PDA

Просмотр полной версии : Вирус


Маргаритка
22.05.2012, 00:22
Уже второй день пытаюсь заходить со всех возможных браузеров с телефона на porschec и сразу же срабатывает переадресация на какой-то сайт и вылетает окно загрузки какого-то вируса.

Maximus
22.05.2012, 00:35
На какой сайт?
Какой браузер?
Какая ОС?
Сделай скриншот.

Маргаритка
22.05.2012, 00:50
такую тему выдает только на porschec.ru
переадресует на fun-.... не успеваю прочитать, очень быстро
пишет : загрузка файла vk_agent.apk 35 kb
ОС - Андроид
Браузеры: Опера мини, Яндекс Опера мини,Стандартный, Боат,какой-то еще яндексовский. Вообщем все,которые у меня есть так себя ведут.

AngelOfGrief
22.05.2012, 00:53
Хм. HTC Nexus One, щас попробовал, то же самое. VKontakte самозагружается.

Maximus
22.05.2012, 01:06
Андроид через мобильного провайдер?

Маргаритка
22.05.2012, 01:11
Андроид через мобильного провайдер?

пробовала вай фаем ( разные дом.сети) и через мобильную сеть.

AngelOfGrief
22.05.2012, 01:27
У меня через wifi. Бегло посмотрел javascript, вроде не видно, возможно, user-agent отслеживает и выдает. Надо сообщить Денису, может это баннер кого-то из партнеров.
Вообще, люди совсем совесть теряют, куда мир катится...

Maximus
22.05.2012, 02:08
У меня через wifi. Бегло посмотрел javascript, вроде не видно, возможно, user-agent отслеживает и выдает. Надо сообщить Денису, может это баннер кого-то из партнеров.
Вообще, люди совсем совесть теряют, куда мир катится...

Код чистый вроде. Хотя там могли в плагин пихнуть какой-нибудь заинклюженный.
Денис, посмотри еще .htaccess - там по дате изменения все понятно будет. И не только тот что в корне, ни и все что в подпапках. Вообще проще всего именно по дате изменения смотреть.

Маргаритка
22.05.2012, 12:41
Проблема решена, спасибо!

AngelOfGrief
22.05.2012, 12:49
А что это было, в результате?

denis.gan
24.05.2012, 09:00
Наш администратор вроде как решил проблему. Надеюсь теперь у всех все работает.

Lolo De Bordo
24.05.2012, 09:58
Все исправили, спасибо за сигнал.

Маргаритка
02.06.2012, 20:04
Опять та же проблема и та же программа

Тони
03.06.2012, 18:39
Опять та же проблема и та же программа

+1, смартфон (андроид)
..., а с ноута работает нормально.

Маргаритка
04.06.2012, 01:52
Проблема устранена.

Fred
04.08.2012, 12:53
Похоже опять эта проблема, с андроида не зайти...

Маргаритка
05.08.2012, 23:02
дааа, знатная порнуха была!

Maximus
05.08.2012, 23:06
Я 100% знаю что это в .htaccess файле. Если админ чистил, и опять, значит админа на мыло, ибо он почистил, но не нашел шелл сам.
И это, у кого андроиды - у вас скорее всего мидлет прогрузился и шлет смски.
У кого мтс (вне зависимости от ОС мобильного устройства). Если вы нажимали кнопку "Ок", "Войти" и вообще что либо нажимали, вы скорее всего подписались на премиум контент МТС, и с вас теперь каждый день будет сниматься денюжка :)

Маргаритка
06.08.2012, 01:10
у мну стоит запрет скачивания любых программ вне маркета.

Fred
12.08.2012, 15:20
Опять...короче с андроида и т.п. лучше вообще не стоит заходить на форум, не приятно и не удобно.........

Маргаритка
16.08.2012, 14:31
Опять вирус.....уже который день не дает посещать форум

Борода
22.08.2012, 14:06
У меня на рабочем компе (windows) Касперский ругается и блокирует адрес при попытке входа на форум.

Don
22.08.2012, 14:21
У меня на рабочем компе (windows) Касперский ругается и блокирует адрес при попытке входа на форум.

Аналогично:(( Могу зайти только с айфона.

denis.gan
22.08.2012, 16:38
Коллеги, пришлите, пожалуйста, скриншот, чтобы мы могли обрисовать проблему хостеру.

Вольдемар
22.08.2012, 20:57
Такая же ерунда. Касперский на работе ругается на сайт. Дома на макбуке все ок.

ponch
23.08.2012, 01:20
Плюсанусь к Касперу.. Скриншот могу завтра выслать, если еще актуально будет.

Don
23.08.2012, 09:24
Сегодня тоже самое

Борода
23.08.2012, 09:56
https://lh4.googleusercontent.com/-Ik8WwNIkqEI/UDXF8i4opSI/AAAAAAAADIA/AWSU04jHWrc/s384/%25D0%25B2%25D0%25B8%25D1%2580%25D1%2583%25D1%2581 .jpg

Михаил Н
23.08.2012, 18:28
+1

но не могу вставить подробный скриншот - касперский почти всё блокирует - могу выслать на почту

Коллеги, пришлите, пожалуйста, скриншот, чтобы мы могли обрисовать проблему хостеру.

Maximus
23.08.2012, 18:46
Денис, я ж писал уже в чем трабл. 100% меняют файл .htacess. Если после замены файла он опять обратно поменялся на зараженный, значит на сервере шелл. Есть куча утилит для поиска шеллов.
На том же сервере что и porschec.ru хоститься как минимум 83 сайта, большая часть из которых в заброшенном состоянии. Вероятно через какой то из них и ломают. Админ сервера лошпет :)



Как вы живете с этим Касперским, Виндой и Андроидом ?:)

Михаил Н
23.08.2012, 18:58
нормально так живем - половина прог только под ними родимыми и работает типа клиент-банка и 1С, а запускать их через виртуальную машину на линуксе это какое-то извращение...

Maximus
23.08.2012, 19:09
нормально так живем - половина прог только под ними родимыми и работает типа клиент-банка и 1С, а запускать их через виртуальную машину на линуксе это какое-то извращение...

Извращение это когда нужно перезагружать машину чуть ли не каждый день (а бывает и чаще), когда ссыкатно ходить по сайтам и тд - а все остальное (банк клиент из под виртуалки) это вариант нормы ;).

denis.gan
23.08.2012, 19:44
Как вы живете с этим Касперским, Виндой и Андроидом ?:)

Это дааааа!))

Борода
26.08.2012, 16:30
Извращение это когда нужно перезагружать машину чуть ли не каждый день (а бывает и чаще), когда ссыкатно ходить по сайтам и тд - а все остальное (банк клиент из под виртуалки) это вариант нормы ;).

Виртуальная машина на мас - вот это извращение)

Maximus
26.08.2012, 16:37
Виртуальная машина на мас - вот это извращение)

У меня ее и не стоит, поскольку нету ничего что бы требовало винды. Но например паралельз сейчас так встраивается в макос органично, что например в сайдбаре появляется кнопка "Пуск" даже.

Борода
26.08.2012, 18:14
И Винда на железе мас сразу становится замечательной) ага)

Maximus
26.08.2012, 18:47
И Винда на железе мас сразу становится замечательной) ага)

С чего вдруг?

Борода
26.08.2012, 19:30
Ну вот я и говорю, что не следует ставить вредоносное по в железо мас)

VVZ
28.08.2012, 11:04
Народ, а баг этот как-то, кто-то и когда-нибудь собираются поправить?

Lolo De Bordo
28.08.2012, 13:40
Спасибо, разбираемся!

dimitry
30.08.2012, 16:19
Та же проблема , вин 7. И Касперский не пускают на сайт

Maximus
30.08.2012, 18:13
Та же проблема , вин 7. И Касперский не пускают на сайт

Если на Вин7 значит шел перепродали :)

AngelOfGrief
31.08.2012, 01:46
Господа, ну это не смешно уже... Хочешь с КПК зайти на форум (найти нужную тех. инфу вдали от компа например), а вместо этого редирект черт знает куда... Ну неужели так трудно устранить эту проблему?

Это либо .htaccess как писал Maximus, либо модифицирован index.php. Пару лет назад была такая тема у одного хостера, все index.php оказались заражены и вылезал попап. Причем хостер потом заявил, что вирус орудовал не у них на сервере, а (внимание!) "на удаленных компьютерах самих владельцев сайтов (веб-мастеров) воровал ftp пароли и через ftp правил нужные ему файлы". Не знаю насколько это правда, но факт.

Можно полазить в логах и найти каким образом внедряется вредоносный код... Это ж не так сложно. :) Кстати, возможно, через скрипты форума ломают, у любого форума обычно есть уязвимости.

Maximus
31.08.2012, 01:58
"на удаленных компьютерах самих владельцев сайтов (веб-мастеров) воровал ftp пароли и через ftp правил нужные ему файлы"
Так и есть, это Pinch был.

Код 100% в .htacess. То что в индексе видно в коде через веб, а js скрипт отсеивающий мобильный трафик он достаточно заметный.

Я так понимаю, админ и так знает что проблема в htacess, он не может найти шелл через который его перезаписывают постоянно.

Там 60 с чем то сайтов на данном ип половина на ВП и джумле, ломай не хочу.

AngelOfGrief
31.08.2012, 02:02
А в логах разве не видно кто перезаписывает файл?
При чем тут 60 сайтов, у других юзеров не должно быть доступа в директории этого сайта (конечно если разрешения грамотно настроены). Может у него .htaccess 0777 :)

Maximus
31.08.2012, 02:08
А в логах разве не видно кто перезаписывает файл?
При чем тут 60 сайтов, у других юзеров не должно быть доступа в директории этого сайта (конечно если разрешения грамотно настроены). Может у него .htaccess 0777 :)

У меня например логи на всех машинах отключены так как это нагрузка лишняя. А так в логах да должно быть видно. Только это ничего не дает. Там просто будет запись вида ip - действие.
Не должно - это не значит что их нету. Там есть способы при определенных конфигах как через юзера получить доступ к руту.
Права на .htaccess никакой роли не играют, так как он создается не апачем/рутом, а юзером, так что имея доступ на юзера можно править его независимо от изначальных прав.

YZFR1
01.09.2012, 01:27
А теперь можно это всё перевезти на русский язык или скажите какую кнопку нажать,чтобы эта хрень больше не выскакивала. )))

Maximus
01.09.2012, 03:46
Сменить одмина или хостинг видимо)

AngelOfGrief
01.09.2012, 12:04
Или установить в самом телефоне прогу которая меняет user-agent. Видимо так и придется сделать, ибо проблема неустранима. :) :)

Lolo De Bordo
03.09.2012, 19:12
Надеюсь сегодня устраним проблему.

Борода
03.09.2012, 20:41
Да можете не спешить. Чего уж там

denis.gan
03.09.2012, 21:52
Да можете не спешить. Чего уж там

Жаль, что люди далекие от проблем хостинга отпускают подобные колкости.

Борода
03.09.2012, 21:56
Отчего же далекие?)

denis.gan
03.09.2012, 22:01
Отчего же далекие?)

А если близкие, то тем более жаль.

Борода
03.09.2012, 22:04
Ну значит нашелся повод пожалеть. Это то же хорошо)

Maximus
04.09.2012, 01:48
Жаль, что люди далекие от проблем хостинга отпускают подобные колкости.

Я могу тоже отпустить. Я очень близок к проблемам хостинга :)
Я могу сказать, что нету такой проблемы которая не позволяет почистить .htaccess и закрыться от шелла в течении 10 минут, максимум часа. Ну по крайней мере мне такая проблема не известна.

ЗЫ я без зла, если что. У меня вообще IOS и мак, а виндовс и андроид юзерам так и надо, они ж любят патчить, апгрейдить и чего то там ковыряться в своих ОС :)

AngelOfGrief
04.09.2012, 02:13
Сейчас на самом деле можно купить американский хостинг за 100 долл. в год с индивидуальным ip и профессиональными админами, которые умеют корректно настраивать безопасность на сервере. Вирус-то на самом сервере, судя по всему, неистовствует. :) Я вообще считаю, что поскольку в основном сами американцы авторы всего серверного софта, логично эти услуги покупать у них.

Борода
05.09.2012, 10:22
Если что, вирус все еще здесь)

AlexBG
18.09.2012, 14:05
Как идет борьба с вирусом? Крайне не удобно читать на айфоне форум. А комп отказывается открывать сайт, ругается на вирус.

Kolosok
19.09.2012, 20:29
С работы и с телефона не могу зайти на форум.(((
Сделайте что-нибудь.)))

Kolosok
15.10.2012, 14:56
Админы–то есть здесь?) Касперский по–прежнему блокирует доступ к сайту. С телефона удалось прорваться через яндекс, а через гугл тоже не открывается сайт. :(:confused:

evgen
15.10.2012, 22:55
у меня мак,сегодня не мог открыть страницу!:(

Maximus
15.10.2012, 23:26
у меня мак,сегодня не мог открыть страницу!:(

Там ошибка мускуля была, короче не вирус это :D

evgen
15.10.2012, 23:41
Database error
The database has encountered a problem.

Please try the following:
•Load the page again by clicking the Refresh button in your web browser.
•Open the www.porschec.ru home page, then try to open another page.
•Click the Back button to try another link.
The www.porschec.ru forum technical staff have been notified of the error, though you may contact them if the problem persists.вот такая хрень периодически выскакивает.!
*

Maximus
16.10.2012, 03:04
Database error
The database has encountered a problem.

Please try the following:
•Load the page again by clicking the Refresh button in your web browser.
•Open the www.porschec.ru home page, then try to open another page.
•Click the Back button to try another link.
The www.porschec.ru forum technical staff have been notified of the error, though you may contact them if the problem persists.вот такая хрень периодически выскакивает.!
*

Это с вирусом не связанно.

VVZ
29.11.2012, 18:18
Повторно - исправьте баг с Касперским.
Желательно навсегда.

Maxel
29.11.2012, 19:47
+1
баг есть на всех компах

denis.gan
01.12.2012, 17:37
Повторно - исправьте баг с Касперским.
Желательно навсегда.

Так же повторно отвечаю: мы никак не можем исправить этот баг, т.к. эта проблема хостера.

Maximus
01.12.2012, 20:11
Так же повторно отвечаю: мы никак не можем исправить этот баг, т.к. эта проблема хостера.

Может хостинг поменять? Я могу посоветовать хорошие варианты.

AngelOfGrief
03.12.2012, 00:01
Так же повторно отвечаю: мы никак не можем исправить этот баг, т.к. эта проблема хостера.

Это не бага, это фича. (с) :rolleyes:

VVZ
03.12.2012, 09:14
Это по-русски :)
А то, что народ зайти на форум зайти не может, подумаешь...

denis.gan
03.12.2012, 10:41
Это по-русски :)
А то, что народ зайти на форум зайти не может, подумаешь...

Ну, как бы, у всех, кого я знаю лично, эта проблема давно ушла. Хостер тогда отрапортовал, что все исправлено. Может нужно что-то сделать со своим компьютером? Почистить кеш, удалить cookie, обновить касперского наконец?

А еще, я просил присылать скриншоты, отражающие проблему. Повторюсь, что так как, все мне известные люди такой проблемы не имеют, включая администратора этого ресурса, предъявить хостеру нечего.

VVZ
03.12.2012, 11:13
Ну, как бы, у всех, кого я знаю лично, эта проблема давно ушла. Хостер тогда отрапортовал, что все исправлено. Может нужно что-то сделать со своим компьютером? Почистить кеш, удалить cookie, обновить касперского наконец?

Да просто система дома новая (поставил на новый диск win 8), антивирус обновляется по расписанию, т.к. лицензия.

А еще, я просил присылать скриншоты, отражающие проблему. Повторюсь, что так как, все мне известные люди такой проблемы не имеют, включая администратора этого ресурса, предъявить хостеру нечего.
Хорошо, пришлю скриншоты вечером.

AngelOfGrief
03.12.2012, 16:15
Проблема проявлялась только на мобильных устройствах, проверил только что, на данный момент всё нормально.

VVZ
03.12.2012, 19:40
Скриншоты:

http://s019.radikal.ru/i625/1212/ba/32f4a7096a53.jpg

Если нажать на "страница заблокирована ошибочно", то вижу вот это:

http://s019.radikal.ru/i639/1212/f3/d7ca49b3f65b.jpg

Проблема в антивирусе, т.к. после его отключения всё работает нормально. Но отключать его, по понятным причинам, не хочется.

Вот типа логов антивируса:

http://s59.radikal.ru/i165/1212/3a/36f53af2b2e7.jpg

Антивирус - Kaspersky Internet Security 2013.
Почистил всё что можно.

denis.gan
03.12.2012, 22:19
Скриншоты:



Антивирус - Kaspersky Internet Security 2013.
Почистил всё что можно.

Спасибо! Передано хостеру.

YZFR1
04.12.2012, 01:51
У меня такая же ерунда. Win 7 лицензия

AlexBG
04.12.2012, 12:43
Мои айтишники сказали, что вверху есть баннер который содержит вредоносный код. Вредоносный баннер показывается не всегда, но сам факт его наличия уже угроза безопасности. Просил отключить баннер, но мне ответили что антивирус его не различает и просто блокирует сам сайт.
Надеюсь это поможет.

Stepler
04.12.2012, 19:14
та же фигня

VOL
07.12.2012, 14:21
В разделе Porsche 911 троян!

AngelOfGrief
13.12.2012, 01:36
Сегодня хотел зайти на сайт с мероприятия и снова попал на вирус! :(

Fred
15.12.2012, 20:20
Ура! Заработало!)

AngelOfGrief
16.12.2012, 18:47
Тут знакомые поделились кое-какой новой инфой о распространении подобного вируса на их системе. Действительно, заражаются файлы .htaccess, что заставляет сервер отдавать заражённые страницы именно мобильным устройствам, Android, iPhone итд итп. Это затрудняет обнаружение антивирусом на компьютере. Но интересно другое: заражение производилось путём редактирования файлов .htaccess через PHP веб-шелл -- программу, которую злоумышленники незаметно закачали в папку картинок одного из сайтов через FTP аккаунт, который был заведён в системе, но не использовался и о котором все забыли. Где взяли пароль FTP, непонятно, возможно подбором. Редактировали .htaccess они вручную для каждого сайта! Недоделанные/неполноценные сайты не тронули! А обнаружен этот левый PHP файл был через логи FTP сервера.

Так что надо админам поискать веб-шелл. Можно хоть 100 раз менять пароли FTP и восстанавливать заражённые файлы: пока на сервере живет веб-шелл, всё будет повторяться бесконечно. Либо вообще отключить FTP и пользоваться SSH/SCP как это делаю я. :) :thumbup:

Gleb
16.12.2012, 19:19
Сорри, если обсуждалось, но почему не перенести форум на какую-то более адекватную площадку? Серьезно, когда роман-кабриолет решил опозориться еще и на соседних форумах, наш сразу лег от наплыва желающих узнать начало истории, хотя уверен, что их там было не так много.
У меня есть опыт в данных вопросах — могу помочь )

VOL
18.12.2012, 20:38
Троян в теме "Willkommen" "Всех приветствую!"

Maximus
19.12.2012, 00:44
Тут знакомые поделились кое-какой новой инфой о распространении подобного вируса на их системе. Действительно, заражаются файлы .htaccess, что заставляет сервер отдавать заражённые страницы именно мобильным устройствам, Android, iPhone итд итп. Это затрудняет обнаружение антивирусом на компьютере. Но интересно другое: заражение производилось путём редактирования файлов .htaccess через PHP веб-шелл -- программу, которую злоумышленники незаметно закачали в папку картинок одного из сайтов через FTP аккаунт, который был заведён в системе, но не использовался и о котором все забыли. Где взяли пароль FTP, непонятно, возможно подбором. Редактировали .htaccess они вручную для каждого сайта! Недоделанные/неполноценные сайты не тронули! А обнаружен этот левый PHP файл был через логи FTP сервера.


Спасибо Кэп. Схеме с отжимом вап трафика через .htaccess уже года два. Я в этой теме писал это полгода назад уже - бестолку :).
Первый доступ получают с логов кейлогерров или через уязвимости паблик движков. Тут мне кажется второе.

Так что надо админам поискать веб-шелл. Можно хоть 100 раз менять пароли FTP и восстанавливать заражённые файлы: пока на сервере живет веб-шелл, всё будет повторяться бесконечно. Либо вообще отключить FTP и пользоваться SSH/SCP как это делаю я. :) :thumbup:

Обясни мне какой смысл закрывать фтп/ssh если там веб шелл?

Еще раз, при желании это все находится, чиститься и закрывается за 20-30 минут. Это уровень "у меня зимние каникулы, я зарегался на ачате и стал хакером!". Почему администрация форума этого не может сделать уже полгода - большая загадка. Но дело хозяйское.

Maximus
19.12.2012, 00:45
Троян в теме "Willkommen" "Всех приветствую!"

Он не связан с темой.

VOL
19.12.2012, 02:05
Он не связан с темой.
А почему антивирусник ругается когда я хочу открыть страничку в этой теме?

AngelOfGrief
19.12.2012, 02:12
Спасибо Кэп. Схеме с отжимом вап трафика через .htaccess уже года два. Я в этой теме писал это полгода назад уже - бестолку :).


Я помню, коллега. Я пишу доступным языком, чтобы люди поняли. Мы же не на хабрахабре. Фишка в веб шеле и в том как заражались файлы.


Обясни мне какой смысл закрывать фтп/ssh если там веб шелл?


Сначала через FTP логи найти веб шел, потом закрыть доступ FTP. Заодно поменять порт SSH.


Почему администрация форума этого не может сделать уже полгода - большая загадка.

Если полгода, то это уже не загадка.

denis.gan
19.12.2012, 03:02
Я с завидным постоянством транслирую информацию о проблеме администратору, а он хостингу. Видимо, не все так просто, раз не могут починить до конца. Хотя уже есть предложения предоставить понимающему человеку возможности реализовать свои умения за 20-30 минут. Кроме этого, объясните мне, пожалуйста, почему проблема не возникает на множестве компьютеров, оборудованных одним и тем же видно усом и Касперским?

AngelOfGrief
19.12.2012, 03:11
Когда посетитель открывает сайт, сервер всегда видит, с какого устройства его открыли, вернее, с какого браузера. Эта возможность предусмотрена на сервере чтобы сайты можно было оптимизировать под разные категории посетителей. А вирус меняет настройку сервера таким образом, что когда тот видит посетителя на мобильнике (iphone, android), он вместо нормального сайта перенаправляет его на левый сайт, содержащий вирус. Эта настройка, как уже писал Maximus, находится в файле .htaccess. Каким образом хакеры снова модифицируют этот файл после того как админ его восстанавливает -- вот что нужно понять. В моём примере это был веб шелл - т.е., грубо говоря, страница на сайте, которую, зная адрес, может открыть любой желающий из любой точки интернета и творить с файлами на сервере всё что ему хочется.

На компах вирус вообще не должен быть виден, я не знаю на что у людей срабатывает Касперский. У меня на компе ни разу вообще не ругался. Его нельзя обнаружить, открыв сайт на компе, в принципе. Возможно, просто у кого-то браузер так настроен, что сервер думает, что это мобильный клиент.

Maximus
19.12.2012, 05:05
На компах вирус вообще не должен быть виден, я не знаю на что у людей срабатывает Касперский. У меня на компе ни разу вообще не ругался. Его нельзя обнаружить, открыв сайт на компе, в принципе. Возможно, просто у кого-то браузер так настроен, что сервер думает, что это мобильный клиент.
Не-не, в блеклисты попадает видимо.

Maximus
19.12.2012, 05:10
Я с завидным постоянством транслирую информацию о проблеме администратору, а он хостингу. Видимо, не все так просто, раз не могут починить до конца. Хотя уже есть предложения предоставить понимающему человеку возможности реализовать свои умения за 20-30 минут. Кроме этого, объясните мне, пожалуйста, почему проблема не возникает на множестве компьютеров, оборудованных одним и тем же видно усом и Касперским?

Могу посоветовать просто хостинг площадку. Со своей стороны готов стукнуть владельцу/админу с просьбой уделить особое внимание вирусу и проблемам безопасности при переезде.
Локация - свой ДЦ в Праге.

AngelOfGrief
19.12.2012, 16:42
Да ну, ради этой ерунды менять хостинг... Главное, что всё можно прекрасно найти в логах, почему никто этим не займётся, не понятно.

Lolo De Bordo
20.12.2012, 15:55
Проблемой занимаемся, 2 специалиста работают, отслеживают логи

AngelOfGrief
25.12.2012, 02:27
Опять вирус был прошлой ночью.

mex3
26.12.2012, 13:48
эм...
Я правильно понимаю, что:
1. .htaccess переписывается изредка, в произвольное время
2. всем лениво искать проблему в хостинге, потому что он дремуч, запущен и никому не нужен?

Ну поставьте тогда переписывать .htaccess по крону на нужный - не? Зачем каждый раз админам руками восстанавливать - пусть восстанавливается периодически само, нагрузка от этого мизерная ;)
С правами можно попробовать поиграться, в конце концов. Если нормально нет желания искать проблему - ну столько ж подпорок можно придумать!

AngelOfGrief
26.12.2012, 15:30
Ну поставьте тогда переписывать .htaccess по крону на нужный - не? Зачем каждый раз админам руками восстанавливать - пусть восстанавливается периодически само, нагрузка от этого мизерная ;)


Я даже предлагать не стал такое решение, это кривизна называется. Там где-то лежит веб-шел через который всё это и делается. Почему по логам не могут проследить это, для меня загадка.

А может там апач под рутом работает.

mex3
26.12.2012, 15:42
я не спорю, что это кривизна. Но лучше такая кривизна, чем пол года наступать на одни и те же грабли, потому что лень/не достаточно квалификации искать причину ;)

На мой вкус, по крону переписывать файл - куда более разумный костыль, чем просить всех пользователей изменять user agent ;)

AngelOfGrief
26.12.2012, 15:51
я не спорю, что это кривизна. Но лучше такая кривизна, чем пол года наступать на одни и те же грабли, потому что лень/не достаточно квалификации искать причину ;)

На мой вкус, по крону переписывать файл - куда более разумный костыль, чем просить всех пользователей изменять user agent ;)

Я думаю, вирусняк найдёт и исходный htaccess и его тоже перезапишет. Что тогда, ещё одну задачу cron создавать для перезаписи исходного htacсess -- и так до бесконечности? :)

mex3
26.12.2012, 16:11
Я думаю, вирусняк найдёт и исходный htaccess и его тоже перезапишет. Что тогда, ещё одну задачу cron создавать для перезаписи исходного htacсess -- и так до бесконечности? :)

Такой умный вирусняк? Исходный можно генерировать. Но я практически уверена, что вирусняк достаточно туп, чтобы искать .htaccess по названию.
Можно заливать с другого, явно не зараженного, хоста - по крону же. Вариантов море, а у меня хорошая фантазия. :D

Porsche racing team
26.12.2012, 16:25
эм...
Я правильно понимаю, что:
1. .htaccess переписывается изредка, в произвольное время
2. всем лениво искать проблему в хостинге, потому что он дремуч, запущен и никому не нужен?

Ну поставьте тогда переписывать .htaccess по крону на нужный - не? Зачем каждый раз админам руками восстанавливать - пусть восстанавливается периодически само, нагрузка от этого мизерная ;)
С правами можно попробовать поиграться, в конце концов. Если нормально нет желания искать проблему - ну столько ж подпорок можно придумать!
Прочитав,В очередной раз убедился что профи быть во всем нереально;) как в анекдоте-мама сказала в бидоне....

mex3
26.12.2012, 16:46
Прочитав,В очередной раз убедился что профи быть во всем нереально;) как в анекдоте-мама сказала в бидоне....

я что-то видимо не понимаю... чем мой вариант плох? При отсутствии у советующего доступа к серверу и фидбека от тех, у кого доступ есть.

AngelOfGrief
26.12.2012, 16:53
Такой умный вирусняк? Исходный можно генерировать. Но я практически уверена, что вирусняк достаточно туп, чтобы искать .htaccess по названию.
Можно заливать с другого, явно не зараженного, хоста - по крону же. Вариантов море, а у меня хорошая фантазия. :D

Можно арендовать ещё один сервер и оттуда раз в сутки полностью перезаливать весь сайт. :)

В примере, который случился у моих друзей, .htaccess всех сайтов были отредактированы вручную! Т.е. это не вирус, это взлом. Ломанули ftp аккаунт, залили веб-шелл, исправили файлы htaccess во всех папках, где были действующие сайты.

Пока на сервере будет лежать веб шелл, ничего хорошего не будет.

Maximus
26.12.2012, 17:14
я не спорю, что это кривизна. Но лучше такая кривизна, чем пол года наступать на одни и те же грабли, потому что лень/не достаточно квалификации искать причину ;)

На мой вкус, по крону переписывать файл - куда более разумный костыль, чем просить всех пользователей изменять user agent ;)

Быдлокодинг наше все! :D

Porsche racing team
26.12.2012, 17:15
я что-то видимо не понимаю... чем мой вариант плох? При отсутствии у советующего доступа к серверу и фидбека от тех, у кого доступ есть.
К тому что в компах я полный профан....:) читаю не понимаю

Maximus
26.12.2012, 17:21
Проблема лежит не в техническом аспекте, а в человеческом факторе. Потому мы можем тут долго блистать изысканностью решений, но это все бессмысленно.

AngelOfGrief
26.12.2012, 17:34
К тому что в компах я полный профан....:) читаю не понимаю

Mex3 предлагает запустить на сервере программу, которая будет с заданным интервалом восстанавливать повреждённые вирусом файлы. Т.е. просто тупо перезаписывать их из резервной копии, вместо того чтобы найти каким образом хакер туда залезает.

p.s. Там возможно вообще не было изначально .htaccess, т.е. достаточно просто его удалять.

Porsche racing team
26.12.2012, 17:41
Mex3 предлагает запустить на сервере программу, которая будет с заданным интервалом восстанавливать повреждённые вирусом файлы. Т.е. просто тупо перезаписывать их из резервной копии, вместо того чтобы найти каким образом хакер туда залезает.

p.s. Там возможно вообще не было изначально .htaccess, т.е. достаточно просто его удалять.
А вы когда нибудь поражали неподвижную цель на расстоянии 1.5 км и более? С подвижными целями еще забавней;) арифметика почти одинакова))))

mex3
26.12.2012, 17:43
Можно арендовать ещё один сервер и оттуда раз в сутки полностью перезаливать весь сайт. :)

В примере, который случился у моих друзей, .htaccess всех сайтов были отредактированы вручную! Т.е. это не вирус, это взлом. Ломанули ftp аккаунт, залили веб-шелл, исправили файлы htaccess во всех папках, где были действующие сайты.

Пока на сервере будет лежать веб шелл, ничего хорошего не будет.

Я не верю в существование реального человека, который с завидным упорством будет вручную править .htaccess за кроном, который, скажем, раз в час будет перезаливать нормальный файл.

Это что-то вроде social engineering - есть ленивые админы сервера. Ленивые, но не шибко умные кулхацкеры решили этим воспользоваться - мозгов для полной автоматизации и захвата мира у них не хватило, они "на глаз" оценили потенциальную прибыль с ресурса, оценили трудозатраты по своей ручной работе. Им совершенно неважно, что там с этим конкретным ресурсом на самом деле. Скорее всего - он не первый и он не последний. Когда поток прибыли уменьшается - они "пробегаются ручками" по списку серверов. Он не достаточно большой и не так часто это нужно делать, чтоб им городить какую-то разумную автоматизацию.
Так вот, к чему это я.

Мы видим, что не очень аккуратными админами воспользовались не очень аккуратные злоумышленники, вероятнее всего. Будет там что-то по крону переписываться или нет - они, вероятнее всего, и не заметят даже - если они после ручного исправления файла тут же не активизировались раньше. Точно также продолжат изредка заходить и править руками - тогда, когда будет плановый обход.
Хоть и выглядит это решение криво - но оно весьма эффективно. Злоумышленники не замечают подвоха, вероятнее всего, наши админы спят. Идиллия, практически. В минусе - общая кривизна решения и некоторая погрешность из-за частоты обновления.

Если внимательно подумать, то выкорчевать веб-шелл - тоже не панацея. Он же как-то оказался на этом сервера. Почему они не могут повторить этот трюк снова? В этом случае нашим ленивым админам надо будет поднапрячься сильнее. Во-первых, найти сам веб-шелл. Но не забываем, что наши злоумышленники, скорее всего, действовали по какой-то кальке - и у них есть последовательность действий от и до, которую они в любой момент могут воспроизвести вручную. Нет никакого смысла выкорчевывать только веб-шелл. Если ftp аккаунт был взломан - то пока не будет сделано никаких особых действий по аккаунту - его с тем же успехом смогут точно также взламывать. Поэтому подчистить недостаточно, нужно вычищать всю цепочку действий, которая привела к данному исходу.

Я, конечно, всецело за второй вариант. Но есть 2 нюанса:
1. уже прошло пол года, а воз и ныне там
2. я не понимаю, почему пользователи мобильных устройств должны есть кактус, пока ленивые админы решают задачу о сферических конях в вакууме. Почему бы не использовать подпорку как временное решение, если задачу не получается решить сразу? (А пол года - это очень сильно не сразу, имхо).

mex3
26.12.2012, 17:47
Mex3 предлагает запустить на сервере программу, которая будет с заданным интервалом восстанавливать повреждённые вирусом файлы. Т.е. просто тупо перезаписывать их из резервной копии, вместо того чтобы найти каким образом хакер туда залезает.

p.s. Там возможно вообще не было изначально .htaccess, т.е. достаточно просто его удалять.

Я предлагаю тупо сделать пользователям удобно, пока админы ждут правильного расположения звезд на небе для идейно правильного решения проблемы.

Ну я ещё могу рута попросить, но кто ж мне его тут даст? :D

Porsche racing team
26.12.2012, 17:50
Я предлагаю тупо сделать пользователям удобно, пока админы ждут правильного расположения звезд на небе для идейно правильного решения проблемы.

Ну я ещё могу рута попросить, но кто ж мне его тут даст? :D

Рута попросить...это кто вообще или что??????
Почему нельзя просто вкусно поужинать?!!!!!!

mex3
26.12.2012, 17:54
Рута попросить...это кто вообще или что??????
Почему нельзя просто вкусно поужинать?!!!!!!

это способ порабощения окружающего мира мной :D Может я хочу свои вирусы с этого форума рассылать, с блекджеком?

можно и вкусно поужинать, одно другому не мешает.

Porsche racing team
26.12.2012, 17:56
это способ порабощения окружающего мира мной :D

можно и вкусно поужинать, одно другому не мешает.
А можно этого парня,Рута? Не брать на ужин? Пожалста!!! мне с ним поговорить точно не о чем....

mex3
26.12.2012, 18:03
А можно этого парня,Рута? Не брать на ужин? Пожалста!!! мне с ним поговорить точно не о чем....

Не, нельзя. Это часть меня. А меня или целиком, или никак :D

AngelOfGrief
26.12.2012, 18:07
mex3, да я не против. Но это всё равно что подливать каждый день в мотор масло вместо того чтобы устранить течь.

Шел скорее всего был залит через брут-форсеный ftp аккаунт. Т.е. надо:

1. Проверить список ftp аккаунтов, удалить лишние, сменить пароли на dhjkDFsh5hjk546Djkh456 вместо qwerty12345.

2. Найти веб шелл и удалить его.

3. ВСЁ.

Ведь наличие на сервере веб шела означает также и полный доступ к БД.

extrapixel
26.12.2012, 18:08
http://i.imgur.com/BM162.gif

Porsche racing team
26.12.2012, 18:11
Не, нельзя. Это часть меня. А меня или целиком, или никак :D
Тогда целиком;)

mex3
26.12.2012, 18:14
mex3, да я не против. Но это всё равно что подливать каждый день в мотор масло вместо того чтобы устранить течь.

Шел скорее всего был залит через брут-форсеный ftp аккаунт. Т.е. надо:

1. Проверить список ftp аккаунтов, удалить лишние, сменить пароли на dhjkDFsh5hjk546Djkh456 вместо qwerty12345.

2. Найти веб шелл и удалить его.

3. ВСЁ.

Ведь наличие на сервере веб шела означает также и полный доступ к БД.

Согласись, что если нет денег на переборку мотора - или например она даже уже запланирована, но через месяц, допустим - то имеет смысл каждый день подливать масло в мотор, а не ездить, пока не загорится лампочка о низком уровне, потом ещё сколько-то с горящей лампочкой, потом доливать и так до бесконечности..?

Я думаю, надо не только ftp-аккаунты проверять, например. Надо в целом устранять бардак в системе, который там, возможно, имеет место быть.

AngelOfGrief
26.12.2012, 18:16
Ну я ещё могу рута попросить, но кто ж мне его тут даст? :D

Я бы не дал mex3 рута, это точно.

mex3
26.12.2012, 18:17
Я бы не дал mex3 рута, это точно.

Почему, кстати? :rolleyes:

AngelOfGrief
26.12.2012, 18:24
Почему, кстати? :rolleyes:

Потому что у админа его нет.

mex3
26.12.2012, 18:30
Потому что у админа его нет.

1. Причём тогда я в том утверждении?
2. Что есть у админа?

extrapixel
26.12.2012, 18:44
http://i.imgur.com/hyQrp.gif

AngelOfGrief
26.12.2012, 18:53
Елисей, с чем связана потеря дара речи? Пост-травматический синдром?

AngelOfGrief
26.12.2012, 18:54
1. Причём тогда я в том утверждении?


Справедливый вопрос, на который, в итоге, нет ответа, и это логически тоже справедливо. Вернее, он не релевантен. Согласны?


2. Что есть у админа?

Имя, как минимум.

mex3
26.12.2012, 19:07
Имя, как минимум.

Я вообще-то серьезно, а не потроллить в этот тред зашла.
Основное время имею возможность читать подобные ресурсы с планшета. Вижу проблему. Хочу решить её не только локально в виде подпорки для себя.

AngelOfGrief
26.12.2012, 19:17
Я вообще-то серьезно, а не потроллить в этот тред зашла.
Основное время имею возможность читать подобные ресурсы с планшета. Вижу проблему. Хочу решить её не только локально в виде подпорки для себя.

Мы уже месяца два как хотим решить эту проблему. Но наше желание никак не материализуется. Поэтому у нас к ней отношение уже немного другое. :) Сорри, если обидел.

mex3
26.12.2012, 19:21
Мы уже месяца два как хотим решить эту проблему. Но наше желание никак не материализуется. Поэтому у нас к ней отношение уже немного другое. :) Сорри, если обидел.

Так в чём затык? Я, может, тоже хочу или немного другое отношение осознать, или помочь, если получится?

AngelOfGrief
26.12.2012, 19:27
Я не предлагаю свою помощь, т.к. лезть в чужой сервер -- это брать ответственность на себя. С другой стороны, здесь есть свой админ, он должен выполнять свою работу. Фактически, нужен SSH логин и всё можно почистить, не обязательно рут. Ну и доступ к логам, в т.числе FTP логам. Как вариант, можно было бы встретиться с админом и полазить там с ним вместе.

Насколько я вижу, хостер - eurocom.su.

Maximus
26.12.2012, 19:36
Я не предлагаю свою помощь, т.к. лезть в чужой сервер -- это брать ответственность на себя. С другой стороны, здесь есть свой админ, он должен выполнять свою работу. Фактически, нужен SSH логин и всё можно почистить, не обязательно рут. Ну и доступ к логам, в т.числе FTP логам. Как вариант, можно было бы встретиться с админом и полазить там с ним вместе.

Насколько я вижу, хостер - eurocom.su.
Ты посмотри лучше сколько говна висит на том же ip, какой брут, там раздолье вордпрессов и проч дыр.

mex3
26.12.2012, 19:42
Я не предлагаю свою помощь, т.к. лезть в чужой сервер -- это брать ответственность на себя. С другой стороны, здесь есть свой админ, он должен выполнять свою работу. Фактически, нужен SSH логин и всё можно почистить, не обязательно рут. Ну и доступ к логам, в т.числе FTP логам.

Лезть самому в чужой сервер - всё верно, очень не всегда стоит. Однако здесь есть свой админ и его не слышно. А есть ли он? Почему он есть? Зачем он есть и т.п.?

ssh логин это замечательно - но что там за пользователь и какие у него права? Вероятнее всего, его будет достаточно. Но если там какие-нибудь гениальности вроде апача, запущенного под рутом - далеко не каждым ssh логином можно навести порядок ;) Поэтому я бы не стала зарекаться, что права суперпользователя точно не понадобятся, чего только люди не напридумывают. Впрочем, просила рута я больше в форме шутки - обозначая готовность запустить туда свои руки - напрямую или советами ;)

mex3
26.12.2012, 19:58
Ты посмотри лучше сколько говна висит на том же ip, какой брут, там раздолье вордпрессов и проч дыр.

Увидела сначала сайт хостера со звуковыми эффектами.
Потом сайт гармониста вовы, проигрывающий все его шедевры одновременно. Потом сайт госпиталя с 18000 клиентами в год и косой кодировкой. Дальше смотреть стало страшно :D

AngelOfGrief
26.12.2012, 20:53
Увидела сначала сайт хостера со звуковыми эффектами.


Сайт хостера - ацкая жесть. ))))

Porsche racing team
26.12.2012, 20:58
Елисей, с чем связана потеря дара речи? Пост-травматический синдром?
Веселые картинки)))) потому и молчит;)

Yarick
26.12.2012, 21:10
я не спорю, что это кривизна. Но лучше такая кривизна, чем пол года наступать на одни и те же грабли, потому что лень/не достаточно квалификации искать причину ;)

На мой вкус, по крону переписывать файл - куда более разумный костыль, чем просить всех пользователей изменять user agent ;)

Вот поэтому вам рута и не дают :-)

mex3
27.12.2012, 01:36
Вот поэтому вам рута и не дают :-)

Вообще-то я "рута просила" как раз для того, чтобы решить проблему без подпорок и костылей... ну и под "рутом" понимался скорее пользователь с достаточными для решения задачи правами, если б кто-то действительно выдал рута - я б скорее не решилась брать на себя ответственность разгребать подобный бардак из любви к прекрасному, доброму и светлому :shock:

эх, слишком буквально вы тут все всё понимаете. Или у меня шуточки слишком специфические, что потом ещё и объяснять приходится, что я не баклажан :shock:

Fred
28.12.2012, 14:12
Все конечно, хорошо, но на форум так и не зайти с андроида....это стало уже нормой - поработает пару дней и опять...может телефон сменить, в чем причина?

VVZ
29.12.2012, 08:43
А у меня и на стационарном компе ничего не изменилось :)

AngelOfGrief
29.12.2012, 16:54
А у меня и на стационарном компе ничего не изменилось :)

У меня на стационарном всё нормально. Не знаю что у вас, ничего не должно быть.

VVZ
11.01.2013, 13:33
У меня на стационарном всё нормально. Не знаю что у вас, ничего не должно быть.
На рабочем стационаре у меня тоже всё нормально, а дома нет. Но дома у меня другой Касперский установлен.

denis.gan
11.01.2013, 22:30
На рабочем стационаре у меня тоже всё нормально, а дома нет. Но дома у меня другой Касперский установлен.

И сейчас тоже есть проблемы? Нам отрапортовали, что вирус побежден.

AngelOfGrief
11.01.2013, 22:38
Только что проверил, в данный момент проблем нет!

Don
11.01.2013, 22:41
И сейчас тоже есть проблемы? Нам отрапортовали, что вирус побежден.

У меня на рабочем компе сегодня Касперский выдавал все тоже самое:mad:

AngelOfGrief
11.01.2013, 22:49
Олег, это какая-то другая проблема. Возможно, сайт попал в стоп-листы и считается раздающим вирусы, поэтому антивирус на него ругается.

Don
11.01.2013, 22:51
Олег, это какая-то другая проблема. Возможно, сайт попал в стоп-листы и считается раздающим вирусы, поэтому антивирус на него ругается.

Да я особо по этому поводу и не "парюсь":), просто ставлю галочку "разрешить" и до следующего перезапкска больше не достает:)

YZFR1
14.01.2013, 23:18
Да всё тоже самое.
А как его удалить из этих стоп- листов?

AngelOfGrief
15.01.2013, 00:19
Да всё тоже самое.
А как его удалить из этих стоп- листов?

Письмо писать надо тем кто их ведёт.

Maximus
15.01.2013, 00:48
Письмо писать надо тем кто их ведёт.
очень много писем :)

Stepler
15.01.2013, 11:29
у меня так же виирус

Fred
15.01.2013, 23:08
Опять двадцать пять

AngelOfGrief
16.01.2013, 00:04
Опять вирусняк. ))) Может, уже с ним смириться и считать его добрым духом форума? :D

VOL
19.01.2013, 22:29
Вот, что мне пишет браузер:

Опасный сайт

Посещение этой страницы может представлять опасность. Страница была замечена в распространении вредоносного программного обеспечения.

Opera Software настоятельно не рекомендует посещать эту страницу.

VVZ
24.01.2013, 10:38
У меня всё по-старому...

RustCorso
05.03.2013, 15:58
засел на больничном......включил комп..
а тут такой ад...
не пускает ни в одну тему
неужели не решаемо это?
несолидно для клуба Порше

AlexZ
05.03.2013, 16:25
У меня касперский уже с полгода против посещений поршек.ру ((((

St.
05.03.2013, 16:31
О каких вирусах речь - воообще непонятно.
Safari - ни единой проблемы.

AngelOfGrief
05.03.2013, 17:41
засел на больничном......включил комп..
а тут такой ад...
не пускает ни в одну тему
неужели не решаемо это?

RustCorso, если у вас андроид-девайс, я писал какой workaround можно использовать чтобы обойти эту беду:

1. Открываем браузер устройства, в строке адреса вводим about:debug и нажимаем кнопку "перейти". (именно "перейти", а не поиск, который предлагает браузер!) При этом ничего не должно произойти. Это нормально, Вы включили режим отладки.
2. Нажимаем кнопку "настройки". Затем "дополнительно". (я не знаю как в русском андроиде, у меня в английском этот пункт называется "more"). Крайняя правая нижняя кнопка.
3. Из появившегося меню выбираем пункт "настройки" ("settings").
4. В появившемся меню выбираем пункт UAString (у меня он самый последний).
5. Там вместо "Android" выбираем "iPhone". :)

После этих манипуляций все посещаемые вами сайты думают, что вы на айфоне, соотв-но, вирус тоже.

У меня на Google Nexus One наш сайт открывается теперь всегда нормально.

AngelOfGrief
05.03.2013, 17:57
О каких вирусах речь - воообще непонятно.
Safari - ни единой проблемы.

Это, строго говоря, даже и не вирус. Просто кто-то, пользуясь несанкционированным доступом к серверу, время от времени меняет его конфигурацию (.htaccess) так чтобы все девайсы, идентифицирующие себя как андроид, перенаправлялись на левый сайт, распространяющий троян, который, скорее всего, будет воровать личные данные и отсылать платные SMS. Причём, троян просто скачивается на телефон, сам он не установится, если пользователь не запустит его установку принудительно.

Собственно, это достаточно примитивная схема, если любопытно, можете почитать:

http://yandex.ru/yandsearch?text=%D0%B2%D0%B8%D1%80%D1%83%D1%81+hta ccess

Safari и браузер Андроида основаны на одном и том же WebKit браузере. В данном случае заражение именно андроид-девайсов -- это воля "заводчика" трояна и простая манипуляция, приведённая выше, позволяет его обойти.

chuvips
05.03.2013, 18:23
У меня касперский уже с полгода против посещений поршек.ру ((((

Вот-вот, и у меня

RustCorso
05.03.2013, 19:28
об том и речь что это всё со стационарного компа
андроид не пользуем

Борода
05.03.2013, 20:57
У меня касперский уже с полгода против посещений поршек.ру ((((

Да-да. Я с виндусового компа уже и не пытаюсь )

St.
05.03.2013, 21:30
Кстати, на win7 с firefox тоже ни единой проблемы не возникало.

Борода
05.03.2013, 21:55
У меня Касперский блокирует наглухо. И неважно через какой браузер.

AngelOfGrief
05.03.2013, 23:29
Кстати, на win7 с firefox тоже ни единой проблемы не возникало.

А на винде и нет проблем, это некоторые антивирусы внесли сайт в блек-лист и отслеживают его просто по имени домена. У меня NOD32, молчит, ни слова. При том, что данный троян не несёт никакой опасности для компов, это мера предупредительная (я бы сказал, даже сверх предупредительная): тем же путём могут распространяться любые другие вирусы.

RustCorso, может в Касперском есть что-то вроде "добавить сайт в доверяемые" ?

ponch
06.03.2013, 16:36
Ур-р-р-а-а-а!!! На винде под Каспером наконец-то заработало!!!
Видимо, внутреннее расследование в Лабе выявило сговор инсайдеров, что привело к выводы клуба из блэклиста.
Шутка, конечно :-)))

Борода
06.03.2013, 19:48
Если это как то поможет

Maximus
07.03.2013, 02:42
Если это как то поможет

Ругаться на favicon.ico, как это по касперски! :D

AngelOfGrief
07.03.2013, 03:09
Он на домен ругается в запрошенном URL. Там и аттачмент безвредный -- картинка просто.

Fred
20.04.2013, 14:25
Кстати, спасибо админам за решение проблемы, уже пару месяцев без сбоев с планшета:thumbup:

Fred
03.06.2013, 10:22
На андроиде только с форума часто переадресует сюда http://webonlines.net/ что за хрень?

Баскин
03.06.2013, 11:38
Аналогично ???

AngelOfGrief
03.06.2013, 12:08
Да, у меня тоже появилось.

Тони
03.06.2013, 22:45
На андроиде только с форума часто переадресует сюда http://webonlines.net/ что за хрень?

+1, уже несколько дней.

Maximus
20.06.2013, 02:08
При заходе с юзерагентом андроида, редиректит

Fred
09.07.2013, 17:16
На андроиде только с форума часто переадресует сюда http://webonlines.net/ что за хрень?

Проблема не решена, почему администрация никак не реагирует?

Чайнег
09.07.2013, 19:45
При попытке зайти в Wlkommen наблюдаю вот это:
http://4put.ru/pictures/max/665/2044848.jpg

Don
09.07.2013, 22:12
А у меня в пятницу во время просмотра сайта на рабочем компьютере выскочила хрень, что за нарушение закона о детской порнографии и т.п. мне нужно заплатить штраф 1 т.р. На такой то номер телефона:D. Все бы ничего, но с тех пор Касперский рубит сайт, как содержаний вредоносную программу. Так что могу заходить на форум только с яблочных девайсов:mad:.

denis.gan
09.07.2013, 23:23
А у меня в пятницу во время просмотра сайта на рабочем компьютере выскочила хрень, что за нарушение закона о детской порнографии и т.п. мне нужно заплатить штраф 1 т.р. На такой то номер телефона:D. Все бы ничего, но с тех пор Касперский рубит сайт, как содержаний вредоносную программу. Так что могу заходить на форум только с яблочных девайсов:mad:.

Ну так заплатил бы тыщу и спал спокойно.:D

На самом деле какая-то очередная напасть. Пока форум поддерживается за копейки, будем постоянно сталкиваться с подобным.

Maximus
10.07.2013, 01:12
Ну так заплатил бы тыщу и спал спокойно.:D

На самом деле какая-то очередная напасть. Пока форум поддерживается за копейки, будем постоянно сталкиваться с подобным.

Денис, дело не в копейках. Уже писали и я и Дима что нужно хоститься в нормальных локациях, а не в России.
Ща объясню. С точки зрения всяких блеклистов сайт со скриптом отдающим вирус - это зло, не важно умышленно или в силу взлома. Сайт попадает в блеклист, затем IP, затем подсеть и тд. Для хостера с подсетью в блеке спамхауса или касперыча - это очень большие проблемы, вплоть до потери бизнеса (в случае мелких площадок). Русским просто похер.

Когда ты хостишся на любой европейской площадке, штатный админ сделает все возможное что бы исправить ситуацию + не допустить впредь. В крайнем случае за это возьмут 10-15 долларов.

То что выскакивает тут, элементрано как два пальца и может находиться (судя потому что сливают только андроид трафик) только в двух местах.
1) js код в шаблоне
2) .htaccess файл

Поскольку, не я, не Дима, в теле сайта не нашли исполняемого js кода, вариант сужается до одного - .htaccess файл.

90% что уводят ftp кейлогером из виндового клиента
Ищите шелл вообщем.Это реально технический уровень детского сада. Я не понимаю почему админ не может это починить.

denis.gan
10.07.2013, 08:18
Я не понимаю почему админ не может это починить.

Потому, что ты ошибаешься.

Maximus
10.07.2013, 15:21
Потому, что ты ошибаешься.

В чем? В дислокации кода вируса?

Lolo De Bordo
10.07.2013, 16:35
Из за моментов конф-ти, я не смогу описать полностью принцип и структуру работы:

собираем логи, что бы найти дырку, в общем все просто, по факту чистим заливаемый вирус каждый раз, они ищутся тривиально, грепом, но проблема в том, что в каком то из обычных скриптов есть "дырка", дальше хуже, веб сервер работает с те же правами, что и фтп пользователь, залив один раз, через первичную дырку эксплоит уже через него можно все менять. найти ее не получается, пока что, доступы всегда с разных IP и по ним ослеживаются до уже ранее залитых шеллов и то не всегда, в общем мониторим файловую активность, пишем в логи, сравнивая, как и что, очень ресурсоемкая работа, два человека работает уже, причем можно случайно что то сломать, типа аплоуда картинок, шаблоны, все решаемо, вопрос времени, рано или поздно найдем, что и делаем. (иголка в стоге сена)

Maximus
10.07.2013, 16:42
Lolo De Bordo
Меняется htaccess или js зловредный все время дописывается?
Почему нельзя ограничить доступ SSH/FTP по IP?
Меняют с правами рута или юзера?

Lolo De Bordo
10.07.2013, 17:04
Lolo De Bordo
Меняется htaccess или js зловредный все время дописывается?
Почему нельзя ограничить доступ SSH/FTP по IP?
Меняют с правами рута или юзера?

иногда это хтаксесс файл, в конец файла дописываются правила для мобильных устройств с редиректами на какерские сайты
иногда заливают архив в несколько десятков мегабайт и распаковывают в каталог blogs
там файлов в этом каталоге несколько тысяч
все файлы содержат в имени файла какой то ключевой запрос из поисковика

Lolo De Bordo
10.07.2013, 17:04
сам подгружаемый файл заливается в каталог инклюдов под именем очень схожим с дефолтными файлами воблы

Maximus
10.07.2013, 17:21
Короче ваш шел видимо ходит по рукам и перепродается)

иногда это хтаксесс файл, в конец файла дописываются правила для мобильных устройств с редиректами на какерские сайты
Это сливают траф по юзерагенту. Может действительно как временное решение на крон поставить перезапись htaccess на нужный раз в минуту? Дима предлагал вроде.

иногда заливают архив в несколько десятков мегабайт и распаковывают в каталог blogs
А это дорвеи заливают + клоакинг.

А что за подгужаемый файл?

Lolo De Bordo
10.07.2013, 17:33
в общем надо искать дырку и ищем, через которую заливают шел

Maximus
10.07.2013, 17:43
Почему вы не хотите ограничить доступ по сеткам ИП?

Maximus
10.07.2013, 17:57
Вы можете еще по крону опрашивать размеры или дату изменения (там где это приемлимо) файлов, и тем же кроном бекапить в случае изменения.

Почему я спрашивал от кого идет запись httacess, если она от юзера, то просто назначьте права и овнера root.

AngelOfGrief
11.07.2013, 01:54
Почему нельзя ограничить доступ SSH/FTP по IP?


Они не через SSH/FTP заливают, как я понимаю, а через дыру в PHP скрипте.

Но её можно найти. Надо посмотреть дату/время модификации заражённого htaccess файла и пошарить в http логах на этот же момент даты/времени. Там безусловно будет шел, который это сделал. Далее посмотреть на дату/время создания уже самого шела и снова поискать в логах. Это выведет на тот дырявый скрипт через который вам и загрузили этот шел. Скорее всего, это какой-то скрипт аплоада файлов (я предполагаю). Ну а уж в самом скрипте найти дыру несложно учитывая то, что он будет с параметрами... Если параметры передаются через POST, можно сделать их сохранение куда-нибудь на будущее чтобы в следующий раз найти дыру.

Если в http логах нет ничего на искомые дату/время, надо смотреть ftp логи. Но с ваших слов, грузят не через ftp. А вообще я все ftp логины на своих серверах закрыл, только SSH пользуюсь. А пароли ввожу из памяти (из головы, в смысле). ))

наомыч911
23.07.2013, 19:13
Денис,привет,подскажите,что такое?
Какую тему ни открою,выскакивает http://s020.radikal.ru/i702/1307/f1/0e111771cbca.png (http://radikal.ru/fp/81310f41214b4d6087465439d1454f70)

denis.gan
23.07.2013, 20:11
Денис,привет,подскажите,что такое?
Какую тему ни открою,выскакивает http://s020.radikal.ru/i702/1307/f1/0e111771cbca.png (http://radikal.ru/fp/81310f41214b4d6087465439d1454f70)

Ну я, вообще-то, не спициалист, но в таких случаях чищу историю в браузере.

наомыч911
23.07.2013, 21:18
Ну я, вообще-то, не спициалист, но в таких случаях чищу историю в браузере.


помогло,спасиб!

mpreshe-dollar
12.08.2013, 08:45
Модератор, что у Вас с форумом?? Касперский с ума сходит! Любое действие, любая страница и он всё блокирует....

Lolo De Bordo
02.10.2013, 17:14
Модератор, что у Вас с форумом?? Касперский с ума сходит! Любое действие, любая страница и он всё блокирует....

какая ошибка? какой вирус?

RustCorso
02.10.2013, 18:51
ДОСТУП ЗАПРЕЩЕН
Запрашиваемый веб-адрес не может быть предоставлен

Веб-адрес:

http://porschec.ru/showthread.php?t=7746

Заблокирован Веб-Антивирусом

Причина: опасный веб-адрес

Нажмите здесь, если считаете, что веб-страница заблокирована ошибочно.

Способ обнаружения: базы

AlexZ
02.10.2013, 19:05
Так больше года уже.
Я просто игнорирую предупреждения Касперского и открываю...

YZFR1
03.10.2013, 12:29
Так больше года уже.
Я просто игнорирую предупреждения Касперского и открываю...

А у меня на одном компе тоже можно проигнорировать и открывается а на другом ни в какую не хочет открывать ни одну сраницу.

Борода
12.11.2013, 10:24
одно время ничего не было, все работало (

Сайт porschec.ru
может угрожать безопасности вашего компьютера.
По нашим данным, на страницах сайта был размещён вредоносный программный код. Это могло произойти как по желанию владельцев сайта, так и без их ведома — в результате действий злоумышленников.
Более подробную информацию об угрозе или безопасную копию сайта можно посмотреть на странице с полными данными о заражении.

AngelOfGrief
12.11.2013, 12:20
Угу, яндекс предупреждение показывает. Скоро забанят. ))

okno71
12.11.2013, 19:03
А я касперского на время просмотра сайта просто вырубаю. А то достает красными табличками посреди экрана.