X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

4 страниц V   1 2 3 4 >
Открыть тему
Тема закрыта
> nic.ru - что происходит?, Неожиданные неожиданности от RU-CENTER
rjksdfhe
rjksdfhe
Topic Starter сообщение 3.12.2012, 20:42; Ответить: rjksdfhe
Сообщение #1


Добрый вечер, господа.

Как любил излагать Конан Дойль, предыстория.

Пт 30.11.12 - Звонок поздно вечером из ветклиники, там работает моя программа 24 часа в сутки в регистратуре. "Ничего не работает!!! Люди в очереди стоят, регистрировать не можем!". Залезаю через Хром, вижу какую-то ошибку в JS в коде JQuery.mini. С чего бы? Не трогал последнюю неделю, всё работало, и вдруг неожиданно встало. Перезалил всё с localhost на сервер, сразу всё заработало. Пошёл спать.

Сб 1.12.12, день - Друг сообщил, что в админке перестал работать визуальный редактор. К вечеру покопался, посмотрел, ничего не нашёл - просто перезалил код, всё заработало.

Вс 2.12.12 - в панели ЯWM в первый раз за долгую практику вылезло 3 сайта, помеченные красными червячками (как "сайт заражён"). Учитывая, что первый сделан на Joomla, а два других на своей рукописной CMS, засомневался. Отправил на перепроверку. Получил ответы "всё ещё заражён" (без детальных комментариев, как всегда).

Пн 3.12.12 - Понеслась... Как я понял, кол-во заражённых сайтов постоянно увеличивается.

(Для справки: локально у меня стоит лицензионный KIS 13, всё актуально, обновлено только что и перепроверено - всё что только возможно).

Теперь картинки (только что снятые):

1. Сообщение о заражении от KIS:


2. ЯWM с заражениями:


3. Х.з. откуда появившийся скрипт и куки - всё от pagecookie.


4. Ответ сайта, который не трогал уже месяца 3 точно:


По всему сказанному делаю вывод, что или только сервер, где лежат мои сайты в РУ-ЦЕНТРЕ взломали, или и на других тоже. РУ-ЦЕНТР молчит.

Блин, один из самых дорогих и стабильных хостингов в России. Куда и клиентов приводил безвозмездно, и на котором самые ответственные проекты держал.

(Есть проекты на masterhost, hc и прочих, т.е. проблема не во мне)

Все проблемы, как вижу исходят только от pagecookie3.org, который и KIS блокирует, и из-за которого ЯWM отмечает сайты как заражённые. И своей вини не вижу - заражались сайты, которые давно не трогал.

Завтра попробую провести очередное расследование... Пока настроение печальное.
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Hint
Hint
сообщение 3.12.2012, 20:47; Ответить: Hint
Сообщение #2


Ну что поделать. Всякое бывает mellow.gif
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
wasley
wasley
сообщение 3.12.2012, 20:51; Ответить: wasley
Сообщение #3


А вы не думали, что проблема в том, что уязвимость в сайте? Залили шелл, и там уже изменили исходный код.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
rjksdfhe
rjksdfhe
Topic Starter сообщение 3.12.2012, 21:22; Ответить: rjksdfhe
Сообщение #4


Нет, взломать не могли, пароль 11 символов и прочее, безопасность блюжу.
Скачал код заражённого локально - никаких упоминаний о `pagecookie` нет, и eval тоже никаких.

Завтра буду раздирать техподдержку с утра.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
DmitrySidorov
DmitrySidorov
сообщение 4.12.2012, 13:33; Ответить: DmitrySidorov
Сообщение #5


rjksdfhe, могли использовать уязвимость в скриптах, а не красть пароль.


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
WebGraf
WebGraf
сообщение 4.12.2012, 16:19; Ответить: WebGraf
Сообщение #6


Вполне может быть трон что ворует пароль фтп и удаленно изменяет файлы. Это один из самых распространенных вариантов.


--------------------
EuroHoster - территория быстрых серверов.
VPS SSD / High CPU VPS / Storage VPS / Windows VPS / VPN


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
spavoda
spavoda
сообщение 4.12.2012, 16:49; Ответить: spavoda
Сообщение #7


rjksdfhe, от beget пришло письмо что отключили доступ к SQL базам, т.к. появилась уязвимость, которой пользуются злоумышлиники и могут внести правки в чужие БД.
Поэтому они принудительно выключили доступ к базам до лучших времен.

Незнаю, связано ли это как то с вашей бедой.


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Kuznec37
Kuznec37
сообщение 4.12.2012, 17:29; Ответить: Kuznec37
Сообщение #8


Была такая же ситуация там же, заразились все сайты на аккаунте.
(rjksdfhe @ 3.12.2012, 17:42) *
у меня стоит лицензионный KIS 13, всё актуально

У меня тоже.
(rjksdfhe @ 3.12.2012, 17:42) *
Учитывая, что первый сделан на Joomla

Как раз таки Джумла более всего и подвержена заражению.
(rjksdfhe @ 3.12.2012, 18:22) *
взломать не могли, пароль 11 символов

А никто и не будет пароль подбирать, ищут дыры в компонентах, плагинах, и через них проникают.

Так что говорю вам со 100% уверенностью: заражены все сайты на вашем аккаунте и все скопом надо лечить.
Если один вылечите, а другие нет, пойдет по кругу все.


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
KipiaSoft
KipiaSoft
сообщение 4.12.2012, 18:11; Ответить: KipiaSoft
Сообщение #9


(Kuznec37 @ 4.12.2012, 17:29) *
и все скопом надо лечить

Лечить мало, нужно найти и устранить уязвимость. А то будут нечто подобное через день устраивать, пока не надоест, либо своей цели не добьются


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
seowolf
seowolf
сообщение 4.12.2012, 18:17; Ответить: seowolf
Сообщение #10


Не понял смысл названия. ТС, у вас подозрение что ломанули хостера? Ну тогда все соседи бы хрюкали, несложно же пошукать вашим лицензионным касперским по квартирам. Если все чисто - источник бед ваш акк. Что то подсунули.

В свое время помню ломали MCHOST, так только по следам потом понять успел, за ночь все сам хостер вычистил. Потом они конечно чудили много - но это уже другая история.


Результаты расследования ждем с нетерпением.

Сообщение отредактировал seowolf - 4.12.2012, 18:20


--------------------
Бутик драгоценных камней. Удивительные драгоценные камни.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
4 страниц V   1 2 3 4 >
Открыть тему
Тема закрыта
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Горячая тема (нет новых ответов) Во что сегодня инвестировать?
Делимся своими приносящими прибыль вариантами
69 traveliver 4446 25.3.2024, 6:48
автор: Skyworker
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыВо что Вы играете?
399 Vmir 67501 23.3.2024, 12:51
автор: Alexand3r
Открытая тема (нет новых ответов) "Извините, что ожидание затянулось, но не думайте, пожалуйста, что мы про вас забыли. Мы заводим задачи по всем обращениям и контролируем работу над ними самым тщательным образом."
Вопрос
0 kuz999 1188 5.2.2024, 14:06
автор: kuz999
Горячая тема (нет новых ответов) Что приведет к краху всего рынка криптовалют
стейблкоины, прогноз
43 GlazAlmaz 5833 13.1.2024, 17:30
автор: Antarez
Горячая тема (нет новых ответов) Microsoft отказался работать в России: на что повлияет и есть ли ему замена
30 Room 4480 30.12.2023, 23:17
автор: australianman


 



RSS Текстовая версия Сейчас: 28.3.2024, 15:15
Дизайн