Хакнули
Writing by emigrant-kz on Воскресенье, 19 of Апрель , 2009 at 20:28
Какаято падла хакнула несколько сайтов. ТАк что нужна помощь зала
1.Сайты на разных хостингах. Часть на вордпрессе, несколько на друпале
2.Метод - тупо во все файлы index.php в конец дописали вызов невидомго фрейма с какого китайского сайта. ( судя по всему - добавляли во все index файлы, которые смогли найти - нашли не все ) Н паре сайтов вписывали в файлы темы
3.НА нескольких сайтах видимо этот фрейм вызвался - и пытался закачать троян - AVG верещал сразу..
На других вордперссовских просто сыпалась кодировка и лезли ошибки . Друпал же не работал.
4.Других серьзных поломок не было , пароли менять не пытались .- так что лечение было простым - нахождение изменнных файлов ( по дате) и замена/правка
Вопрос - как залезли? Явно не черз дыры вордперсса или друпала.. И хостры разные - так что не через них. И что делать, во избежание повторения ?
ПС . Комп просканил полностью - какаято троянская дрянь была. Но еслиб сперли файлы паролей с FileZilla или браузера - вреда можно было нанести много больше.. А тут - лишь кое что поломали .. и то - не до конца
Category: Заметки на полях
Comment от xproger
Made Воскресенье, 19 of Апрель , 2009 at 21:12
Хостер кто? Случаем не бестхостер? А то у него куча дыр ,и через него ломают сайты тока так…
Недавно 1 акк ломанули, и разослали спам, причем много. Хостер сказал чтобольше не будет обслуживать меня(( Мои доводы что они дырявые не подействовали, ладно хоть другой акк остался.
А так, какой вордпрес? Тут ясновидящих нет. Лучше свежий поставить, ибо в старыхбыли очень критические ошибки, через них можно спокойно…
Comment от emigrant-kz
Made Воскресенье, 19 of Апрель , 2009 at 21:25
1. Хостеры разные - hostgator.com site5.com причем там по нескольку разных аккаунтов ( на разных серверах) - однако ж залезли , прничем примерно в одно время
2.WP 2.7.1 Drupal 6.10 - и там и там правили index - файлы
Comment от shabash
Made Воскресенье, 19 of Апрель , 2009 at 21:42
На блог ругается нод. Проверю комп на всякий случай.. вдруг че..
Comment от SEO Космонавт
Made Воскресенье, 19 of Апрель , 2009 at 21:44
Ну если разные хостеры, разные пароли на акки. То вариант только адин - сперли пароли с компа.
Comment от GogA
Made Воскресенье, 19 of Апрель , 2009 at 22:01
Три ифрейма на этой странице в футере.
Бороться просто: http://gogolev.net/node/94 , надеюсь поможет 
Comment от GogA
Made Воскресенье, 19 of Апрель , 2009 at 22:02
Начать надо с чистки компа, потом смены фтп.
Я бы посоветовал с чистого компа поменять пароли на фтп и почистить файлы, а потом уже реанимировать рабочую машину.
+ со всех интернет кошельков деньги “прятать”.
Comment от 11111
Made Воскресенье, 19 of Апрель , 2009 at 23:12
СПАСИБО ТЕБЕ ДРУГ ТЫ МОЙ МИЛЫЙ - ВИРИ-ТО И НА БЛОЖИКЕ У ТЕБЯ ОСТАЛИСЬ!
Comment от emigrant-kz
Made Воскресенье, 19 of Апрель , 2009 at 23:19
to 1111
извел
Comment от shuppe
Made Воскресенье, 19 of Апрель , 2009 at 23:25
не стоит надеяться, что не украли от файлзиллы.
надо поменять все пароли.
говорю, потому что сам накалывался.
если за остальными сайтами не пришли сегодня - придут потом.
Comment от Toxic_Cat
Made Понедельник, 20 of Апрель , 2009 at 00:59
Если хостеры разные то 99% у тебя FTP троян.
> вреда можно было нанести много больше
Можно, но чаще тупо индексные файлы и меняют.
Comment от Eugene
Made Понедельник, 20 of Апрель , 2009 at 01:07
У меня была похожая фигня. Троян спер ftp-пароли из Total Commander-а. Думаю, что у тебя то же самое.
Comment от tulvit
Made Понедельник, 20 of Апрель , 2009 at 02:59
Было тож самое, айфрейм на китайский домен в индексных файлах, сайты на джумле, вп тупили, на друпал-е вообще перестали грузиться. После этого подошел к безопасности более ответственно - просканил весь комп несколькими антивирусниками/в том числе и под сэйф модом/, поставил фаерволл самый свежий, в нагрузку еще пару антивирусников, сменил все пароли, перестал хранить пароли в фтп менеджере/хотя раньше была привычка/. Ну и думал, что теперь защищен, ан нет, через дней пять снова на всех сайтах этот же тупой айфрейм. Каким образом - до сих пор без понятия.
Comment от ReallSape
Made Понедельник, 20 of Апрель , 2009 at 05:15
Пароли с коммандера - долой.
Полный скан компа. Антивирус - какой? Если ломаный - на хер.
На хосте - смена ВСЕХ паролей.
Была такая же хрень, утомился чистить индексы, помогла только смена паролей.
Comment от E-Will
Made Понедельник, 20 of Апрель , 2009 at 11:51
Стаааарый троянец. Из тоталкоммандера пароли тырит от фтп. Из других менеджеров, возможно тоже. Как результат - то что ты и получил. Ставь фаерволл, чтоб левый софт просто не мог в инет дернуться без разрешения, и не будет таких проблем больше. Или линукс
Comment от andryw
Made Понедельник, 20 of Апрель , 2009 at 12:25
О ведь сцуки , эти хитрые китайцы!Автор мои соболезнования , извини , что не могу помочь , так как не разбираюсь в этом.
Comment от kennyfromparadise
Made Понедельник, 20 of Апрель , 2009 at 17:12
Решение данной проблемы - изменить пароли ФТП, и никогда больше не сохранять ни в каких браузерах и клиентах.
Comment от s-7
Made Вторник, 21 of Апрель , 2009 at 22:30
А лучше поставить антивирус
Comment от Андрей
Made Вторник, 21 of Апрель , 2009 at 23:04
НОД и на рсс ленту отругался 
что конкретно за вирь не сказал, но сказал что файл подозрительный и отправил для анализа.
Comment от AS
Made Пятница, 24 of Апрель , 2009 at 18:53
Могли тупо пасс на брутить фтп-шный, но если они на разных были. Вычищай и все пасы меняй)
Comment от vludurusik
Made Среда, 6 of Май , 2009 at 16:25
вот делать нечего пас им набручивать
У меня в прошлом году такое было когда пинчом пароли на фирме потырили и клиентские сайты отдефейсили. Меняй антивирь, меняй пароли, и отвыкай хранить пароли во всяких коммандерах, зиллах и прочем. Если сил не хватает запомнить их всех, заведи шифрующую хрнилку паролей, чуть-чуть поможет. Хотя и от тояна с кейлогером не спасет
