Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 51
поищите бекдоры на сайте, сравните те файлы, что находятся на сервере с теми, что Вы заливали, поищите явно не ваше. даты изменения/создания файлов сверте… возможно при первом заражении у вас оставили бекдорчик. тут смена фтп пароля уже не поможет.
Сравнивал, почти все файлы html в директориях первого и второго уровня имели вредоносный iframe. Удалял его.
а сервер юниксовій? попробуйте ls -Ral > list.txt
это сохранит полный список файлов и папок на сервере в list.txt — можно его просмотреть на наличие «подозрительных файлов»
можно еще:
grep -R 'eval' *
может шел найдете.
это сохранит полный список файлов и папок на сервере в list.txt — можно его просмотреть на наличие «подозрительных файлов»
можно еще:
grep -R 'eval' *
может шел найдете.
Не храните пароли в тотал коммандере.
и в файлзилла и в cuteftp. трои умеют из многих фтп клиентов вытягивать пароли, а если копнуть поглубже — то им пофигна клиент — зачастую подменяют системные дллки, которые используют фтп клиенты.
Храню лишь в KeePass. Так понимаю, что это тоже не следует делать.
да пароли вообще хранить нельзя. Скоро трояны научатся считывать их прямо из памяти пользователя. Поэтому делать надо всё раз и на всегда! Зайти, сделать, сменить пароль на случайный, и никогда больше не возвращаться.
из кипы вроде не вытягивают
Вы лучше скажите Тотал юзаете?
у меня проблема возникала у пяти клиентов. У всех через трояна к Тоталу.
Вы лучше скажите Тотал юзаете?
у меня проблема возникала у пяти клиентов. У всех через трояна к Тоталу.
и не только в тотале, сталкивался с ситуацией, когда пароли были украдены из файлзиллы, при том, что из коммандера ни один не засветился.
не в этом дело. В момент отправки пароля он перехватывается. И не важно, хранился ли пароль или был введён вручную
Если эта машинка по xNIX и она уже дискредитирована, то все что вы можете сделать, это полностью переустановить систему.
так же методы которыми использовали Ваш вебсайт разные, это может указывать на два разных хака, а значит вполне возможно что хакают Вас через одну и ту же дырку разные хакеры. используете цмс или блог какой-то? вполне возможно что вас имеют боты через незыкрытые или свежие дырка веб-прог, установленных на вебсайт.
Вот хитро*опые, а.
Действительно, проверьте в скриптах, не оставили ли дырку. А может, дырка уже была. Логи посмотрите, не было ли каких-нибудь странных запросов.
Действительно, проверьте в скриптах, не оставили ли дырку. А может, дырка уже была. Логи посмотрите, не было ли каких-нибудь странных запросов.
Запросите у хостера последние логи фтп сервера, чтобы убедиться действительно ли через фтп лили индексы, и htaccess. Соответственно если в логах нет — проверяйте скрипты.
что за движок? самописный или типовой? и ссылку на сайт в студию.
ну если самопис, по моему скромному мнению, проблема с бОльшей степенью вероятности связана с проникновением через кражу пароля с помощью вируса, хотя есть еще вариант с дырой на хостинге, но вроде все чисто, больше зараженных сайтов незаметно www.bing.com/search?q=IP%3A93.190.40.193&first=61&FORM=PERE5
Антивирусы нашли что-нибудь? Пароли от фтп только у Вас?
Антивирусы нашли что-нибудь? Пароли от фтп только у Вас?
проверьте cron записи.
возможно запущен demon (если серв под линуксом), или скрытый ntfs: поток (если серв вод windows), который обновляет htaccess/index/etc каждый N минут.
также проверьте открытие порты на сервере.
ну и эщо раз, вручную, проверьте на присутствие бекдоров в коде.
возможно запущен demon (если серв под линуксом), или скрытый ntfs: поток (если серв вод windows), который обновляет htaccess/index/etc каждый N минут.
также проверьте открытие порты на сервере.
ну и эщо раз, вручную, проверьте на присутствие бекдоров в коде.
смотрите логи заходов по фтп
Как вариант — ломают на хостинге другой сайт.
Если хостинг настроен криво — то вполне вероятен такой вариант. Попробуйте на пару дней перенести на другой хостинг.
Если хостинг настроен криво — то вполне вероятен такой вариант. Попробуйте на пару дней перенести на другой хостинг.
На хостингах ht-systems.ru однажды большинство сайтов заразились iframe'ом. Возможна проблема как раз в нём (хостинге).
Расскажу потрясную историю, в которую сложно поверить — но имена и названия озвучивать не буду.
В начале 2007 работал в конторке по «нашлёпке» сайтов. Постоянно возникала проблема подобной Вашей же: не так часто, но периодически довольно приличное количество сайтов были разом заражены. Директор верещал, программист был в тупняке — и не находил более разумного решения, чем просто чистить создаваемые каждый раз iframe'ы и шеллы. Проблем он больше не находил — имхо, в такой ситуации было проще заподозрить живого человека из компании, чем разумный вирус.
… пока внезапно он случайно, в очередной раз шерстя FTP, не вышел на уровень выше рута сайта — естественно, в FTP-клиенте он увидел кучу папок с хостящимися сайтами… в каждую из которых он смог зайти… в каждой из которой мог править файлы. ШОК? Фигня! Шок наступил тогда, когда сообщили хостеру — а он рукой отмахнулся, мол, фигня, не может так быть. Я уж и не знаю, разрешилась ли ситуация как-нибудь, но хостера при мне никто не меняли — а я в шарашке надолго не задержался.
Суть в том, что через какой-то сайт атакующий получал доступ, выходил на уровень вверх — и творил ужасное со всеми сайтами хостера.
В начале 2007 работал в конторке по «нашлёпке» сайтов. Постоянно возникала проблема подобной Вашей же: не так часто, но периодически довольно приличное количество сайтов были разом заражены. Директор верещал, программист был в тупняке — и не находил более разумного решения, чем просто чистить создаваемые каждый раз iframe'ы и шеллы. Проблем он больше не находил — имхо, в такой ситуации было проще заподозрить живого человека из компании, чем разумный вирус.
… пока внезапно он случайно, в очередной раз шерстя FTP, не вышел на уровень выше рута сайта — естественно, в FTP-клиенте он увидел кучу папок с хостящимися сайтами… в каждую из которых он смог зайти… в каждой из которой мог править файлы. ШОК? Фигня! Шок наступил тогда, когда сообщили хостеру — а он рукой отмахнулся, мол, фигня, не может так быть. Я уж и не знаю, разрешилась ли ситуация как-нибудь, но хостера при мне никто не меняли — а я в шарашке надолго не задержался.
Суть в том, что через какой-то сайт атакующий получал доступ, выходил на уровень вверх — и творил ужасное со всеми сайтами хостера.
Ребята, FTP кидает пароли открытым текстом! Их могут проснифферить в локалке.
Все нормальные хостеры уже давно перешли на sftp/scp
Все нормальные хостеры уже давно перешли на sftp/scp
С подобной проблемой наша ТП сталкивается ежедневно. Ищите на сервере скрытые скрипты. Ох очень сложно бывает все вычистить. Могут быть где угодно и называться как угодно.
Нас в 2008 году постигла эта зараза. Работа головного офиса встала практически на 3 дня. Dr WEB радостно пропустил мимо себя заразу.
Картина была потрясающая — захожу на сайт клиента, и ровно через 30 секунд Синий Экран Смерти. Почти идеальная деструктивность.
Вирус прятал свой шелл на третьем уровене вложенности, в папке с картинками — назывался stat.php (232kb), защищенный обфускатором.
Имел свойство hidden. В тотал-командере его удалось увидеть после включения в главном меню Net — FTP Show Hidden Files.
Есть ещё шелл dir.php (очень простой) — файл-менеджер, позволяющий лазить по другим сайтом хостера.
Кстати, год назад многие хостеры имели уязвимость, позволяющую через свой аккаунт залазить на чужие :(
В этом году мы намулчались так с немецким хостером, после чего уговорили клиента переехать к нам на сервер.
Картина была потрясающая — захожу на сайт клиента, и ровно через 30 секунд Синий Экран Смерти. Почти идеальная деструктивность.
Вирус прятал свой шелл на третьем уровене вложенности, в папке с картинками — назывался stat.php (232kb), защищенный обфускатором.
Имел свойство hidden. В тотал-командере его удалось увидеть после включения в главном меню Net — FTP Show Hidden Files.
Есть ещё шелл dir.php (очень простой) — файл-менеджер, позволяющий лазить по другим сайтом хостера.
Кстати, год назад многие хостеры имели уязвимость, позволяющую через свой аккаунт залазить на чужие :(
В этом году мы намулчались так с немецким хостером, после чего уговорили клиента переехать к нам на сервер.
Сталкивался с проблемой… Внимательно просомтрите есть ли загрузка файлов на сервер, возможно вам чёт загрузили и выполнили, шелл какой нибудь… Ещё был эпизод, что сам фтп клиент оказался заражен и при запуске отправлял обновлённые пассы куда то)) Решается полным его вынесением с экспорт/импортом паролей… Иногда бывает виноват и хостер=))
ммм… была такая же проблема, почитстил от ифремов, сменил пароль и все ок.
А чем вы пользуетесь тогда для загрузки файлов на сайт? и как храните пароли?
А чем вы пользуетесь тогда для загрузки файлов на сайт? и как храните пароли?
Как я уже отписал выше, проверьте fckeditor и tinymce, если они установлены, да и как отписал SidexQX — проверьте загрузку файлов на сервер. И основное в этих всех комментариях — не пользоваться гавнохостингом… Отключите все команды в PHP типа system и т.д. Была та же проблема на серверах… После отключения и прошерстки fckeditor-а и т.д. все проблемы ушли…
ну как, есть результаты? ответ от хостера?
Была подобная же проблема, когда надоело чистить и искать дыры просто залили файлик .ftpaccess, где жестко прописали все адреса (в некоторых случаях правда пришлось писать подсеть), которые должны были иметь доступ к фтп. Помогло на раз
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Заражение сайтов по FTP