Эксплоит на rbc.ru

[GogA]

Нод с сегодняшними бд не нашёл ничего, глянул - ифрейма нет, а вот страничка есть...
фф+нод32, я рискнул, и тишина

[Kosyan]

Уже убрали. http://www.crutop.nu/Vbulletin/showthrea…

[hostmaster]

самоубийца ну что же ты делаешь ....

[hostmaster]

зря заминусили, есть сплоиты которые вообще не ловятся ничем. так что не я бы не рисковал.

[SpiritOfVox]

Странно что не сделали дефейс

[hostmaster]

а зачем ? на дефейсе денег не заработаешь, а так трафика продали думаю не слабо.

[Nicholass]

При открытии данного адреса FF закрылся без каких либо вопросов или претензий. Так что пока баловаться не советую

[hostmaster]

Вот хакеры пошли .... даже папку переименовать в лень было :)

[entze]

А это уже не первый раз с РБК такое.
В сентябре прошлого года была зараза на top.rbc.ru. Тогда только повесили ее вечером, когда посещаемость резко падает да и нашли ее быстро. Подробнее...

[alammi]

теги разделяются запятыми, поправьте пожалуйста

[Kosyan]

Спасибо, поправил

[khekkly]

мдас.. самое интересное что и не ново.
Mpack - программа, которая используется для загрузки вредоносного ПО на удаленные компьютеры за счет эксплуатации многочисленных уязвимостей. Mpack уже использовался в нескольких случаях. Одна из версий, к которой удалось получить доступ PandaLabs, была использована для заражения 160000 компьютеров.

Mpack заражает скрыто. Кибер-преступники используют несколько технологий для того, чтобы заставить пользователя запустить вредоносный файл. В случае с веб-серверами, они обычно добавляют в конце i-кодированную ссылку на файл, загружаемый по умолчанию и содержащий классификационную страницу, на которой установлен Mрack. Иногда они используют тот же самый взломанный сайт для размещения Mpack или других видов вредоносного ПО. Они размещают вредоносное ПО на серверах третьих сторон для того, чтобы скрыть свои следы.

[iloveyoutoo]

У нас на сайте такая зараза была. Кто-то ее словил. Толи на сайте, толи в письме. Она стырила пароль из базы паролей Total Commandera и обновила все index.html нескольких сайтов. Удалили, обновили пароли - она еще раз стырила. Потом поняли, что все компы, на которых пароль доступа к сайту был, надо вычистить, а потом уже только менять пароль.
Кстати, FF эта зараза либо валит, либо он ее не замечает. А вот IE замечательно ее пропускает.

[hostmaster]

Поставте в FF расширение NoScript, отключите автоматическое проигрывание медиа-файлов и будет вам счастье.

[hostmaster]

http://noscript.net/

[iloveyoutoo]

Спасибо, только это не мне надо ставить. У меня с защитой все в поряде... Есть люди... Редакторы........

[manny21]

А что за база паролей Тотала? К фтп-серверам?

[iloveyoutoo]

Да, к ftp-серверам.

[cepik]

Я теперь просто пароли не сохраняю, тоже попался.

Пароли похоже експлойт передает на сервер или еще куда. Инфрейм вставлен в 2-30 ночи, в это время комп выключен был.

Поймать мог через AllSubmitter, он ведь IE использует.

[iloveyoutoo]

AllSubmitter на этих машинах не пользовали. Я попробовал зайти эксплорером на один из наших сайтов, пока тот был еще заражен - в память сразу пролезли 5 файлов и попытались работать с другими приложениями. Благо Outporst Firewall не дал им такой возможности.

[DEL]

Каспер сошел с ума. Орет на все в интернете. На помойку его выбросите и все.

[Kosyan]

От этого исчезнут эксплойты на сайтах?

[DEL]

Жизнь станет намного веселее. Сиди с тормозящим компом. У меня эта гадость вешает даже двухядерные ксеоны.

[FanXFire]

Правильно, DEL. Быстрый компьютер с вирусами - вот, что круто!

[DEL]

Большинство вирусов я вычищаю руками с помощью кое-каких инструментов. А вообще пользуюсь в основном линухой не под рутом, что и вам советую. Каспер - вот что есть стереотип:)

[muar]

у меня каспер 7-ка не вешает даже второй пенек.
нейтрализует руткиты, которые не видит AVZ, и чистит зараженные бибилиотеки

[Siddthartha]

настроить надо аккуратно - вешать не будет.

[Siddthartha]

На реальный эксплоит он орет. Показать код этой гадости?

[m0sia]

покажи. я не успел посмотреть. его уже убрали.

[DEL]

Не суть. Каспер все равно идиотский антивирус:)

[Siddthartha]

Это устаревший стереотип. Он сейчас совсем неплох.

[DEL]

Устаревший стереотип - это то, что каспер стал лучше. На самом деле он становится только хуже.

[Kosyan]

Ломать грамотно настроенный сервер задачка не из легких.
Большинство наблюдаемых мною "взломов" происходили через утечку паролей с компов пользователей.
Спасает файрволл, хороший антивирус и редкий браузер.
Посему, пусть лучше ФФ остается непопулярным, меньше шансов подхватить заразу.

[sgnppv]

редкий браузер=non-ie? :)

[Siddthartha]

Кстати на моих сайтах произошла аналогичная проблема однажды.
Судя по всему ФАРовские пароли у меня украло и все index.html в аккаунте поменяло -
но я не понял такую вещь:
даты последнего доступа и модификации всех файлов равны до секунды. По фтп с моего компа все файлы пересохранить уходит секунд 30-ть минимум (их там много).
Как же это было сделано? Такое ощущение что это было сделано на стороне сервера и мгновенно.

Кто-небудь может прояснить мне ситуацию? (дело было давно но мне до сих пор интересно)

[Siddthartha]

сорри index.* оно меняет - не обязательно html конечно.

[Ashot]

я тоже как-то попался. он ломает практически все index.* на сайте. так что советую осмотреть все index на сайтах

[Red_Lemur]

Так же были случаи добавления ифрейма в файлы template.* , header.* и main.*
Кроме того были прецеденты с полным стиранием файла (индекса) когда оставался ифрейм и больше ничего...

[iloveyoutoo]

Конечно со стороннего сервера. Маленькая програмка на компе, по ходу, только ворует пароли и сливает их в сеть программе-сообщнику. А уже там, я пологаю, расшифровываются базы и от туда меняются index.*

[Siddthartha]

К сожалению это был не виртуальный сервер, так что доступ только к апачевским логам - даже и не узнать откуда... А поддержка хостера отморозилась мгновенно.

[MashaLaufer]

а как вы вычистили заразу? а то у меня подозрение на такую же хрень. Так хочется наверняка ее с компов снести

[Siddthartha]

я ничего не нашел. переустановил систему.
больше не храню пароли в фтп-клиентах )

[Raesvelg]

Кстати, Вы троян потом сами удалили? На моей памяти аналогичный зверек самоуничтожался после отправки паролей на сервер хозяйна - поскольку к аккаунту имело доступ несколько человек, мы в итоге так и не смогли определить, кто конкретно его подцепил.

[Siddthartha]

Аналогично.
Острый приступ паранойи увенчался ничем - смена всех паролей, сканирование всем чем можно, просмотр логов, в результате ничего не обнаружилось кроме парочки adware и, вобщем, переустановка систем на рабочих местах.

[webmaster]

Как это ни стыдно признать - тоже попались на подобную уловку.
Помимо поломки сайтов еще и огребли кучу исходящего траффика.

Я наблюдал за этим несколько дней и сделал следующие выводы:
эта штука ДОСила сайты. И посредством подмены индексов и тупой отправкой запросов с зараженного компа.
Причем ни докторвеб ни штатный касперский сделать с ним ничего не могли.
Пришлось искать нестандартные решения.

[Siddthartha]

У кого ДОС-ила, у кого загружала SdBot, а у кого еще что-то - это способ доставки. )

[Aven]

Недавно на яндексе справа на рекламку кликнул - попал на что-то.narod.ru - тоже весь сайт в эксплоитах :(

[SerZh]

Угу, на jino.ру тоже много кто огребся. И я в том числе.
Как результат: поменял (наконецто!) давно застоявшиеся пароли и перешел на ФаерФокс :)

[webmaster]

Мы:
сменили все пароли;
сделали все бэкапы;
продумали ставить cvs:
продумали работу и хранение паролей;
Круто, но все по-русски... после того как петух клюнул.

[SerZh]

И после этого, кто-то еще сомневается в полезности вирусов.
Одна из причин развития и прогресса.
В рамках КСЕ об этом очень интересно говорится :)

[prudis]

Все на линукс :)