Hosting
Comments 33
+1
это не первый хостинг который этому подвергся, мы не давно это пережили, заражены были все index.* файлы помимо iframe еще вшивались в шапки.

одним из источников были kidoseft.ru/tds/go.php
0
А каким образом они получили доступ? Вы смогли что-нибудь «откопать»? Хостер что-нибудь вразумительное сказал?
+2
И, к сожалению, хостинги не всегда смогут помочь. Обычно доступ получается по ФТП. ФТП пароль получается или брут-форсом, или, что чаще, с помощью трояна. Троян сливает пароли, сохранённые в ФТП клиентах в свой центр, оттуда по ФТП заливается скрипт, который уже запускается с домена жертвы и портит файлы.
И потом на том же сервере (с доменом жертвы) чаще всего можно получить список юзеров и брутфорсом получить фтп пароль, конектясь к localhost.
Да и плюс возникает вероятность заразить трояном сотрудников техподдержки и посетителей протрояненого сайта.
У хостеров, которые с этим сталкиваются не в первый раз, наверняка есть скрипты, которые помогут очистить свои сайты от вредоносных скриптов. Ну и пароли надо на ФТП поменять + на вирусы провериться. И стараться пароли не хранить в клиенте.
0
Ну как я и говорил про фтп. только вот наши не сталкивались с таким и скриптов не было. Теперь будет =) а учитывая что это не еденичные случае то думаю скоро они будут везде.

причем заметил это тенденция все чаще распространяется с ростом популярности рекламы, и это самый лучший способ расмещать свои коды баннеров для увеличения заработков =)
0
Если б это только рекламой ограничивалось :( А так, стать частью ботнета как-то не очень хочется.
0
если заразить хостеров, а потом пользователей (как правило через IE) то масса зомбиков такие чудеса творит сможет =) покруче чем с вконтактом. теперь мы стали умнее оставили 1 акк на всех для ФТП, и просто тот кто полседний юзал фтп меняет пароль =)
UFO landed and left these words here
0
были взломаны ФТП аккаунты, поменяли всем пароли а потом мы сами вручную зачищали все файлы. Причем как-то все было криво организовано поскольку вшивались и ява и ифреймы, и даже куски кода хедеров из WP.
UFO landed and left these words here
0
Я бы согласился если бы это был не мак. Под маки я как-то про такие вирусы не слышал, так же как и под никсы.
-1
Ерунда всё это. Никаких изменений в core без root пароля нельзя.
UFO landed and left these words here
0
Запросите у поддержки ip, с которого были залиты на ftp зараженные файлы. Очень вероятно что ip этот ваш. Если так, то зная время и ip можно определить компьютер на котором сидит вирус, использующий ваши сайты для распространения.

Ситуация в общем-то не новая. Одно смущает: про подобные вирусы для Mac OS X мне до сих пор слышать не доводилось.

Сначала надо вычищать вирус со своих компьютеров. Иначе чистка кода сайта ничего не даст, инжекты появятся снова.
+1
Почему?

И кстати, если пароль подобрали, то у хостера должны быть полные логи сообщений об этом. Техподдержка может пролить свет.
-1
Я понимаю, в это трудно поверить, но на Mac правда нет вирусов. Потому все громкие заголовки, которые вы читали, такими громкими и кажутся, хотя написаны о простейших глупостях. Вот скажите, может ли кнопка Power на вашем компе считаться вирусом? Ведь её можно нажать и комп выключится!!!
+1
Мне очень трудно испытывать убежденность, что если чего-то не было вчера, то этого по-прежнему нет и сегодня.

Несколько лет назад, скажи я кому что вирус можно подхватить открыв текстовый документ или сайт в браузере, меня бы посчитали ламером/лжецом/психом. Сейчас об этих способах распространения заразы даже бухгалтера знают.
+1
MAC OS смущает. Wardriving? А можите выложить вывод top'а?
0
Вот только сайты на двух других хостингах (самые активно используемые кстати) без изменений. Так что опять сомневаюсь…
+2
На begunok-1.ru написали абузу? Похоже, что тусовка с античата развлекается с mchost'ом.
+1
На ваших сайтах сейчас работает цепочка редитектов:

Ваши сайты -> begunok-1.ru/t1/go.php?sid=10 -> begunok-1.ru/t1/go.php?sid=8 -> begunok-1.ru/r1/ -> nicetest.ru/?rid=1483.

Описание последнего тут:
forum.antichat.ru/showthread.php?p=1364458

Цифры «id=» в конце каждого урла являются идентификаторами партнёра, который получает денежку за каждого приведенного пользователя с Ваших сайтов.

Итого: если Вы найдёте этого «rid=1483», то сможите спрасить, как он поломал Ваши сайты 8)
0
+ 1 из взломанных сайтов не обновлялся год, а второй где-то полгода.
0
а я думаю, возможна ситуация, что у некоторых хостеров есть проблемы с правами между разными юзерами этого хостинга

и ваши файлы изменили из-под другого юзера, используя какую-либо уязвимость
-1
может быть… Как раз что-то подобное было года 3 назад с валюхостом.
Only those users with full accounts are able to leave comments., please.