по выведению етой вирусяки стучите с удовольствием помогу .


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
proXBOCT
proXBOCT
сообщение 7.7.2009, 18:45; Ответить: proXBOCT
Сообщение #6


PHP-писака
*****

Группа: Active User
Сообщений: 867
Регистрация: 20.4.2008
Из: Тольятти
Поблагодарили: 297 раз
Репутация:   47  


Слышал что такой вирус распространяется через тотал коммандер, благодаря тому, что у крякнутой версии легко воруются пароли из неё. Далее он ищет все файлы index и main.
Поменяйте пароли на фтп. Удалите тотал коммандер


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
JohnD
JohnD
сообщение 7.7.2009, 20:26; Ответить: JohnD
Сообщение #7


Бывалый
****

Группа: User
Сообщений: 250
Регистрация: 2.4.2009
Из: Санкт-Петербург
Поблагодарили: 98 раз
Репутация:   9  


Удалять total commander не стал, но очистил поля логин и пароль, буду теперь вводить каждый раз вручную.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
youlkin
youlkin
сообщение 7.7.2009, 21:18; Ответить: youlkin
Сообщение #8


Участник
***

Группа: User
Сообщений: 226
Регистрация: 26.7.2008
Из: Клингонская Империя
Поблагодарили: 52 раза
Репутация:   10  


а ещё полезно сделать доступ на сервак по ip
файл .ftpaccess а в нём
<Limit ALL>
Allow from ваш ip
Deny from all
</Limit>
и залейте на хост, всё же меньше народу будет лазить если что...


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
papochka
papochka
сообщение 7.7.2009, 21:25; Ответить: papochka
Сообщение #9


Бывалый
****

Группа: User
Сообщений: 447
Регистрация: 11.5.2009
Из: Luhansk,Ukrain
Поблагодарили: 127 раз
Репутация:   16  


Допустим, у меня меняеться айпи 213.151.ххх.ххх где ххх - меняеться при подключении инета. Как мне сделать доступ только для меня?

Хотябы для 213.151...

Сообщение отредактировал papochka - 7.7.2009, 21:25


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


 



RSS Текстовая версия Сейчас: 13.12.2017, 17:11
Дизайн