Внимание! Вирусы! - Страница 13

lav · 07.02.2008, 11:15

http://www.absolut-group.ru/
Trojan-Downloader.JS.Remora.bp

shr · 21.02.2008, 12:21

Недавно заметил такую странность - в сетевых соединениях при загрузке страниц сайта появились обращения к google-analytics и top-100.counter. Посмотрел код страницы и увидел то, что в архиве в файле fragment.txt.

Видимо кто-то делает себе накрутку.

Чуть раньше до этого заметил, что карта сайта адрес к которой переписывается через mod rewrite в .htaccess, перестала работать. Я не смог его тогда прочитать и заменил заново. Сейчас смотрю - туда кто-то дописал

<Files 403.shtml>
order allow,deny
allow from all
</Files>

По крайней мере это - не мое. Скажите, как посмотреть 403.shtml - может там тоже что-то есть?

Самое странное - есть .ftpaccess и туда записан мой IP по вашему совету, чтобы никто другой не мог зайти по ftp. С другом провели эксперимент - он смог зайти на фтп. Как так? Делал точно, как написано в помощи:
"- Если в этом файле вписать Ваш внешний IP-адрес, доступ будет закрыт для всех других. Это самая эффективная защита вашего сайта."

Сейчас эта гадость прописана в index.php - на лицо явный взлом. Дата изменения файла index.php 02/18/08 03:20, для .htaccess 02/19/08 10:25. Вы можете помочь установить, каким образом были заменены эти 2 файла?

В Cpanel последний IP - мой, туда никто другой не заходил. Сейчас проверил антивирусом - ничего не нашел, хотя я пока оставил зараженные файлы, просто их пеерименовал.

На компе вирусов не обнаружено. Что думаете?

seocore · 21.02.2008, 14:40

Цитата:

Сообщение от shr

На компе вирусов не обнаружено. Что думаете?

думаю пора вам деинсталлировать ваш антивирус

shr · 21.02.2008, 21:01

Сомневаюсь. не видел ни одной нечисти, которую не показывал бы Process Explorer от sysinternals, но все как обычно.

Расковырял приписанный яваскрипт - он выводит в страницу вот такой вот ифрейм:

Цитата:

Там какая-то фигня косящая под гугль или гугль с чем-то. Пока мне это неинтересно.

Сейчас мне хочется найти ответы на 2 вопроса:

1. Каким образом index.php был модифицирован? Человек это был или троян\вирус? Если человек, то почему он поправил только индекс?

2. Раз думаете на мой антивирус, подскажите такой, который точно ловит такую вот пакость.

shr · 22.02.2008, 02:30

походу это хостера имеют... 4 авира ничего не нашли.

rusteam · 22.02.2008, 04:33

Цитата:

Сообщение от shr

походу это хостера имеют... 4 авира ничего не нашли.

Возможно, сам раз в мес вычищаю какой нить сайт от вредных вливаний, раз даж американцы звонили на сотовый и с пеной доказывали, что я ворую пароли их клиентов, полез на сайт вроде чисто, начал тщательно копать и нашёл засланца

SunIn · 22.02.2008, 13:38

http://www.drevostroy.ru/projct_kirpich_dom.php
projct_kirpich_dom[1]\Script.0 - инфицирован
Trojan.DownLoader.43001

acc · 22.02.2008, 15:27

Обычно воруются пароли от тотал командира и трояном ломается все файлы index html и php
мне раз тож так взломал все
пока пароли не сменил.
А на одном сайте не сменил пароли но почистил так через неделю снова эта нечесть была. Не храните пароли вообще нигде кроме головы

shr · 22.02.2008, 17:56

Проблема не в краже паролей с моего компа. У меня все чисто. Почитал форум хостера - те же проблемы, из-за которых я с сапортом воюю, не только у меня, но у многих

Жаль, что так поздно увидел.

Видимо у них там экидемия и они с ней справиться не могут.

seocore · 22.02.2008, 18:10

Цитата:

Сообщение от shr

Проблема не в краже паролей с моего компа. У меня все чисто. Почитал форум хостера - те же проблемы, из-за которых я с сапортом воюю, не только у меня, но у многих

Жаль, что так поздно увидел.
Видимо у них там экидемия и они с ней справиться не могут.

очень маловероятно что хостера хакнули...

возможно вы берете хостинг через реселлера, вот это реселлер мог подцепить заразу в инете, а зараза эта слила не только пароли реселлера, но и всех его клиентов...

да и вообще если вы на компе ничего не нашли антивирусом, возможно троян самоликвидировался (стерся) сразу после того как скинул пароли своим создателям

PS: проапдейтить надо вам Винду (а соответственно и IE) свежими последними заплатками, тогда и не будет попадать зараза через iframe дыры...

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
ВНИМАНИЕ! Опасность!	Harry	Установка кода на различные движки	17	01.05.2008 11:43
Внимание, вирус!!!	mahown	Ошибки при работе с системой	13	10.01.2008 14:28
Внимание! Помогите человеку!!!!	Lesnik59	Курилка	14	11.08.2007 20:37
Внимание, проблема с YAP	Yura1978	Вопросы по работе системы	12	08.07.2007 18:51

07.02.2008, 11:15	#121
lav Новичок Регистрация: 11.12.2007 Сообщений: 12 Вес репутации: 0	http://www.absolut-group.ru/ Trojan-Downloader.JS.Remora.bp

22.02.2008, 02:30	#125
shr Специалист Регистрация: 25.09.2007 Сообщений: 361 Вес репутации: 212	походу это хостера имеют... 4 авира ничего не нашли.

22.02.2008, 13:38	#127
SunIn Мастер Регистрация: 20.08.2007 Адрес: Zurich, Switzerland (хочу очень) Сообщений: 855 Вес репутации: 243	http://www.drevostroy.ru/projct_kirpich_dom.php projct_kirpich_dom[1]\Script.0 - инфицирован Trojan.DownLoader.43001

22.02.2008, 15:27	#128
acc Специалист Регистрация: 20.07.2007 Сообщений: 240 Вес репутации: 209	Обычно воруются пароли от тотал командира и трояном ломается все файлы index html и php мне раз тож так взломал все пока пароли не сменил. А на одном сайте не сменил пароли но почистил так через неделю снова эта нечесть была. Не храните пароли вообще нигде кроме головы

22.02.2008, 17:56	#129
shr Специалист Регистрация: 25.09.2007 Сообщений: 361 Вес репутации: 212	Проблема не в краже паролей с моего компа. У меня все чисто. Почитал форум хостера - те же проблемы, из-за которых я с сапортом воюю, не только у меня, но у многих Жаль, что так поздно увидел. Видимо у них там экидемия и они с ней справиться не могут.