Комментарии 16
было уже у 5 клиентов
пароли к фтп воровались из Тотал Командера
простенькое решение… старый оставляем, пароли в нем сносим или забиваем левые, ставим новый тотал в другую папку не в Program Files обзываем папку по другому
пока оно срабатывало
пароли к фтп воровались из Тотал Командера
простенькое решение… старый оставляем, пароли в нем сносим или забиваем левые, ставим новый тотал в другую папку не в Program Files обзываем папку по другому
пока оно срабатывало
+1
Ничего себе «новый» бич :)
0
Слишком много — раньше такой волны не было.
0
Было, на самом деле, особенно часто я замечал в ВордПрессе версии 2.5.
У меня на работе коллега даже сделал скриптик на РНР, которые пробегает по всем директориям сайта и проверяет файы на наличие внедренных «iframe»ов. Затем, если позволяют права и найденные «iframe»ы именно те, которые сеют зло, он удалял весь этот мусор (на случай если прав нет писался вариант скрипта, который соединяется с сайтом по ФТП и дальше от имени владельца делает дела. К сожелению это решение до конца не было доведено).
У меня на работе коллега даже сделал скриптик на РНР, которые пробегает по всем директориям сайта и проверяет файы на наличие внедренных «iframe»ов. Затем, если позволяют права и найденные «iframe»ы именно те, которые сеют зло, он удалял весь этот мусор (на случай если прав нет писался вариант скрипта, который соединяется с сайтом по ФТП и дальше от имени владельца делает дела. К сожелению это решение до конца не было доведено).
+2
да было несколько таких случаев. Ручками все зачищал.
0
от себя добавлю что после 2х, 3х дней сайт может получить целую кучу банов, вашу почту перестанет принимать mail.ru, rambler, yandex и тп…
как-то пришлось писать в суппорт.
как-то пришлось писать в суппорт.
0
хуже ситуация, которую мне также в последние времена всё чаще докладывают: браузер показывает, что сайт заражен, а на самом деле заражен сайт–сосед на хостинге. таким образом, как зараженный регистрируется айпи–адрес, с которого выходят сайты, и зараженные и нет.
в таких случаях, после проверки своего сайта мадо обращаться к хостеру и просить о переезде на другой айпи–адрес. какой будет ответ, мне предположить трудно: зависит от суппорта. могут сказать «без проблем», а могут наверно даже сказать «айпи только с выделенным сервером будет» – расскажите, кстати, у кого опыт есть.
в германии с переездом на другой айпи проблем нет (пришлось проверить самому), и купить свой личный айпи–адрес на любой вид хостинга стоит дополнительно 1–1,5 евро в месяц.
в таких случаях, после проверки своего сайта мадо обращаться к хостеру и просить о переезде на другой айпи–адрес. какой будет ответ, мне предположить трудно: зависит от суппорта. могут сказать «без проблем», а могут наверно даже сказать «айпи только с выделенным сервером будет» – расскажите, кстати, у кого опыт есть.
в германии с переездом на другой айпи проблем нет (пришлось проверить самому), и купить свой личный айпи–адрес на любой вид хостинга стоит дополнительно 1–1,5 евро в месяц.
0
Проблема решается на хостинге, ограничением доступа к FTP только с определенных IP адресов, а владелец сайта из панели управления задает с каких IP или подсетей он хочет заходить по FTP, ну а для тех кому это не удобно есть отдельная галочка «открыть доступ со всех IP».
+1
у меня как раз из-за такой фигни два сайта пару дней назад легло. крутились сайты на одном хостинге, а я дурак туда поставил нуленную ipb 3 beta посмотреть что да как. а так как сайты на одном хостинге то легли оба. гугл заблокировал достаточно быстро: через 2 дня после заражения. Но на мою радость, после того как все почистил, разблокировали в течение суток после запроса (может и раньше, но я спал, а потом работал, поэтому хз). никогда теперь нули ставить не буду на рабочие сайты :-D
0
Столкнулись с такой проблемой: тоже самое у клиентов спионерили пароли от фтп, заразили сайт. Мы все почистили, пароль поменяли. НО! Произошла какая-то мистика. По прямой ссылке на сайт заходит нормально. Если же заходить по запросу из гугла идет редирект на левые сайты. .htaccess чистый. Было ли у кого-то подобное и как с этим бороться?
PS. Когда-то давно эта тема поднималась, но сейчас никак не могу найти ответ.
PS. Когда-то давно эта тема поднималась, но сейчас никак не могу найти ответ.
0
Рерайты записаны в .htaccess
0
У меня было. Смотри .htaccess не в корневой папке сайта (htdocs например), а в папке выше — троян его прописывает туда, а апач читает все .htaccess на пути к сайту по иерархии, не важно, в DocumentRoot или нет они лежат.
0
можно прописать в .htaccess что-нибудь типа
php_value auto_append_file /path/to/script.php
и тогда в конце вызова каждого скрипта будет вызываться и этот файл, который помимо прочего может и вставлять iframe.
насчет проходиться скриптом и проверять на iframe-код файлики — никто не мешает закриптовать html-код и иметь в файлах что-то типа
echo base64_decode ('PGlmcmFtZSBzcmM9Im9sb2xvIiB3aWR0aD0iMTAwIiBoZWlnaHQ9IjIwMCIgc3R5bGU9ImRpc3BsYXk6bm9uZTsiPjwvaWZyYW1lPg== ');
для движков очень интересен такой вариант — модифицируем один главный файл обработчик, который инклудится постоянно и показываем ифрейм-код только уникальным посетителям (фильтрация хотя бы по куке) — то есть зашел, подхватил ифрейм, а в след раз уже ничего не увидишь. существенно можно повысить незаметность ифрейма.
ну и еще стоит отметить, что мало кто использует в открытом виде ифрейм-теги, обфускация дело нехитрое.
php_value auto_append_file /path/to/script.php
и тогда в конце вызова каждого скрипта будет вызываться и этот файл, который помимо прочего может и вставлять iframe.
насчет проходиться скриптом и проверять на iframe-код файлики — никто не мешает закриптовать html-код и иметь в файлах что-то типа
echo base64_decode ('PGlmcmFtZSBzcmM9Im9sb2xvIiB3aWR0aD0iMTAwIiBoZWlnaHQ9IjIwMCIgc3R5bGU9ImRpc3BsYXk6bm9uZTsiPjwvaWZyYW1lPg== ');
для движков очень интересен такой вариант — модифицируем один главный файл обработчик, который инклудится постоянно и показываем ифрейм-код только уникальным посетителям (фильтрация хотя бы по куке) — то есть зашел, подхватил ифрейм, а в след раз уже ничего не увидишь. существенно можно повысить незаметность ифрейма.
ну и еще стоит отметить, что мало кто использует в открытом виде ифрейм-теги, обфускация дело нехитрое.
0
Главный способ заражения сайтов — это увод у администратора сайта фтп паролей от сайта.
Следовательно чтобы не заражались сайты необходимо прежде всего, минимизировать заражения персональных win32 тазиков.
Соответственно и рецепт для этого:
— не сидеть на неапгрейдящейся windows
— иметь маломальски продвинутый файрвол (не тот что встроен в windows)
— иметь маломальски продвинутый антивирус с постоянным апдейтом баз (и тут тот же касперский далеко не худший вариант)
— пользоваться свежим firefox + noscript + addblockplus
— и главное: НЕ ЗАПУСКАТЬ ВСЕ В ПОДРЯД и скаченное из сомнительных источников, НЕ КЛИКАТЬ по всем ссылкам из спама
Следовательно чтобы не заражались сайты необходимо прежде всего, минимизировать заражения персональных win32 тазиков.
Соответственно и рецепт для этого:
— не сидеть на неапгрейдящейся windows
— иметь маломальски продвинутый файрвол (не тот что встроен в windows)
— иметь маломальски продвинутый антивирус с постоянным апдейтом баз (и тут тот же касперский далеко не худший вариант)
— пользоваться свежим firefox + noscript + addblockplus
— и главное: НЕ ЗАПУСКАТЬ ВСЕ В ПОДРЯД и скаченное из сомнительных источников, НЕ КЛИКАТЬ по всем ссылкам из спама
+3
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Заражённые сайты — бич Рунета