Хакнули
Writing by emigrant-kz on Воскресенье, 19 of Апрель , 2009 at 20:28
Какаято падла хакнула несколько сайтов. ТАк что нужна помощь зала
1.Сайты на разных хостингах. Часть на вордпрессе, несколько на друпале
2.Метод – тупо во все файлы index.php в конец дописали вызов невидомго фрейма с какого китайского сайта. ( судя по всему – добавляли во все index файлы, которые смогли найти – нашли не все ) Н паре сайтов вписывали в файлы темы
3.НА нескольких сайтах видимо этот фрейм вызвался – и пытался закачать троян – AVG верещал сразу..
На других вордперссовских просто сыпалась кодировка и лезли ошибки . Друпал же не работал.
4.Других серьзных поломок не было , пароли менять не пытались .- так что лечение было простым – нахождение изменнных файлов ( по дате) и замена/правка
Вопрос – как залезли? Явно не черз дыры вордперсса или друпала.. И хостры разные – так что не через них. И что делать, во избежание повторения ?
ПС . Комп просканил полностью – какаято троянская дрянь была. Но еслиб сперли файлы паролей с FileZilla или браузера – вреда можно было нанести много больше.. А тут – лишь кое что поломали .. и то – не до конца
Comments (20)
Category: Заметки на полях
Комментарий by xproger
Made Воскресенье, 19 of Апрель , 2009 at 21:12
Хостер кто? Случаем не бестхостер? А то у него куча дыр ,и через него ломают сайты тока так…
Недавно 1 акк ломанули, и разослали спам, причем много. Хостер сказал чтобольше не будет обслуживать меня(( Мои доводы что они дырявые не подействовали, ладно хоть другой акк остался.
А так, какой вордпрес? Тут ясновидящих нет. Лучше свежий поставить, ибо в старыхбыли очень критические ошибки, через них можно спокойно…
Комментарий by emigrant-kz
Made Воскресенье, 19 of Апрель , 2009 at 21:25
1. Хостеры разные – hostgator.com site5.com причем там по нескольку разных аккаунтов ( на разных серверах) – однако ж залезли , прничем примерно в одно время
2.WP 2.7.1 Drupal 6.10 – и там и там правили index – файлы
Комментарий by shabash
Made Воскресенье, 19 of Апрель , 2009 at 21:42
На блог ругается нод. Проверю комп на всякий случай.. вдруг че..
Комментарий by SEO Космонавт
Made Воскресенье, 19 of Апрель , 2009 at 21:44
Ну если разные хостеры, разные пароли на акки. То вариант только адин – сперли пароли с компа.
Комментарий by GogA
Made Воскресенье, 19 of Апрель , 2009 at 22:01
Три ифрейма на этой странице в футере.
Бороться просто: http://gogolev.net/node/94 , надеюсь поможет 
Комментарий by GogA
Made Воскресенье, 19 of Апрель , 2009 at 22:02
Начать надо с чистки компа, потом смены фтп.
Я бы посоветовал с чистого компа поменять пароли на фтп и почистить файлы, а потом уже реанимировать рабочую машину.
+ со всех интернет кошельков деньги «прятать».
Комментарий by 11111
Made Воскресенье, 19 of Апрель , 2009 at 23:12
СПАСИБО ТЕБЕ ДРУГ ТЫ МОЙ МИЛЫЙ – ВИРИ-ТО И НА БЛОЖИКЕ У ТЕБЯ ОСТАЛИСЬ!
Комментарий by emigrant-kz
Made Воскресенье, 19 of Апрель , 2009 at 23:19
to 1111
извел
Комментарий by shuppe
Made Воскресенье, 19 of Апрель , 2009 at 23:25
не стоит надеяться, что не украли от файлзиллы.
надо поменять все пароли.
говорю, потому что сам накалывался.
если за остальными сайтами не пришли сегодня – придут потом.
Комментарий by Toxic_Cat
Made Понедельник, 20 of Апрель , 2009 at 00:59
Если хостеры разные то 99% у тебя FTP троян.
> вреда можно было нанести много больше
Можно, но чаще тупо индексные файлы и меняют.
Комментарий by Eugene
Made Понедельник, 20 of Апрель , 2009 at 01:07
У меня была похожая фигня. Троян спер ftp-пароли из Total Commander-а. Думаю, что у тебя то же самое.
Комментарий by tulvit
Made Понедельник, 20 of Апрель , 2009 at 02:59
Было тож самое, айфрейм на китайский домен в индексных файлах, сайты на джумле, вп тупили, на друпал-е вообще перестали грузиться. После этого подошел к безопасности более ответственно – просканил весь комп несколькими антивирусниками/в том числе и под сэйф модом/, поставил фаерволл самый свежий, в нагрузку еще пару антивирусников, сменил все пароли, перестал хранить пароли в фтп менеджере/хотя раньше была привычка/. Ну и думал, что теперь защищен, ан нет, через дней пять снова на всех сайтах этот же тупой айфрейм. Каким образом – до сих пор без понятия.
Комментарий by ReallSape
Made Понедельник, 20 of Апрель , 2009 at 05:15
Пароли с коммандера – долой.
Полный скан компа. Антивирус – какой? Если ломаный – на хер.
На хосте – смена ВСЕХ паролей.
Была такая же хрень, утомился чистить индексы, помогла только смена паролей.
Комментарий by E-Will
Made Понедельник, 20 of Апрель , 2009 at 11:51
Стаааарый троянец. Из тоталкоммандера пароли тырит от фтп. Из других менеджеров, возможно тоже. Как результат – то что ты и получил. Ставь фаерволл, чтоб левый софт просто не мог в инет дернуться без разрешения, и не будет таких проблем больше. Или линукс
Комментарий by andryw
Made Понедельник, 20 of Апрель , 2009 at 12:25
О ведь сцуки , эти хитрые китайцы!Автор мои соболезнования , извини , что не могу помочь , так как не разбираюсь в этом.
Комментарий by kennyfromparadise
Made Понедельник, 20 of Апрель , 2009 at 17:12
Решение данной проблемы – изменить пароли ФТП, и никогда больше не сохранять ни в каких браузерах и клиентах.
Комментарий by s-7
Made Вторник, 21 of Апрель , 2009 at 22:30
А лучше поставить антивирус
Комментарий by Андрей
Made Вторник, 21 of Апрель , 2009 at 23:04
НОД и на рсс ленту отругался 
что конкретно за вирь не сказал, но сказал что файл подозрительный и отправил для анализа.
Комментарий by AS
Made Пятница, 24 of Апрель , 2009 at 18:53
Могли тупо пасс на брутить фтп-шный, но если они на разных были. Вычищай и все пасы меняй)
Комментарий by vludurusik
Made Среда, 6 of Май , 2009 at 16:25
вот делать нечего пас им набручивать
У меня в прошлом году такое было когда пинчом пароли на фирме потырили и клиентские сайты отдефейсили. Меняй антивирь, меняй пароли, и отвыкай хранить пароли во всяких коммандерах, зиллах и прочем. Если сил не хватает запомнить их всех, заведи шифрующую хрнилку паролей, чуть-чуть поможет. Хотя и от тояна с кейлогером не спасет
