| |
|
|
| | Обнаружил вчера – залезли аж до самого корня виртуального сервера (на хосте), изменили все файлы с расширениями *.php *.html, дописав в конец файла кусок кода хтмл – счетчик от LiveInternet
<!--LiveInternet counter-->...<!--/LiveInternet-->
Повезло тока тем, у кого доступ был ‘444’.
Как такое можно сделать, непонятно? Загрузки файлов на сервер нету - пример из «Безопасного программирования…» по рекурсивному удалению всего сайта – не подходит…
В логах нашел что-то подозрительное, как по времени, так и по содержанию:
xxx.xxx.xxx.xxx - - [23/Apr/2008:02:08:19 +0400] "GET /test.pl HTTP/1.1" 404 1352 "-" "MDML1.5Beta"
xxx.xxx.xxx.xxx - - [23/Apr/2008:02:08:21 +0400] "GET /cgi/test.pl HTTP/1.1" 404 1352 "-" "MDML1.5Beta"
xxx.xxx.xxx.xxx - - [23/Apr/2008:02:08:21 +0400] "GET /cgi-bin/test.pl HTTP/1.1" 200 1895 "-" "MDML1.5Beta"
|
но такого файла у меня есессно нет, а как его на сервер можно незаметно засунуть а потом удалить???
Ничччё не понимаю : / | |
| |
|
|
| |
|
|
| |
для: Evgen
(04.05.2008 в 21:51)
| | | Может ты позавчера по порно-сайтам лазил? | |
| |
|
|
| |
|
|
| |
для: Atheist
(04.05.2008 в 22:09)
| | | Увы :(
Совсем забросил это приятное занятие с этой чёртовой работой !
: ) | |
| |
|
|
| |
|
|
| |
для: Evgen
(04.05.2008 в 21:51)
| | | Единственный совет, меняйте пароли на FTP, предварительно почистив машины с которых есть доступ по ftp, к вашему сайту. | |
| |
|
|
| |
|
|
| |
для: AcidTrash
(04.05.2008 в 22:17)
| | | Если положили /test.pl по ФТП, то какого ... тогда шарить по директориям /cgi/, /cgi-bin/ в поисках его, любимого ???
Хотя, если только заталкивать этот самый test.pl на удачу, "куда ляжет" ?
Возможно...
Но как юзнуть имя-пароль (даже если они и забиты в ФТП-менеджер) ? - другая загадка... | |
| |
|
|
| |
|
|
| |
для: Evgen
(04.05.2008 в 22:35)
| | | C очень большой вероятностью у тебя троян.
> Если положили /test.pl по ФТП
С чего ты взял, что его туда "ложили"? В логах статус - 404.
> Но как юзнуть имя-пароль (даже если они и забиты в ФТП-менеджер) ?
Возможно, троян прослушивает 21-й порт или знает, как расшифровать пароль, который сохранен где-то для автологина. Точнее, это как его стащить.
А как "юзнуть", думаю, объяснять не надо. | |
| |
|
|
| |
|
|
| |
для: Atheist
(04.05.2008 в 22:38)
| | | Очень убедительно !
Пошел искать заразу... | |
| |
|
|
| |
|
|
| |
для: Evgen
(04.05.2008 в 22:54)
| | | То ли ещё будет...
Т.к. вполне возможно, что и троян...
P.S.
Ты попроси совета у руководителя хостинга.
Он тут очень умный, похоже...
Может подскажет.
А может и у себя чо найдёт...
Только разговаривай с ним шепотом, а то может и вспылить... | |
| |
|
|
| |
|
|
| |
для: MAR_NIKOZA
(05.05.2008 в 00:55)
| | | Обновил базу троянов.
Проверил.
Не обнаружил.
Хотя пароль на ФТП конечно поменял. Ждем следующего случая для наработки статистики.
PS. MAR_NIKOZA, боишься руководителей..? А чё нас бояться-то ? ;) | |
| |
|
|
| |
|
|
| |
для: evgen
(05.05.2008 в 13:05)
| | | >PS. MAR_NIKOZA, боишься руководителей..? А чё нас бояться-то ? ;)
Тогда дайте сами себе совет по обозначенной проблеме. | |
| |
|
|
| |
|
|
| |
для: glsv (Дизайнер)
(05.05.2008 в 14:24)
| | | Так и сделал. Спасибо!
Чаще всего так и решается проблема (у меня): задал вопрос -> прочитал первые советы-мнения -> увидел какое-то направление для поиска -> собрал информацию -> проанализировал -> решил проблему. | |
| |
|
|
| |
|
|
| |
для: Evgen
(04.05.2008 в 22:35)
| | | >Но как юзнуть имя-пароль (даже если они и забиты в ФТП-менеджер) ? - другая загадка...
В качестве ФТП-менеджера использую TotalCommander, так там вместе с инсталяционным файлом идет небольшая утилитка - просмотр сохраненных FTP-паролей. Вот и вся загадка. Вполне возможно, что и для других менеджеров есть что-нибудь подобное. | |
| |
|
|
| |
|
|
| |
для: yuk
(05.05.2008 в 18:21)
| | | Прежде всего - "правильный" файервол.
Антивирус - между делом. Файервол гораздо важнее.
Далее - дыры в системе...
С чего начать? Конечно же с браузера.
Интернет Эксплойер это радость для ботов.
Отключение яваскрипта ничего не значит, если Вы на странице моего сервера.
90% моих ботов проскакивают именно в ИЕ. (Домашнее баловство, только для себя!!!)
Имхо - Опера. Я не смог до сих пор её укусить.
Далее - при запуске системы захватить процессом всю папку windows для запрета любых изменений в файлах. Оставить некоторые... Захват производить драйвером. Есть много прог для этого. Например folder guard. Но только проверенный. Скачать с сайта производителя. | |
| |
|
|
| |
|
|
| |
для: MAR_NIKOZA
(05.05.2008 в 19:15)
| | | Да я уже это понял - "гром не грянет, мужик не перекрестится" ! Так что по-любому, польза от первого взлома уже есть - почитал инфу по троянам, наконец-то начну делать ежедневный бэкап сайта+БД, да еще появился интерес к настройкам файервола, который выскакивает на авансцену каждый раз при включении компа ...
Вощем, не было бы счастья, да несчастье помогло :)
Блдрю всех, поделившихся своими мыслями !!! | |
| |
|
|
