Справка по антивирусному обеспечению
 

Доброго времени!

Имею ряд сайтов, подключенных к всеми уважаемой системе SAPE.
Но 2 дня назад обнаружил интересную вещь: почти на всех этих сайтах в конец файлов index.html, index.htm, index.php (где что есть) кем-то был добавлен следующий код после тэга </HTML>:
Соответственно, при заходе на страницы сайтов это код прокачивает партнерки гугла, бегуна и т.п...
Есть серьезное подозрение, что в скрипте sape.php есть уязвимость, позволяющая модифицировать файлы на сайтах, где он расположен.
Ни у кого больше нет таких проблем?

Вы подцепили трояна, который увел ваши пароли FTP. Сейчас такое часто бывает. Меняйте пароли, проверяйте комп, очищайте код сайта.
Sape здесь непричем

+1 Давненько этот троян бродит.

Спасибо за ответы. Никто не подскажет, что это за троян? Хостинг сайтов на линуксе и не совсем понятно как его почистить. И почему тогда взломали только сайты, подключенные к sape, хотя есть и ряд других?

А причем тут хостинг сайтов? Вы сами то под линуксом сидите или как? А в Total Commander или каком другом менеджере пароли к некоторым сайтам не забиты были? :) Разновидностей такого трояна много, все по разному себя проявляют.

Я сижу под виндой. Есть антивирус, фаервол, проверялка троянов - все со свежими базами и ни одна программа ничего не показывает. Вот поэтому и озадачился. В Total Commander пароли забиты - это факт.

2автор: у меня после </html> стоит только <!-- Use compress gzip -->

:))))
Ищи проблему у себя.

Здравая а может и больная логика подсказывает мне, что если бы было так как сказали ВЫ, то тот кто нашел бы способ изменять файлы через сапу - смог бы найти способ изменить это на ВСЕХ сайтах, а не только у Вас.

Через ТС и пролезает.
Могу привести цитату с моего хостинга:
Вобщем, меняйте все пароли, перезаливайте index на сайты

блин, из ТС нада парольки убрать, хотя каспер все время работает.. мало ли что.
ЗЫЖ 2автор, повезло, не так уж и страшно. Троян вообще мог убить все файлы ;)

Мне тоже какой-то "доброжелатель" вкатил сегодня
Смотрите так:
если присадка тупо дописана во все индексы, то меняйте пароль FTP;
если как-то "по-уму" - дыра в движке.

И, я так понял, что такие изделия проиндексируются, как дополнительные внешние сылки.

эксплоит
 

у меня на хостера эксплоит напал делал редирект со всех сайтов на директорию с файлами flame.so и flame.php и еще какой-то мусор... проблему решили, какой-то клиент занес эту хрень на сервак, но ерроров после этого была целая куча........


А теперь сам вопрос.... какие есть нормальные программы для выявления этих эксплоитов и троянов которые фтп пароли воруют и индексы херят???

ЗЫ: нод вообще пропускает троянов, дрвеб что-то обнаружил но всеравно на следующий день родного индекса ни одного не оказалось... а аутпост кроме вход и исход соединений ничего не контролит:(

Ну так Вы и смотрите, кто с кем соединяется, и анализируйте, нормально это или нет.
К примеру, если соединяется какой-нить gkjefgj.exe, то это не есть хорошо:)

логично:)
но это же нужно открывать и смотреть, а мне нужно узнать какие проги есть кроме дрвеб для вычисления троянов в процессе работы автоматом... в дрвебе этим занимается спайдерНТ

Я вместе с аутпостом и касперским поставил на firefox расширение NoScript, которое блокирует все javascript до тех пор, пока явно не разрешишь для сайта его использование. От случайных связей предохраняет. Вот тут можно взять: noscript.net

Не хочу заниматься рекламой, но вот такая ситуэйшин. На машине стоял НОД, Firewall. Все лицензионное, другим не пользуюс. И вдруг в одно прекрасное утро - взломаны 3 моих интернет-магазина, попытка снятия маней с webmoney и т.д. Предпринял действие, заблокировал по звонку все финансовые кошельки и т.д. И начал поиск. НОД нифига (пардон) не нашел, попробывал каспером, та же ситуация. И мне порекомендовал один из юзеров WM поставит антивирусник AGV. Поставил. Блиныч, 5 троянов. Названия уже не помню. Вот теперь доверяю только AGV. Не реклама!!!

ИМХО лучший антивирус - это сам юзер.
А пытаться найти "лучший антивирь" - безнадёжное дело, одни ловят одно и пропускают другое, другие - наоборот...

ЗЫ: 2moderators: Тему надо преобразовать в "Справку по антивирусному обеспечению" и как-то выделить, думаю, для многих это будет полезным.

+ 1 согласен тема нужна. Но искать все таки нужно для себя приемлемый. Я просто сделал свой вывод и только для себя

Похоже, что на самом деле какой-то троян стырил пароли ко всем сайтам, которые были забиты в TC. Но в системе я его так и не нашел, хотя много чем и где искал. Сейчас меняю пароли и перезаливаю индексы. И другие меры заодно принимаю. Всем спасибо за помощь.

так и есть
 

так и есть троян

Когда приходится гонять сайты по каталогам, а их по 1500 тысячи, и есть каталоги которые специально заточены под рассылку троянов. Есть какой-нибудь менеджер, который бы хранил пароли к ФТП в зашифрованном виде?

Бедные пользователи виндов... Зато как жить им интересно :)

Они все хранят в зашифрованном виде, в том числе и TC. Другое дело, что метод шифрования там слабый. Поэтому вопрос стоит так - какой файловый менеджер хранит пароли надежно зашифрованными и поддерживает SFTP?

Все эти "зашифрованные виды" бесполезны,- если известно какой фтп-клиент, соответственно, понятен алгоритм шифрования.
В какой-то степени можно надеяться только на файрволл, имхо.
И почаще менять пароль, особенно, после таких "прогонов".:)

Подобные трояны инфицируют по ftp в первую очередь файлы index.*
Поэтому советую в первую очередь установить атрибуты "444" на файлы index.* - в этом случае троян не сможет ничего вписать в такие файлы...

:D :D :D

mysql: вот как то давным давно на руборде присоветовал мне народ софтину http://www.anypassword.com простая версия бесплатна, файл с пассами шифрован с мастерпаролем. Все удобно и генератор пассов есть. Пользуюсь уже давно, прога просто спасение, паролей у меня сотни и не нужно ни в каких программах их сохранять, никогда, принципиально. И пароли все по 16 символов, брутфорсом - ломай не хочу.

http://www.viruslist.com/ru/viruses/...virusid=147349
Тут описание этого трояна (не обязательно этого -но из их "семейства").

А тут ветка на МТ по этому поводу:
http://mastertalk.ru/topic23516.html

Спасибо за информацию. Прога очень хорошая, особенно, версия Pro. Ни у кого нет к ней лекарства (если есть, буду благодарен письму в личку)?

Вот ещё менеджеры паролей:
http://www.ammosoft.com/rus/
http://olegprojects.narod.ru/downloads/PassKeeper.html

Бедные виндузятники!
Да бросайте вы это занятие - борьба со следствием всего лишь.
Нет - это прикол - тырить пароли с клиентских машин вебмастеров! Да еще так успешно.

А мы не боремся, мы ждём когда линуксоиды затащат в свои ряды побольше юзверей (хотя не верю я в это, ой не верю).

И как только куча чайников влезел в линукса, часть кулхацкеров переключится на эту аудиторию.

И нам, бедным виндусятникам, станет полегче :)

ЗЫ по поводу ftp клиентов, ломают не шифрование паролей в записной книжке или самом клиенте, а снимают пароль в чистом виде на стадии подключения к серверу
Пароль идет в открытом виде
Поэтому если у вас есть доступ к каталогу сайта по ssh то надо использовать его и scp (secure copy).

для этого надо сидеть на канале между клиентом и сервером.
Если клиент не по WiFi нешифрованному сидит - то такое возможно только провайдером.
а там другая грабля - на инетрфейсе нереально много пакетов... заколебёшься внужные искать.
хотя - всё автоматизируется

Так троян и будет прокладкой между тобой и сервером в одной сети
Я говорю что нафиг заморачиваться с расшифровками всякими если пароль и так идет открытым видом =)

Зы
если кому интересно почитайте тут как использовать ssh
http://sova.unica.by/doc/ssh/
вопросы будут задавайте

что вы паритесь, смех один:
1) троян просто достает пароли из .ini файла Total Commander'а в корне винды
2) кроме этого троян берет пароли аськи и все что в компе есть, включая даже менеджеры паролей FF и Оперы

поймите если пароль где-то записан в компе - то это уже не секьюрно по той причине - что профи просто проанализировав механизм работы менеджера паролей той или иной программы - довольно быстро напишут механизм декодирования этих паролей

по поводу троянов, вирусов и т.п. - Линух, БЗДя и прочие nix'ы такая же хорошая среда для них, просто в виду своей непопулярности в народе эту среду не облюбовали вирусо-трояно писатели ...

кстати - рекурсивно удалить файлы на всем диске можно в линухе, более того можно тупо устроить рекурсивно chmod на / с соответствующими правами, чтобы уложить всю машину...

по поводу дыр - так их полно в линухе, буквально каждую неделю открывают новую дыру которая позволяет простому юзеру получить рутовые права, так что по поводу безопасности не надо грузить народ :)

Так. В курилку - оба.

Для профилактики можно поставить на страницах сразу (без пробелов) после тега </html>

<noindex><a href="http://etosaglushkaprotivtrojanov.com/" rel="nofollow">этозаглушкапротиврекламныхтроянов

Без закрывающего тега </a>. И любые <!-- 0123456789 --> сами себя закроют. А Яндекс <noindex> без закрышки исполняет.

Или какой-нибудь скрипт, типа
<SCRIPT LANGUAGE="JavaScript">
<!-- Begin
web = "http://www";
site = "etosaglushkaprotivtrojanov.com";
document.write('<a target=_blank href=\"' + web + '.' + site + '\">');
document.write(web + '.' + site + '</a>');

бла-бла-бла

// End --></SCRIPT>

Троян в него должен ввалиться.
Да, много чего можно придумать, чтобы каждый день индексы не шерстить.

Если админы не сочтут рекламой.....
про лечение и защиту от вирусов хорошо могут объяснить тут www.virusinfo.info я уже раза 3 к ним попадал (последний раз вчера из за описаного мной в теме Вирусы вирусы)

К админам: сорри если здесь это считается рекламой.

когда меня посетила сея беда, на форуме одном непомню каком нашел запись что наехали на одного чела что я кобы он давал объявы что продает ифрейм для загрузки.

(50баков за 1000 чтоли)

вобщем бало на этом рубят
и пока будут бабло платить за загрузку на ничегонеподозревающего пк юзера будут такие трояны и будут у нас проблемы.

и кода фтп все перекроют и не будут пароли капать на их мыло то
кодеры будут массово переходить на популярные движки и вставлять свой злой код прямо в дырку вашего двига и при этом не воруя у нас ни чего.

эмм .... а как же Linux ? имхо панацея ...

ага, есть у меня знакомый пингвиноид

от него давеча по аське пришла просьба послать СМС на короткий номер типа что-то получитьв ответ и пересдать ему.

вы уж прсотите несчастного маздайщика, но не верю я такие чудеса.

сразу позвонил по телефоне, а он такой грустный... аську видители спёрли.

такая вот поучительная история :)