Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 65
А каким образом заражают такое огромное количество сайтов?
>> сегодня в Интернете была проведена массированная XSS-атака
что не понятно?
что не понятно?
Не понятно на самом деле. Для такой массированной XSS нужен один тип движков.
А вот выяснилось, про XSS это бред.
Вот ответ: www.milw0rm.com/exploits/9508
Вот ответ: www.milw0rm.com/exploits/9508
>> сайтов медицинских услуг и благотворительных организаций
это как раз таки и наталкивает на мысль об одном типе (либо весьма схожем) движка
это как раз таки и наталкивает на мысль об одном типе (либо весьма схожем) движка
Воруют пароли от FTP троянами с компьютеров вебмастеров, вставляют iframe в код, зачастую этот код ломая. Пачками. Вечный бич хостинг-провайдеров.
Не понимаю, как за день можно было угнать и отдефейсить 50 тысяч сайтов.
Как было в этой ситуации — не знаю. А обычно благодаря товарищам, которые меняют пароль раз в год. Строяненые пароли от FTP, SSH, админок сайтов и блогов копятся, формируются в базы и продаются пачками — читайте любой хакерский форум.
На 99.9% уверен, что пароли тут совсем не причем. Просто владельцы сайтов (админами таких называть неверно), элементарно скачали своему wordpress/joomla/oscommerce/богзнаетчтоеще тему оформления с «левого» сайта, и поленились хотя бы пробежать глазами ее код. Таких «левых» сайтов с сомнительными «добавками» к теме в рунете миллион, не говоря про остальные интернеты…
как человек работающий в хостинге всё же смею Вам возразить.
80% это залитые боты и «пропатченные» ифреймами страницы сделаны по ftp.
оставшиеся 20% через уязвимости.
т.е., как правило фишинговые страницы заливаются через уязвимость, а распихивание ифреймов через ftp.
ftp аккаунты в огромном количестве продаются на античатоподобных сайтах, и есть комплекс ПО написаный на перле который работает на любом хостинге и в час Х начинает распихивать ифреймы.
недавно вот столкнулись с новым типом «заливок», это очень хитрые дорвеи которые создают дикую нагрузку на сервер. но тут не о них речь. надо бы отдельным постом раскрыть всю тему.
80% это залитые боты и «пропатченные» ифреймами страницы сделаны по ftp.
оставшиеся 20% через уязвимости.
т.е., как правило фишинговые страницы заливаются через уязвимость, а распихивание ифреймов через ftp.
ftp аккаунты в огромном количестве продаются на античатоподобных сайтах, и есть комплекс ПО написаный на перле который работает на любом хостинге и в час Х начинает распихивать ифреймы.
недавно вот столкнулись с новым типом «заливок», это очень хитрые дорвеи которые создают дикую нагрузку на сервер. но тут не о них речь. надо бы отдельным постом раскрыть всю тему.
Аха, частенько просят объяснить почему гугли или яндекс банит сайты )
Это достаточно сложно реализовать. Я работаю в одной хостинг компании и мы постоянно сталкиваемся с подобного рода вирусами.
Как вариант рассматривали включение связки proftpd + clamav на уровне сервера, но из этого ничего не вышло так как clamav очень плохо отлавливает iframe. + ко всему были проблемы с падением скорости загрузки через фтп файлов.
Как вариант — взять у того-же гугла базу данных сайтов с троянами и парсить её самописным скриптом, работающим как патч к proftpd
Как вариант рассматривали включение связки proftpd + clamav на уровне сервера, но из этого ничего не вышло так как clamav очень плохо отлавливает iframe. + ко всему были проблемы с падением скорости загрузки через фтп файлов.
Как вариант — взять у того-же гугла базу данных сайтов с троянами и парсить её самописным скриптом, работающим как патч к proftpd
Это незаконно. Как и фильтрация файлов хостером.
Где именно это прописано?
Статья 272 УК РФ. Неправомерный доступ к компьютерной информации.
Хостеру не дано право распоряжаться информацией клиента, а уж тем более ее менять автоматическими средствами. Строго по закону — он ее даже просмотреть не может.
Хостеру не дано право распоряжаться информацией клиента, а уж тем более ее менять автоматическими средствами. Строго по закону — он ее даже просмотреть не может.
Хорошо, тогда нужно реализовывать это как отдельную услугу. И я на 100% уверен, что все клиенты будут согласны на её использование.
on-the-fly проверка слишком сложна технически и ресурсоемка, а на хостинговых серверах лишних ресурсов нет никогда.
Некоторые хостеры реализуют схему обнаружения вирусов скриптами и отсылки уведомлений клиенту на email. Но это тоже не панацея — не все вирусы так можно обнаружить, не всегда клиент читает почту и часто самостоятельно устранить проблему не может.
Бывает, что аккаунт фактически ничей — владелец давно бросил свой сайт, а хостинг и домен проплачен на месяц-полгода-год вперед. Тогда сделать фактически ничего не получится, кроме блокировки аккаунта.
Хотя тут не исключен вариант, когда владелец узнает о том, что у него есть хостинг по факту отключения сайта и естественно будет недоволен. :)
Например юр. лицо, где старый хостинг регистрировал дизайнер, который уволился год назад.
Некоторые хостеры реализуют схему обнаружения вирусов скриптами и отсылки уведомлений клиенту на email. Но это тоже не панацея — не все вирусы так можно обнаружить, не всегда клиент читает почту и часто самостоятельно устранить проблему не может.
Бывает, что аккаунт фактически ничей — владелец давно бросил свой сайт, а хостинг и домен проплачен на месяц-полгода-год вперед. Тогда сделать фактически ничего не получится, кроме блокировки аккаунта.
Хотя тут не исключен вариант, когда владелец узнает о том, что у него есть хостинг по факту отключения сайта и естественно будет недоволен. :)
Например юр. лицо, где старый хостинг регистрировал дизайнер, который уволился год назад.
Можно не модифицировать, а просто не пускать задетекченные файлы на сервер.
Если файл заливается не трояном, а через фтп-клиент, то пользователь получает сообщение — причину отказа.
Есть же, например, антивирус Касперского для почтовых серверов, который удаляет зараженные вложения. Это незаконно?
А коль вспомнили о 272, не забывайте и о статье 273 — Создание, использование и распространение вредоносных программ.
Если файл заливается не трояном, а через фтп-клиент, то пользователь получает сообщение — причину отказа.
Есть же, например, антивирус Касперского для почтовых серверов, который удаляет зараженные вложения. Это незаконно?
А коль вспомнили о 272, не забывайте и о статье 273 — Создание, использование и распространение вредоносных программ.
интересно почему домен a0v до сих пор не отключен?
Ну если честно то просто хостинг ломанули или несколько, посмотрите что эти сайты может объединять, а вдруг они на одном и то м же хосте висят )
Вы правда думаете, что:
а) На одном(!) сервере висят 50000 сайтов.
б) Этот сервер так легко сломать. Хостеры вообще народ не глупый, особенно серьезные и с безопасностью там все хорошо.
в) Если кто-то его таки сломает, он будет тратить такую дыру на iframe?
а) На одном(!) сервере висят 50000 сайтов.
б) Этот сервер так легко сломать. Хостеры вообще народ не глупый, особенно серьезные и с безопасностью там все хорошо.
в) Если кто-то его таки сломает, он будет тратить такую дыру на iframe?
Ну к примеру я ломал хостера на 12 000 сайтов, народ то не глупый но не без дурака в семье
А ещё для дебилов, я не говорил что они весели на одном сервере, я лишь сказал что они могли висеть на одном хостере у которого в свою очередь есть единая база с логинами и паролями от FTP этих сайтов, которые располагаются на разных серверах.
Результаты 1 — 10 из примерно 71 800 для «a0v.org/x.js». (0,07 секунд)
cool =))
cool =))
Что то я так и не понял что делает js.tongji.linezing.com/1189582/tongji.js, похоже на сбор статистики. Далее запрос идет сюда dt.tongji.linezing.com/ystat.do с кукаки и даже тайтлами сайта.
А может быть надо вот так: www.prostohost.ru/helpdesk/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=12?
Такая же проблема была у знакомого, поставил скрипт, который чистит все файлы от ифреймов.
Хм, я заметил что все сайты были на ASP
Google
Вполне можно написать php скрипт который будет лопатить файлы на сервере с расширениями возможными и искать все iframe… И яву с какимнибудь base64 ))))) хотя есть у некоторых хостеров сканер на вирусы, но сомневаюсь, что он подобные вещи может найти…
Полный автомат не выйдет — эти вирусы постоянно меняют адреса и типы файлов. Вырезать слепо все iframe тоже не вариант — они бывает используются и по делу. Все равно придется сажать человека на контроль результатов.
Тогда уже на перле. Пхп плохо справляется с объемными файлами.
И вообще плохо и медленно работает с чтением/записью массового числа файлов.
И вообще плохо и медленно работает с чтением/записью массового числа файлов.
а можно вставлять, например, как-нибудь так:
попробуй, поймай ;)
print('<if' + 'r' + 'am' + 'e' + ' src=' .....etc);
попробуй, поймай ;)
1. Клиент лазит по зараженным сайтам своим интернет эксплорером.
2. Ловит трояна через обфусцированную обёртку на js (внутри файл exe)
3. Троян сканирует диски клиента на предмет определенных программ, которые могут содержать пароли.
4. Затроянивание страничек по фтп аккаунтам происходит не сразу.
5. Через примерно месяц приходят с разных адресов боты и модифицируют все index.* файлы.
Обычно всё это надо для построения ботнет сети с разными деструктивными целями.
2. Ловит трояна через обфусцированную обёртку на js (внутри файл exe)
3. Троян сканирует диски клиента на предмет определенных программ, которые могут содержать пароли.
4. Затроянивание страничек по фтп аккаунтам происходит не сразу.
5. Через примерно месяц приходят с разных адресов боты и модифицируют все index.* файлы.
Обычно всё это надо для построения ботнет сети с разными деструктивными целями.
у меня была такая зараза недавно. 50 сайтов вычищал.
угнаны были пароли к фтп потому что хранились в тотале
похватил заразу через уже зараженный сайт
угнаны были пароли к фтп потому что хранились в тотале
похватил заразу через уже зараженный сайт
убейте того кто заражает сайты таким образом.
я два раза вычищал по 30 сайтов. (((
я два раза вычищал по 30 сайтов. (((
Была такая же проблема на одном из сайтов.
Но не думаю, что через угонку фтп. Доступ к фтп был только у меня, а у меня линукс. Этот сайт давно не трогал.
Сайт наполняли редактора. У одной из них был заражен комп и она начала жаловаться «У меня вечно вставляется странный текст, когда сохраняю новость». Странным текстом и был iframe. Насколько я понял, через браузер вставлялся текст с помощью вируса. Почистили компы, поудаляли в текстах и перестало появляться.
Мне кажется тут много путей заражения…
Но не думаю, что через угонку фтп. Доступ к фтп был только у меня, а у меня линукс. Этот сайт давно не трогал.
Сайт наполняли редактора. У одной из них был заражен комп и она начала жаловаться «У меня вечно вставляется странный текст, когда сохраняю новость». Странным текстом и был iframe. Насколько я понял, через браузер вставлялся текст с помощью вируса. Почистили компы, поудаляли в текстах и перестало появляться.
Мне кажется тут много путей заражения…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
55 тыс сайтов в Интернете оказались заражены одним и тем же iframe