Вирусный код в html-коде всех страниц. Не от САПЫ ли? вред: CG-GOOGLE-ANALYTICS.ru

[edk]

У меня произошло заражение статичного сайта.
А можно узнать с каких ip адресов sape.ru заходит по фтп для добавления ссылок на страницы?
За последнее время у меня по фтп для этого сайта отметились только 2 адреса:
87.247.74.101
188.240.47.132

Сам я по фтп на этот сайт не хожу, подключаюсь по ssh, соответственно пароли из фтп-клиента не могли утечь. Если только из страницы настроек сайта.

Добавлено через 14 минут
Последние изменения всех зараженных файлов были сделаны с адреса 188.240.47.132

[dollhouse]

Цитата:

Сообщение от edk

Если только из страницы настроек сайта.

Скорее всего так и есть. Берите другой комп: меняйте пароль к фтп, потом меняйте доступ к аккаунту, и только потом прописывайте фтп-шник в аккаунте.... нескольким людям тут это помогло (мне тоже). Сам сижу на Маке сейчас... пока сайт не заражали. Так что видимо действительно это связано с аккаунтом.

[edk]

Цитата:

Сообщение от dollhouse

Скорее всего так и есть. Берите другой комп: меняйте пароль к фтп, потом меняйте доступ к аккаунту, и только потом прописывайте фтп-шник в аккаунте.... нескольким людям тут это помогло (мне тоже). Сам сижу на Маке сейчас... пока сайт не заражали. Так что видимо действительно это связано с аккаунтом.

Да как то мне это сомнительно (про страницу настроек и вирус на компе).
Сижу в корпоративной сети с серьезными политиками, никакого прямого доступа к Интернету, прокси с фильтрами, централизованный антивирус касперского.

Сказали бы с какого ip ходит sape.ru по фтп на сайты. Я бы только ему и разрешил подключаться по фтп...

[Ank]

Цитата:

Сообщение от edk

Да как то мне это сомнительно

Есть винда - есть вирусы. Остальное - самоуспокоение.

Про ИП спросите у модератора темы про фтп доступ

[edk]

Цитата:

Сообщение от Ank

Есть винда - есть вирусы. Остальное - самоуспокоение.

Про ИП спросите у модератора темы про фтп доступ

Причем здесь винда. Вирусы есть для всех систем. Самоуспокоение есть у тех, кто поставив себе unix-like систему, сносит ее через полгода, потому что оказался не в силах вычистить руткиты и прочие шелы.

Но это лирика.

[gcibforum]

Цитата:

Сообщение от edk

У меня произошло заражение статичного сайта.
А можно узнать с каких ip адресов sape.ru заходит по фтп для добавления ссылок на страницы?
За последнее время у меня по фтп для этого сайта отметились только 2 адреса:
87.247.74.101
188.240.47.132

Сам я по фтп на этот сайт не хожу, подключаюсь по ssh, соответственно пароли из фтп-клиента не могли утечь. Если только из страницы настроек сайта.

Добавлено через 14 минут
Последние изменения всех зараженных файлов были сделаны с адреса 188.240.47.132

87.247.74.101 - это IP робота Сапы. Он безвреден.

А вот этот: 188.240.47.132 - как раз и я связывал с атакой на свой сайт!!! Ещё к этому списку стоит прибавить и этот: 188.240.47.245 - с одной подсети. Оба из Румынии...

Код внедрялся в начало либо в конец файлов index.php и в файлы шаблонов.

Сейчас выясняю подробности у хостера.

Кстати сайт у меня не статичный. Был открыт FTP для робота Сапы, когда-то и я забыл за него...

Подозреваю, что кто-то украл БД или её часть у Сапы...

FTP-доступ убрал. Жду что будет дальше.

Помагает ещё выставить права на файлы 444 или 555. Тогда редактировать можно только через Админпанель хостера. По FTP - дудки.

[Kruzenshtern]

И вот ещё один сайт. Больше месяца к нему никто кроме сапы не коннектился, вчера вот словили всё тот-же известный вирус. Надеюсь кто нибудь из профессионалов объяснить откуда такая однатипная напасть на нас тут всех навалилась...

[gcibforum]

Цитата:

Сообщение от Kruzenshtern

И вот ещё один сайт. Больше месяца к нему никто кроме сапы не коннектился, вчера вот словили всё тот-же известный вирус. Надеюсь кто нибудь из профессионалов объяснить откуда такая однатипная напасть на нас тут всех навалилась...

Ну, уже совпадений быть не может! Это или украли данные из БД Сапы (или всю БД), или работник Сапы отрабатывает приёмы удалённых атак на сайты и на их посетителей...
Кстати у меня атаковали сайт туристической тематики. А у вас какой?

[orenkazak]

Прискорбно, но и мои сайты с одного из серверов заразились. Как статика, так и wordpress. Объединяет их все одно - подключены к сапе. Сайты на втором акке на этом же серваке живы и абсолютно здоровы. Ибо с сапой не связаны. Думаю, тут уж явно дело не в компе-винде, а скорее в саПоуспокоении.

[asconchik]

Совершенно очевидно, что взломан сервак с которого ходит бот перезаливающий файлы по фтп(для статичных сайтов). Это единственное место где хранятся пароли к саповским сайтам-фтпшникам. Причем взломан достаточно давно. Я ещё год назад начал обнаруживать на своем сайте изменения в роботс.тхт вида

Код:

Host: доменвторогоуровня

Сайт в ЯКе(домен третьего уровня), т.е. пытались переклеить. Всё не хотел думать на сапобота и утечку паролей, но теперь после появления вирусного кода и не только у меня, а у многих - сомнений нет.
Вообще, сделали по умному - увели пароли и не стали сразу явно использовать, чтобы не стало очевидно откуда увели.