Осторожно вирусы наступают, www.53server.com - хакерский плацдарм!

[FONT=Arial]На этой недели случился, если так можно сказать по-русски, ажиотаж по поводу Трояна Ogusteo (так его назвали авторы, по классификации [/FONT][FONT=Arial]AVP[/FONT][FONT=Arial] [/FONT][FONT=Arial]это [/FONT][COLOR=black][FONT=Verdana]Trojan-Dropper.Win32.Agent.ays). На свой почтовый ящик [/FONT][/COLOR][COLOR=black][FONT=Verdana][EMAIL="[email protected]"][COLOR=#800080][email protected][/COLOR][/EMAIL][/FONT][/COLOR][COLOR=black][FONT=Verdana] [/FONT][/COLOR][COLOR=black][FONT=Verdana]получил массу писем с описанием проблемы загрузки фреймов на главные страницы сайтов даже после излечения системы.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana] [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]На самом деле не так страшен черт как его малюют, есть более серьезная проблема связанная с массовым распространением вирусов с хакерского “плацдарма” [/FONT][/COLOR][FONT=Arial][URL="http://www.53server.com/"][COLOR=#0000ff]www.53server.com[/COLOR][/URL] , который просто кишит нечистью.[/FONT]
[FONT=Arial] [/FONT]
[FONT=Arial]Внимание админы (сайтов, серверов) если Вас даже после удаления вируса [/FONT][FONT=Arial]ogysteo[/FONT][FONT=Arial] [/FONT][FONT=Arial]и др. не перестают внедряться фреймы в главные страницы сайтов, срочно меняйте пароли на доступ через FTP к корневым каталогам, меняйте пароли ко всем FTP папкам, к почтовым ящикам - системным, если сервер не [/FONT]
[FONT=Arial]Ваш и Вы покупаете место под сайты у хостинг компании на подобие valuehost то меняйте пароль на доступ к Вашей учетной записи у valuehost это называется[/FONT]
[FONT=Arial]Мой кабинет....[/FONT]
[FONT=Arial] [/FONT]
[FONT=Arial]Ogusteo это Всего лишь одна копия вируса который Вы подхватили, скорее всего это меньшее зло по сравнению с тем что может сидеть у Вас в системе....[/FONT]
[FONT=Arial]С фреймов, которые ведут на сайт [URL="http://www.53server.com/"][COLOR=#0000ff]www.53server.com[/COLOR][/URL] постоянно качаются разные копии вирусов, в зависимости от встроенных фреймов - это[/FONT]
[FONT=Arial]что-то вроде репозитория с вирусами.... [/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Я пересмотрел свои логи Apache (Статистика доступа через FTP) и нашел следующее:[/FONT]
[FONT=Arial]...........[/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:17 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=#0000ff][email protected][/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [user] [ubuntu][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:17 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=#0000ff][email protected][/COLOR][/EMAIL][/FONT][FONT=Arial]) [INFO] tvh50 is now logged in[/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:17 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [pasv] [][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:17 v52 pure-ftpd ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command
[list] [hive/][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:18 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [pasv] [][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:18 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command
[list] [hive/cgi/][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:18 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [pasv] [][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:19 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command
[list] [hive/cgi-bin/][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:19 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [pasv] [][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:19 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command
[list] [hive/flash/][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:19 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [pasv] [][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:20 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command
[list] [hive/images/][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:20 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [pasv] [][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:20 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command
[list] [hive/incs/][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:20 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [type] [I][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:21 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [pasv] [][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:21 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [retr] [htdocs/index.php][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:21 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [NOTICE] /pub/home/ ubuntu /hive/index.php downloaded (7263 bytes, 202375.84KB/sec)[/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:21 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [pasv] [][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:22 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=#0000ff][email protected][/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [stor] [hive/index.php][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:22 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [NOTICE] /pub/home/ubuntu/hive/index.php uploaded (7396 bytes, 25.56KB/sec)[/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:22 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [type] [A][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:22 v52 pure-ftpd:(([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [pasv] [][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:22 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command
[list] [hive/photos/][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:23 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [pasv] [][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:23 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command
[list] [hive/scripts/][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:23 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [DEBUG] Command [quit] [][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Nov 26 21:49:23 v52 pure-ftpd: ([/FONT][FONT=Arial][EMAIL="[email protected]"][COLOR=windowtext]ubuntu[/COLOR][COLOR=#0000ff] @72.237.17.36[/COLOR][/EMAIL][/FONT][FONT=Arial]) [INFO] Logout - CPU time spent: 0.013 seconds.[/FONT]
[FONT=Arial].........[/FONT]
[FONT=Times New Roman][SIZE=3](Некоторые неважные данные изменены в целях безопасности)[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Как видно из лога с IP адреса 72.237.17.36 (что соответствует доменному имени [URL="http://www.53server.com/"][COLOR=#0000ff]www.53server.com[/COLOR][/URL] ) был получен FTP доступ к корню сайта ( с первого раза без взлома и перебора пароля)[/FONT]
[FONT=Arial]В течение 5 секунд просканированы папки сайта по алфавиту вместе с вложенными папками на предмет наличия заглавной страницы сайта Index.php после этого страница скачена, и закачена новая [/FONT]
[FONT=Arial]с уже другим размером - большим, т.е. с фреймом..... - на это ушло 1-1.5 секунды, дальше дисконнект......[/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Проанализировав логи, статистику системы безопасности сайта (написано нами, довольно таки эффективная программа, взломов не было), могу с уверенностью сказать, что фреймы добавляет хакерская программа с IP адреса 72.237.17.36 , в пользу этого говорит тот факт, что фрейм добавлен за 5 секунд с признаками программного обхода каталогов сайта......[/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Самое жуткое это то что доступ был получен с первого раза без перебора паролей, обхода системы безопасности.....[/FONT]
[FONT=Arial]Вывод: На какой-то из Ваших машин(или машин Ваших клиентов, если они получают доступ через FTP) стоит Trojan.Spyware который ворует пароли и шлет их к злоумышленникам на тот же самый IP [/FONT]
[FONT=Arial]с которого фреймы грузят ТРОЯНЫ! На том конце ваши данные FTP(Login, password, IP) заносятся в базу данных и в Ваши сайты систематически внедряются фреймы с вирусными кодами с помощью хакерского ПО которое осуществляет данную функцию....[/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Потом новый пользователь посещает зараженный сайт, к нему качаются Троянские вирусы, часть из которых ищет FTP пароли и логины, шлет на тот же IP и цикл замыкается![/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial]Вот такое вот извращение, так с этого IP по всей сети распространяется зараза. IP принадлежит кому-то в USA штат Пенсильвания городок Coudersport:[/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Arial] [/FONT][SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[COLOR=blue][FONT=Arial]OrgName: TelCove, Inc.
OrgID: TELCO-12
Address: 712 N Main Street
City: Coudersport
StateProv: PA
PostalCode: 16915
Country: US[/FONT][/COLOR]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[COLOR=blue][FONT=Arial]NetRange: 72.236.0.0 - 72.237.255.255
CIDR: 72.236.0.0/15
NetName: TELCOVE-KMC
NetHandle: NET-72-236-0-0-1
Parent: NET-72-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.TELCOVE.NET
NameServer: NS2.TELCOVE.NET
NameServer: NS3.TELCOVE.NET
Comment:
RegDate: 2005-04-27
Updated: 2006-04-11[/FONT][/COLOR]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[COLOR=blue][FONT=Arial]RAbuseHandle: ABUSE167-ARIN
RAbuseName: Abuse
RAbusePhone: +1-814-260-2633
RAbuseEmail: [/FONT][/COLOR][COLOR=blue][FONT=Arial][EMAIL="*****@telcove.net"][COLOR=#0000ff]*****@telcove.net[/COLOR][/EMAIL][/FONT][/COLOR][COLOR=blue][FONT=Arial] [/FONT][/COLOR]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[COLOR=blue][FONT=Arial]OrgAbuseHandle: ABUSE167-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-814-260-2633
OrgAbuseEmail: [/FONT][/COLOR][COLOR=blue][FONT=Arial][EMAIL="*****@telcove.net"][COLOR=#0000ff]*****@telcove.net[/COLOR][/EMAIL][/FONT][/COLOR]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[COLOR=blue][FONT=Arial]OrgTechHandle: DEG3-ARIN
OrgTechName: Gietler, Danielle Elizabeth
OrgTechPhone: +1-814-260-2766
OrgTechEmail: [/FONT][/COLOR][COLOR=blue][FONT=Arial][EMAIL="****************@telcove.com"][COLOR=#0000ff]****************@telcove.com[/COLOR][/EMAIL][/FONT][/COLOR]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[COLOR=blue][FONT=Arial]OrgTechHandle: AMB37-ARIN
OrgTechName: Barentine, Angela M
OrgTechPhone: +1-814-260-2757
OrgTechEmail: [/FONT][/COLOR][COLOR=blue][FONT=Arial][EMAIL="****************@telcove.com"][COLOR=#0000ff]****************@telcove.com[/COLOR][/EMAIL][/FONT][/COLOR]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[COLOR=blue][FONT=Arial]IP Information - 72.237.17.36
Generated by [/FONT][/COLOR][COLOR=blue][FONT=Arial][URL="http://www.dnsstuff.com/"][COLOR=#800080]www.DNSstuff.com[/COLOR][/URL][/FONT][/COLOR]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[COLOR=blue][FONT=Arial]IP address: 72.237.17.36
Reverse DNS: [No reverse DNS entry per nameserver2.]
Reverse DNS authenticity: [Unknown]
ASN: 19094
ASN Name: TELCOVE-AS
IP range connectivity: 4
Registrar (per ASN): ARIN
Country (per IP registrar): US [United States]
Country Currency: USD [United States Dollars]
Country IP Range: 72.236.0.0 to 72.239.255.255
Country fraud profile: Normal
City (per outside source): Unknown
Country (per outside source): US [United States]
Private (internal) IP? No
IP address registrar: whois.arin.net
Known Proxy? No
Link for WHOIS: 72.237.17.36[/FONT][/COLOR]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[COLOR=black][FONT=Arial]Так что[/FONT][/COLOR][COLOR=blue][FONT=Arial] [/FONT][/COLOR][COLOR=black][FONT=Arial]меняйте пароли,[/FONT][/COLOR]
[FONT=Arial] сканируйте(лечите) все машины с которых получаете доступ к серверу, сайту, [/FONT]
[FONT=Arial]надо искать Троян, ворующий пароли, может это и Ваш ogysteo(только другая версия), может [/FONT]
[FONT=Arial]Вы уже его обнаружили и удалили после того как он успел отослать отчет на вражеский хост, [/FONT]
[FONT=Arial]В этом случае осталось сменить пароли доступа.[/FONT]

[SIZE=3][FONT=Times New Roman]C уважением администратор сайта [URL="http://www.csd.programming-security.ru/"][COLOR=#800080]www.csd.programming-security.ru[/COLOR][/URL][/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Сергей aka tjroot [EMAIL="[email protected]"][COLOR=#800080][email protected][/COLOR][/EMAIL][/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3] [/SIZE][/FONT]

Менять пароль сейчас, к сожалению, бесполезно - сайты заражаются повторно: [url]http://forum.kaspersky.com/index.php?showtopic=26230&view=findpost&p=234003[/url]

Пароли менять даже очень полезно!
На 3х сайтах сменил пароли, плюс порекомендавал владельцам
некоторых крупных порталов, чтобы не дискредитировать не привожу названия, также сменить пароли... Эффективность данного мероприятия составила 100%, просто может Вам надо хосты как следует пролечить........
я же написал и даже лог привел, обращения через FTP с первого раза, без перебора пароля(т.е. без взломом) в течение 5 секунд ВСЕ ПРОСКАНИЛИ и сменили index.php!!!