Вирус

[VOL]

Троян в теме "Willkommen" "Всех приветствую!"

[Maximus]

Цитата:

Сообщение от AngelOfGrief

Тут знакомые поделились кое-какой новой инфой о распространении подобного вируса на их системе. Действительно, заражаются файлы .htaccess, что заставляет сервер отдавать заражённые страницы именно мобильным устройствам, Android, iPhone итд итп. Это затрудняет обнаружение антивирусом на компьютере. Но интересно другое: заражение производилось путём редактирования файлов .htaccess через PHP веб-шелл -- программу, которую злоумышленники незаметно закачали в папку картинок одного из сайтов через FTP аккаунт, который был заведён в системе, но не использовался и о котором все забыли. Где взяли пароль FTP, непонятно, возможно подбором. Редактировали .htaccess они вручную для каждого сайта! Недоделанные/неполноценные сайты не тронули! А обнаружен этот левый PHP файл был через логи FTP сервера.

Спасибо Кэп. Схеме с отжимом вап трафика через .htaccess уже года два. Я в этой теме писал это полгода назад уже - бестолку .
Первый доступ получают с логов кейлогерров или через уязвимости паблик движков. Тут мне кажется второе.

Цитата:

Сообщение от AngelOfGrief

Так что надо админам поискать веб-шелл. Можно хоть 100 раз менять пароли FTP и восстанавливать заражённые файлы: пока на сервере живет веб-шелл, всё будет повторяться бесконечно. Либо вообще отключить FTP и пользоваться SSH/SCP как это делаю я.

Обясни мне какой смысл закрывать фтп/ssh если там веб шелл?

Еще раз, при желании это все находится, чиститься и закрывается за 20-30 минут. Это уровень "у меня зимние каникулы, я зарегался на ачате и стал хакером!". Почему администрация форума этого не может сделать уже полгода - большая загадка. Но дело хозяйское.

[Maximus]

Цитата:

Сообщение от VOL

Троян в теме "Willkommen" "Всех приветствую!"

Он не связан с темой.

[VOL]

Цитата:

Сообщение от Maximus

Он не связан с темой.

А почему антивирусник ругается когда я хочу открыть страничку в этой теме?

[AngelOfGrief]

Цитата:

Сообщение от Maximus

Спасибо Кэп. Схеме с отжимом вап трафика через .htaccess уже года два. Я в этой теме писал это полгода назад уже - бестолку .

Я помню, коллега. Я пишу доступным языком, чтобы люди поняли. Мы же не на хабрахабре. Фишка в веб шеле и в том как заражались файлы.

Цитата:

Сообщение от Maximus

Обясни мне какой смысл закрывать фтп/ssh если там веб шелл?

Сначала через FTP логи найти веб шел, потом закрыть доступ FTP. Заодно поменять порт SSH.

Цитата:

Сообщение от Maximus

Почему администрация форума этого не может сделать уже полгода - большая загадка.

Если полгода, то это уже не загадка.

[denis.gan]

Я с завидным постоянством транслирую информацию о проблеме администратору, а он хостингу. Видимо, не все так просто, раз не могут починить до конца. Хотя уже есть предложения предоставить понимающему человеку возможности реализовать свои умения за 20-30 минут. Кроме этого, объясните мне, пожалуйста, почему проблема не возникает на множестве компьютеров, оборудованных одним и тем же видно усом и Касперским?

[AngelOfGrief]

Когда посетитель открывает сайт, сервер всегда видит, с какого устройства его открыли, вернее, с какого браузера. Эта возможность предусмотрена на сервере чтобы сайты можно было оптимизировать под разные категории посетителей. А вирус меняет настройку сервера таким образом, что когда тот видит посетителя на мобильнике (iphone, android), он вместо нормального сайта перенаправляет его на левый сайт, содержащий вирус. Эта настройка, как уже писал Maximus, находится в файле .htaccess. Каким образом хакеры снова модифицируют этот файл после того как админ его восстанавливает -- вот что нужно понять. В моём примере это был веб шелл - т.е., грубо говоря, страница на сайте, которую, зная адрес, может открыть любой желающий из любой точки интернета и творить с файлами на сервере всё что ему хочется.

На компах вирус вообще не должен быть виден, я не знаю на что у людей срабатывает Касперский. У меня на компе ни разу вообще не ругался. Его нельзя обнаружить, открыв сайт на компе, в принципе. Возможно, просто у кого-то браузер так настроен, что сервер думает, что это мобильный клиент.

[Maximus]

Цитата:

Сообщение от AngelOfGrief

На компах вирус вообще не должен быть виден, я не знаю на что у людей срабатывает Касперский. У меня на компе ни разу вообще не ругался. Его нельзя обнаружить, открыв сайт на компе, в принципе. Возможно, просто у кого-то браузер так настроен, что сервер думает, что это мобильный клиент.

Не-не, в блеклисты попадает видимо.

[Maximus]

Цитата:

Сообщение от denis.gan

Я с завидным постоянством транслирую информацию о проблеме администратору, а он хостингу. Видимо, не все так просто, раз не могут починить до конца. Хотя уже есть предложения предоставить понимающему человеку возможности реализовать свои умения за 20-30 минут. Кроме этого, объясните мне, пожалуйста, почему проблема не возникает на множестве компьютеров, оборудованных одним и тем же видно усом и Касперским?

Могу посоветовать просто хостинг площадку. Со своей стороны готов стукнуть владельцу/админу с просьбой уделить особое внимание вирусу и проблемам безопасности при переезде.
Локация - свой ДЦ в Праге.

[AngelOfGrief]

Да ну, ради этой ерунды менять хостинг... Главное, что всё можно прекрасно найти в логах, почему никто этим не займётся, не понятно.

[Lolo De Bordo]

Проблемой занимаемся, 2 специалиста работают, отслеживают логи

[AngelOfGrief]

Опять вирус был прошлой ночью.

[mex3]

эм...
Я правильно понимаю, что:
1. .htaccess переписывается изредка, в произвольное время
2. всем лениво искать проблему в хостинге, потому что он дремуч, запущен и никому не нужен?

Ну поставьте тогда переписывать .htaccess по крону на нужный - не? Зачем каждый раз админам руками восстанавливать - пусть восстанавливается периодически само, нагрузка от этого мизерная
С правами можно попробовать поиграться, в конце концов. Если нормально нет желания искать проблему - ну столько ж подпорок можно придумать!

[AngelOfGrief]

Цитата:

Сообщение от mex3

Ну поставьте тогда переписывать .htaccess по крону на нужный - не? Зачем каждый раз админам руками восстанавливать - пусть восстанавливается периодически само, нагрузка от этого мизерная

Я даже предлагать не стал такое решение, это кривизна называется. Там где-то лежит веб-шел через который всё это и делается. Почему по логам не могут проследить это, для меня загадка.

А может там апач под рутом работает.