07.02.2008, 11:15 | #121 |
Новичок
Регистрация: 11.12.2007
Сообщений: 12
Вес репутации: 0
|
http://www.absolut-group.ru/
Trojan-Downloader.JS.Remora.bp |
21.02.2008, 12:21 | #122 |
Специалист
Регистрация: 25.09.2007
Сообщений: 361
Вес репутации: 212
|
Народ, помогите защитить сайт
Недавно заметил такую странность - в сетевых соединениях при загрузке страниц сайта появились обращения к google-analytics и top-100.counter. Посмотрел код страницы и увидел то, что в архиве в файле fragment.txt.
Видимо кто-то делает себе накрутку. Чуть раньше до этого заметил, что карта сайта адрес к которой переписывается через mod rewrite в .htaccess, перестала работать. Я не смог его тогда прочитать и заменил заново. Сейчас смотрю - туда кто-то дописал <Files 403.shtml> order allow,deny allow from all </Files> По крайней мере это - не мое. Скажите, как посмотреть 403.shtml - может там тоже что-то есть? Самое странное - есть .ftpaccess и туда записан мой IP по вашему совету, чтобы никто другой не мог зайти по ftp. С другом провели эксперимент - он смог зайти на фтп. Как так? Делал точно, как написано в помощи: "- Если в этом файле вписать Ваш внешний IP-адрес, доступ будет закрыт для всех других. Это самая эффективная защита вашего сайта." Сейчас эта гадость прописана в index.php - на лицо явный взлом. Дата изменения файла index.php 02/18/08 03:20, для .htaccess 02/19/08 10:25. Вы можете помочь установить, каким образом были заменены эти 2 файла? В Cpanel последний IP - мой, туда никто другой не заходил. Сейчас проверил антивирусом - ничего не нашел, хотя я пока оставил зараженные файлы, просто их пеерименовал. На компе вирусов не обнаружено. Что думаете? |
21.02.2008, 21:01 | #124 | |
Специалист
Регистрация: 25.09.2007
Сообщений: 361
Вес репутации: 212
|
Сомневаюсь. не видел ни одной нечисти, которую не показывал бы Process Explorer от sysinternals, но все как обычно.
Расковырял приписанный яваскрипт - он выводит в страницу вот такой вот ифрейм: Цитата:
Сейчас мне хочется найти ответы на 2 вопроса: 1. Каким образом index.php был модифицирован? Человек это был или троян\вирус? Если человек, то почему он поправил только индекс? 2. Раз думаете на мой антивирус, подскажите такой, который точно ловит такую вот пакость. |
|
22.02.2008, 04:33 | #126 |
..
Регистрация: 08.09.2007
Адрес: ...
Сообщений: 3,483
Вес репутации: 285
|
Возможно, сам раз в мес вычищаю какой нить сайт от вредных вливаний, раз даж американцы звонили на сотовый и с пеной доказывали, что я ворую пароли их клиентов, полез на сайт вроде чисто, начал тщательно копать и нашёл засланца
|
22.02.2008, 13:38 | #127 |
Мастер
|
http://www.drevostroy.ru/projct_kirpich_dom.php
projct_kirpich_dom[1]\Script.0 - инфицирован Trojan.DownLoader.43001 |
22.02.2008, 15:27 | #128 |
Специалист
Регистрация: 20.07.2007
Сообщений: 240
Вес репутации: 209
|
Обычно воруются пароли от тотал командира и трояном ломается все файлы index html и php
мне раз тож так взломал все пока пароли не сменил. А на одном сайте не сменил пароли но почистил так через неделю снова эта нечесть была. Не храните пароли вообще нигде кроме головы |
22.02.2008, 17:56 | #129 |
Специалист
Регистрация: 25.09.2007
Сообщений: 361
Вес репутации: 212
|
Проблема не в краже паролей с моего компа. У меня все чисто. Почитал форум хостера - те же проблемы, из-за которых я с сапортом воюю, не только у меня, но у многих Жаль, что так поздно увидел.
Видимо у них там экидемия и они с ней справиться не могут. |
22.02.2008, 18:10 | #130 | |
Эксперт
Регистрация: 18.06.2007
Адрес: Картофель
Сообщений: 2,417
Вес репутации: 356
|
Цитата:
возможно вы берете хостинг через реселлера, вот это реселлер мог подцепить заразу в инете, а зараза эта слила не только пароли реселлера, но и всех его клиентов... да и вообще если вы на компе ничего не нашли антивирусом, возможно троян самоликвидировался (стерся) сразу после того как скинул пароли своим создателям PS: проапдейтить надо вам Винду (а соответственно и IE) свежими последними заплатками, тогда и не будет попадать зараза через iframe дыры... |
|
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
ВНИМАНИЕ! Опасность! | Harry | Установка кода на различные движки | 17 | 01.05.2008 11:43 |
Внимание, вирус!!! | mahown | Ошибки при работе с системой | 13 | 10.01.2008 14:28 |
Внимание! Помогите человеку!!!! | Lesnik59 | Курилка | 14 | 11.08.2007 20:37 |
Внимание, проблема с YAP | Yura1978 | Вопросы по работе системы | 12 | 08.07.2007 18:51 |
Часовой пояс GMT +3, время: 19:47.