БОМЖ беглый

Хакнули

Writing by emigrant-kz on Воскресенье, 19 of Апрель , 2009 at 20:28

Какаято падла хакнула несколько сайтов. ТАк что нужна помощь зала

1.Сайты на разных хостингах. Часть на вордпрессе, несколько на друпале
2.Метод - тупо во все файлы index.php в конец дописали вызов невидомго фрейма с какого китайского сайта. ( судя по всему - добавляли во все index файлы, которые смогли найти - нашли не все ) Н паре сайтов вписывали в файлы темы
3.НА нескольких сайтах видимо этот фрейм вызвался - и пытался закачать троян - AVG верещал сразу..
На других вордперссовских просто сыпалась кодировка и лезли ошибки . Друпал же не работал.
4.Других серьзных поломок не было , пароли менять не пытались .- так что лечение было простым - нахождение изменнных файлов ( по дате) и замена/правка

Вопрос - как залезли? Явно не черз дыры вордперсса или друпала.. И хостры разные - так что не через них. И что делать, во избежание повторения ?

ПС . Комп просканил полностью - какаято троянская дрянь была. Но еслиб сперли файлы паролей с FileZilla или браузера - вреда можно было нанести много больше.. А тут - лишь кое что поломали .. и то - не до конца

Category: Заметки на полях

20 комментариев

Comment от xproger

Made Воскресенье, 19 of Апрель , 2009 at 21:12

Хостер кто? Случаем не бестхостер? А то у него куча дыр ,и через него ломают сайты тока так…
Недавно 1 акк ломанули, и разослали спам, причем много. Хостер сказал чтобольше не будет обслуживать меня(( Мои доводы что они дырявые не подействовали, ладно хоть другой акк остался.

А так, какой вордпрес? Тут ясновидящих нет. Лучше свежий поставить, ибо в старыхбыли очень критические ошибки, через них можно спокойно…

Comment от emigrant-kz

Made Воскресенье, 19 of Апрель , 2009 at 21:25

1. Хостеры разные - hostgator.com site5.com причем там по нескольку разных аккаунтов ( на разных серверах) - однако ж залезли , прничем примерно в одно время
2.WP 2.7.1 Drupal 6.10 - и там и там правили index - файлы

Comment от shabash

Made Воскресенье, 19 of Апрель , 2009 at 21:42

На блог ругается нод. Проверю комп на всякий случай.. вдруг че..

Comment от SEO Космонавт

Made Воскресенье, 19 of Апрель , 2009 at 21:44

Ну если разные хостеры, разные пароли на акки. То вариант только адин - сперли пароли с компа.

Comment от GogA

Made Воскресенье, 19 of Апрель , 2009 at 22:01

Три ифрейма на этой странице в футере.

Бороться просто: http://gogolev.net/node/94 , надеюсь поможет :)

Comment от GogA

Made Воскресенье, 19 of Апрель , 2009 at 22:02

Начать надо с чистки компа, потом смены фтп.

Я бы посоветовал с чистого компа поменять пароли на фтп и почистить файлы, а потом уже реанимировать рабочую машину.

+ со всех интернет кошельков деньги “прятать”.

Comment от 11111

Made Воскресенье, 19 of Апрель , 2009 at 23:12

СПАСИБО ТЕБЕ ДРУГ ТЫ МОЙ МИЛЫЙ - ВИРИ-ТО И НА БЛОЖИКЕ У ТЕБЯ ОСТАЛИСЬ!

Comment от emigrant-kz

Made Воскресенье, 19 of Апрель , 2009 at 23:19

to 1111
извел

Comment от shuppe

Made Воскресенье, 19 of Апрель , 2009 at 23:25

не стоит надеяться, что не украли от файлзиллы.
надо поменять все пароли.
говорю, потому что сам накалывался.
если за остальными сайтами не пришли сегодня - придут потом.

Comment от Toxic_Cat

Made Понедельник, 20 of Апрель , 2009 at 00:59

Если хостеры разные то 99% у тебя FTP троян.

> вреда можно было нанести много больше
Можно, но чаще тупо индексные файлы и меняют.

Comment от Eugene

Made Понедельник, 20 of Апрель , 2009 at 01:07

У меня была похожая фигня. Троян спер ftp-пароли из Total Commander-а. Думаю, что у тебя то же самое.

Comment от tulvit

Made Понедельник, 20 of Апрель , 2009 at 02:59

Было тож самое, айфрейм на китайский домен в индексных файлах, сайты на джумле, вп тупили, на друпал-е вообще перестали грузиться. После этого подошел к безопасности более ответственно - просканил весь комп несколькими антивирусниками/в том числе и под сэйф модом/, поставил фаерволл самый свежий, в нагрузку еще пару антивирусников, сменил все пароли, перестал хранить пароли в фтп менеджере/хотя раньше была привычка/. Ну и думал, что теперь защищен, ан нет, через дней пять снова на всех сайтах этот же тупой айфрейм. Каким образом - до сих пор без понятия.

Comment от ReallSape

Made Понедельник, 20 of Апрель , 2009 at 05:15

Пароли с коммандера - долой.
Полный скан компа. Антивирус - какой? Если ломаный - на хер.
На хосте - смена ВСЕХ паролей.
Была такая же хрень, утомился чистить индексы, помогла только смена паролей.

Comment от E-Will

Made Понедельник, 20 of Апрель , 2009 at 11:51

Стаааарый троянец. Из тоталкоммандера пароли тырит от фтп. Из других менеджеров, возможно тоже. Как результат - то что ты и получил. Ставь фаерволл, чтоб левый софт просто не мог в инет дернуться без разрешения, и не будет таких проблем больше. Или линукс :)

Comment от andryw

Made Понедельник, 20 of Апрель , 2009 at 12:25

О ведь сцуки , эти хитрые китайцы!Автор мои соболезнования , извини , что не могу помочь , так как не разбираюсь в этом.

Comment от kennyfromparadise

Made Понедельник, 20 of Апрель , 2009 at 17:12

Решение данной проблемы - изменить пароли ФТП, и никогда больше не сохранять ни в каких браузерах и клиентах.

Comment от s-7

Made Вторник, 21 of Апрель , 2009 at 22:30

А лучше поставить антивирус :-)

Comment от Андрей

Made Вторник, 21 of Апрель , 2009 at 23:04

НОД и на рсс ленту отругался :( что конкретно за вирь не сказал, но сказал что файл подозрительный и отправил для анализа.

Comment от AS

Made Пятница, 24 of Апрель , 2009 at 18:53

Могли тупо пасс на брутить фтп-шный, но если они на разных были. Вычищай и все пасы меняй)

Comment от vludurusik

Made Среда, 6 of Май , 2009 at 16:25

вот делать нечего пас им набручивать :)
У меня в прошлом году такое было когда пинчом пароли на фирме потырили и клиентские сайты отдефейсили. Меняй антивирь, меняй пароли, и отвыкай хранить пароли во всяких коммандерах, зиллах и прочем. Если сил не хватает запомнить их всех, заведи шифрующую хрнилку паролей, чуть-чуть поможет. Хотя и от тояна с кейлогером не спасет :)

Оставить комментарий

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

О себе

А кто я?? Рейтинг SEO блогов