Комментарии 33
это не первый хостинг который этому подвергся, мы не давно это пережили, заражены были все index.* файлы помимо iframe еще вшивались в шапки.
одним из источников были kidoseft.ru/tds/go.php
одним из источников были kidoseft.ru/tds/go.php
А каким образом они получили доступ? Вы смогли что-нибудь «откопать»? Хостер что-нибудь вразумительное сказал?
И, к сожалению, хостинги не всегда смогут помочь. Обычно доступ получается по ФТП. ФТП пароль получается или брут-форсом, или, что чаще, с помощью трояна. Троян сливает пароли, сохранённые в ФТП клиентах в свой центр, оттуда по ФТП заливается скрипт, который уже запускается с домена жертвы и портит файлы.
И потом на том же сервере (с доменом жертвы) чаще всего можно получить список юзеров и брутфорсом получить фтп пароль, конектясь к localhost.
Да и плюс возникает вероятность заразить трояном сотрудников техподдержки и посетителей протрояненого сайта.
У хостеров, которые с этим сталкиваются не в первый раз, наверняка есть скрипты, которые помогут очистить свои сайты от вредоносных скриптов. Ну и пароли надо на ФТП поменять + на вирусы провериться. И стараться пароли не хранить в клиенте.
И потом на том же сервере (с доменом жертвы) чаще всего можно получить список юзеров и брутфорсом получить фтп пароль, конектясь к localhost.
Да и плюс возникает вероятность заразить трояном сотрудников техподдержки и посетителей протрояненого сайта.
У хостеров, которые с этим сталкиваются не в первый раз, наверняка есть скрипты, которые помогут очистить свои сайты от вредоносных скриптов. Ну и пароли надо на ФТП поменять + на вирусы провериться. И стараться пароли не хранить в клиенте.
Ну как я и говорил про фтп. только вот наши не сталкивались с таким и скриптов не было. Теперь будет =) а учитывая что это не еденичные случае то думаю скоро они будут везде.
причем заметил это тенденция все чаще распространяется с ростом популярности рекламы, и это самый лучший способ расмещать свои коды баннеров для увеличения заработков =)
причем заметил это тенденция все чаще распространяется с ростом популярности рекламы, и это самый лучший способ расмещать свои коды баннеров для увеличения заработков =)
Проверил все свои сайты на mchost (5 шт) — все чисты пока
были взломаны ФТП аккаунты, поменяли всем пароли а потом мы сами вручную зачищали все файлы. Причем как-то все было криво организовано поскольку вшивались и ява и ифреймы, и даже куски кода хедеров из WP.
сталкивался с таким один раз, но у другого провайдера
НЛО прилетело и опубликовало эту надпись здесь
Запросите у поддержки ip, с которого были залиты на ftp зараженные файлы. Очень вероятно что ip этот ваш. Если так, то зная время и ip можно определить компьютер на котором сидит вирус, использующий ваши сайты для распространения.
Ситуация в общем-то не новая. Одно смущает: про подобные вирусы для Mac OS X мне до сих пор слышать не доводилось.
Сначала надо вычищать вирус со своих компьютеров. Иначе чистка кода сайта ничего не даст, инжекты появятся снова.
Ситуация в общем-то не новая. Одно смущает: про подобные вирусы для Mac OS X мне до сих пор слышать не доводилось.
Сначала надо вычищать вирус со своих компьютеров. Иначе чистка кода сайта ничего не даст, инжекты появятся снова.
Это точно не вирус в Mac OS X.
Почему?
И кстати, если пароль подобрали, то у хостера должны быть полные логи сообщений об этом. Техподдержка может пролить свет.
И кстати, если пароль подобрали, то у хостера должны быть полные логи сообщений об этом. Техподдержка может пролить свет.
Я понимаю, в это трудно поверить, но на Mac правда нет вирусов. Потому все громкие заголовки, которые вы читали, такими громкими и кажутся, хотя написаны о простейших глупостях. Вот скажите, может ли кнопка Power на вашем компе считаться вирусом? Ведь её можно нажать и комп выключится!!!
Мне очень трудно испытывать убежденность, что если чего-то не было вчера, то этого по-прежнему нет и сегодня.
Несколько лет назад, скажи я кому что вирус можно подхватить открыв текстовый документ или сайт в браузере, меня бы посчитали ламером/лжецом/психом. Сейчас об этих способах распространения заразы даже бухгалтера знают.
Несколько лет назад, скажи я кому что вирус можно подхватить открыв текстовый документ или сайт в браузере, меня бы посчитали ламером/лжецом/психом. Сейчас об этих способах распространения заразы даже бухгалтера знают.
MAC OS смущает. Wardriving? А можите выложить вывод top'а?
Как не странно, но Wardriving пока самый разумный ответ.
Вот только сайты на двух других хостингах (самые активно используемые кстати) без изменений. Так что опять сомневаюсь…
На begunok-1.ru написали абузу? Похоже, что тусовка с античата развлекается с mchost'ом.
тусовка с античата? Это что?
На ваших сайтах сейчас работает цепочка редитектов:
Ваши сайты -> begunok-1.ru/t1/go.php?sid=10 -> begunok-1.ru/t1/go.php?sid=8 -> begunok-1.ru/r1/ -> nicetest.ru/?rid=1483.
Описание последнего тут:
forum.antichat.ru/showthread.php?p=1364458
Цифры «id=» в конце каждого урла являются идентификаторами партнёра, который получает денежку за каждого приведенного пользователя с Ваших сайтов.
Итого: если Вы найдёте этого «rid=1483», то сможите спрасить, как он поломал Ваши сайты 8)
Ваши сайты -> begunok-1.ru/t1/go.php?sid=10 -> begunok-1.ru/t1/go.php?sid=8 -> begunok-1.ru/r1/ -> nicetest.ru/?rid=1483.
Описание последнего тут:
forum.antichat.ru/showthread.php?p=1364458
Цифры «id=» в конце каждого урла являются идентификаторами партнёра, который получает денежку за каждого приведенного пользователя с Ваших сайтов.
Итого: если Вы найдёте этого «rid=1483», то сможите спрасить, как он поломал Ваши сайты 8)
+ 1 из взломанных сайтов не обновлялся год, а второй где-то полгода.
а я думаю, возможна ситуация, что у некоторых хостеров есть проблемы с правами между разными юзерами этого хостинга
и ваши файлы изменили из-под другого юзера, используя какую-либо уязвимость
и ваши файлы изменили из-под другого юзера, используя какую-либо уязвимость
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Заражены несколько сайтов на Mchost