На страницу Пред. 1, 2, 3 |
|
Ср Мар 18, 2009 9:37 pm |
Start Post: господи.. боже мой.. |
IseeDeadPeople Объединенная Электрическая |
Зарегистрирован: 06.12.2005
Сообщений: 21692
|
Обратиться по нику
|
IseeDeadPeople |
Ответить с цитатой | | |
|
Я сегодня на одном своем сайте.. в индекс стр. внизу ифрейм на трои-поников обнаружил.
это моя машинка заражена ?
.. или хостинг был взломан ? (речь не о SG.. о других)
если моя:
это трои на лету, при закачке файлов на ФТП, вставляют в конец свой фрей?
.. они все ФТП менеджеры умеют игогокать - перехватывать?
.. или тама сначало крадуться ФТП логины/пароли . а потом уже.. со стронней машинке заливаеться ?
если не моя (сервер): что делать сразу ? - если на файлы поставить атрибуты только чтения - поможет ?
.. где бы почитать про эти вирусы.. их празнаки.. |
|
|
|
|
|
porno |
IseeDeadPeople Объединенная Электрическая |
Зарегистрирован: 06.12.2005
Сообщений: 21692
|
Обратиться по нику
|
IseeDeadPeople |
Ответить с цитатой | | |
|
люди добрый скажите, де оно торчит? только в индексах или еще де?
просто у меня индексы, почти все "зазендены"
.. кажеться по маске заражает "index" (проходит по саб папкам, на какую глубину незнаю, но тама где поник был не в публик_хтмл - незаразил (неувидел))
т.е. index.html? .. index.php
а как это зазендены ? для чего это сделано у тебя и как ?
CuteFtp - напр, - имеет такую защиту ?
в PRO версии да, в HOME не знаю...
спасибо.. думаю для начало стоит обратиться именно к таким ФТП агентам, чтоб заражение вашего поника непривело к цепной реакции |
|
|
|
|
|
porno |
IseeDeadPeople Объединенная Электрическая |
Зарегистрирован: 06.12.2005
Сообщений: 21692
|
Обратиться по нику
|
IseeDeadPeople |
Ответить с цитатой | | |
|
люди добрый скажите, де оно торчит? только в индексах или еще де?
вообще, если что.. по filemtime ( дата последней модифика.....) .. в ФТП агенте .. столбец .. можно бегло смотреть и знать... где пони порылася |
|
|
|
|
|
porno |
IseeDeadPeople Объединенная Электрическая |
Зарегистрирован: 06.12.2005
Сообщений: 21692
|
Обратиться по нику
|
IseeDeadPeople |
Ответить с цитатой | | |
|
also check /wp-admin/menu.php on iframe-inject
..и если вы трете поника, а он снова игогокает, то наверно сначало надо с локального компа сделить поника (как я сказать немогу - так как не Касперский + вариации я вижу тут различные виря) а потом менять ФТП пароли и потом править индексы и что писал выше. |
|
|
|
|
|
porno |
J_Geer Опытный |
Зарегистрирован: 27.03.2006
Сообщений: 159
|
Обратиться по нику
|
J_Geer |
Ответить с цитатой | | |
|
IseeDeadPeople писал(а): |
also check /wp-admin/menu.php on iframe-inject
..и если вы трете поника, а он снова игогокает, то наверно сначало надо с локального компа сделить поника (как я сказать немогу...
|
Ну для начала проходим парочкой антивирусов типа Каспера и NODа по всему компу. Если не помогло...
В общем-то элементарно, но крайне нудно. На днях применял сию методу при поиске утечки трафа с провайдера через мой акк, когда ни один антивирус результата не дал.
Ставим файер в режим обучения и блочим все выходы в инет кроме одного рабочего браузера (и уж не УЁ, конечно), в том числе и системные процессы типа lsass.exe (у меня заблочен навечно), svhost.exe и пр. загадочных и не загадочных програм. Скорее всего, инет не законнектится. Потихоньку начинаем отпускать гайки и смотрим результат. И т.д. пока не начнет коннектится.
Смотрим логи файера за N последних дней и блочим спец.правилами все непонятные проги и адреса на исходящий трафик по внутренним и внешним (смотрим в логах файера) портам. У меня благополучно заблокирован весь внешний трафик со всех непонятных мне программ и процессов по всем протоколам и портам - и все чудненько работает. К тому же несколько сократился расход трафа. Эти пляски с бубном могут занять от пары часов до дня.
Если не помогло - косим систему и переустанавливаем с полным форматированием, как сие ни печально. |
|
|
|
|
|
Good host. Traffic trade and Links trade. SiteMonitor |
Nastia Профессионал |
Зарегистрирован: 27.09.2007
Сообщений: 762
|
Обратиться по нику
|
Nastia |
Ответить с цитатой | | |
|
У меня тоже эпидемия этой гадости в индексных страницах( Что я сделала:
1. Поменяла все пассы на фтп, админку и тд и тп через "чистый" комп.
2. Через фар прчекала и удалила все дерьмо в зараженных файликах
3. В сейф мод загрузала винду и лечила ее каспером+cure it+avz
Вроде бы все сейчас нормально, хотя гугл на один сайт приляпал уведомление о том, что сайт может нанести вред. После очистки снял предупреждение |
|
|
|
|
|
|
IseeDeadPeople Объединенная Электрическая |
Зарегистрирован: 06.12.2005
Сообщений: 21692
|
Обратиться по нику
|
IseeDeadPeople |
Ответить с цитатой | | |
|
J_Geer, а какой ты фаервол юзаешь ?
Nastia, кажеться, я бы сделал - сначало 3., потом 1., потом 2. |
|
|
|
|
|
porno |
Nastia Профессионал |
Зарегистрирован: 27.09.2007
Сообщений: 762
|
Обратиться по нику
|
Nastia |
Ответить с цитатой | | |
|
IseeDeadPeople, зачем? я пассы меняла на чистой машине, а инфицированная была отключена от сети |
|
|
|
|
|
|
J_Geer Опытный |
Зарегистрирован: 27.03.2006
Сообщений: 159
|
Обратиться по нику
|
J_Geer |
Ответить с цитатой | | |
|
IseeDeadPeople писал(а): |
J_Geer, а какой ты фаервол юзаешь ?
|
Старенький проверенный на "пробой" Seagate 5.50. Это чисто файервол без всяких примочек, но прекрасно держит атаки, хорошо настраивается. И NOD к нему в помощь с максимально закрученными настройками. |
|
|
|
|
|
Good host. Traffic trade and Links trade. SiteMonitor |
IseeDeadPeople Объединенная Электрическая |
Зарегистрирован: 06.12.2005
Сообщений: 21692
|
Обратиться по нику
|
IseeDeadPeople |
Ответить с цитатой | | |
|
Nastia писал(а): |
IseeDeadPeople, зачем? я пассы меняла на чистой машине, а инфицированная была отключена от сети
|
... ну я то это условие незнал, .. да и в любом - "вылечить себя" а потом уже чистить "поников" от внеш... а то малоли, перебегут потом снова .. - если забудешь почистить ...
|
|
|
|
|
|
porno |
IseeDeadPeople Объединенная Электрическая |
Зарегистрирован: 06.12.2005
Сообщений: 21692
|
Обратиться по нику
|
IseeDeadPeople |
Ответить с цитатой | | |
|
J_Geer писал(а): |
IseeDeadPeople писал(а): |
J_Geer, а какой ты фаервол юзаешь ?
|
Старенький проверенный на "пробой" Seagate 5.50. Это чисто файервол без всяких примочек, но прекрасно держит атаки, хорошо настраивается. И NOD к нему в помощь с максимально закрученными настройками.
|
Seagate 5.50 - давно 5.50 вышла ?
.. а Seagate с каспером вместе сдружиться ? .. или смысла сигейт с АК2009 юзать нету ? |
|
|
|
|
|
porno |
J_Geer Опытный |
Зарегистрирован: 27.03.2006
Сообщений: 159
|
Обратиться по нику
|
J_Geer |
Ответить с цитатой | | |
|
IseeDeadPeople писал(а): |
Seagate 5.50 - давно 5.50 вышла ?
|
Года четыре назад... Потом их движок закупил Symantec. Но... я их с десяток перепробовал, но все равно остался на нем.
IseeDeadPeople писал(а): |
.. а Seagate с каспером вместе сдружиться ? .. или смысла сигейт с АК2009 юзать нету ?
|
А вот этого я не знаю... Я от Каспера отказался году в 2003 из-за тормознутости и перешел на связку Сигейт+НОД. Стоит такая связка еще на ~25 машинах - вроде проблем не было...
Имхо, основной смысл любого файера в его грамотной ручной настройке на блокировку лишнего, а не в том, что он кое-какие троянчики по сигнатурам находит - это работа антивируса. Я думаю, что и Каспера можно настроить... Просто сигейт очень хорош как файер и очень легкий, вот и не вижу смысла менять. Да и с НОД'ом тоже проблем не знал. |
|
|
|
|
|
Good host. Traffic trade and Links trade. SiteMonitor |
m_Stasuk Дизайнер |
Зарегистрирован: 23.12.2007
Сообщений: 5967
|
Обратиться по нику
|
m_Stasuk |
Ответить с цитатой | | |
|
IseeDeadPeople, была такая хрень у меня - полгода боролся, так и не победил. А решение пришло очень простое щас расскажу сам удивишься. Первый раз придется ручками удалять всех твоих поников со всех твоих сайтов, во ВСЕХ файлах index.php. Обрати внимание что в WP например файл index.php не только в корне лежит. Так вот, удалил вредных пони и изменил атрибуты файла на 444. Все! Теперь никто не сможет записывать ничего в твой индекс, а вирусяка пишет только туда. |
|
|
|
|
|
Зарабатываю на рускамзе
Ростов-на-Дону
|
J_Geer Опытный |
Зарегистрирован: 27.03.2006
Сообщений: 159
|
Обратиться по нику
|
J_Geer |
Ответить с цитатой | | |
|
m_Stasuk писал(а): |
IseeDeadPeople, ...изменил атрибуты файла на 444. Все! Теперь никто не сможет записывать ничего в твой индекс, а вирусяка пишет только туда.
|
Ну вот еще один человек подтвердил мою теорию. Ну судя по тому, что с тех пор у меня проблем не было - против этого триппера это работает и ftp не при делах. Я вообще взял за правило ставить 444 на index.* обязательно и по возможности на все остальное. |
|
|
|
|
|
Good host. Traffic trade and Links trade. SiteMonitor |
IseeDeadPeople Объединенная Электрическая |
Зарегистрирован: 06.12.2005
Сообщений: 21692
|
Обратиться по нику
|
IseeDeadPeople |
Ответить с цитатой | | |
|
J_Geer, .. да и я тоже незнаю.. вродебы мой каспер и какие то модули фаеры (возможности и их реализации) содержит в себе.. так что смысл под лошадку пони еще ставить (?)
кстати, мою машинку (5 лет давности по энто-понику) негрузит совсем.. только если что то новое открываешь макс. +0.5 сек задержки.. правда когда в БиФикТу играю, я его шаДтю но и инет в офик скидываю - т.к. боты мне приятнее людей (хаха), .. думаю "...+0.5..." стоит безопасности.
m_Stasuk, да .. спасибо.. но я сделал чуть иначе и более недели назад .. Или вы где то еще пони-инжекты видите .. в моих ресах (я - нет!) ?
J_Geer,
444 это читайчитайчитай ?
... а как потом ты с того же ftp-логина/паса ему больший приоритет даш ? ведь ведьмы(w) на нем уже небудет ? - только же из панелек повернуть можно ?? - неудобно.
== у меня были случая когда я рвиксы в нуль игогокал с фтп.. а потом эти файлы админа сервера просил сделить, т.к. ничего с ними немог сам сделать |
|
|
|
|
|
porno |
|