Посмотрел свои два сайта на джумле, один на мамбо - на всех в конце код вида [code]<!-- 1179142442 --> [/code]
И дальше ничего нет.
Printable View
Посмотрел свои два сайта на джумле, один на мамбо - на всех в конце код вида [code]<!-- 1179142442 --> [/code]
И дальше ничего нет.
[QUOTE=anton_dr;109616]Ломанули не ее.[/QUOTE]
А что тогда? :?
1. [QUOTE]Я отписал в саппорт Валуехост[/QUOTE] [url]http://antimalware.ru/index.phtml?part=news1&newsid=120&arc=0[/url]
2. [url]http://www.viruslist.com/ru/weblog[/url] -
[QUOTE]В последнее время участились случаи взлома веб-серверов и размещения вредоносных скриптов на главных страницах сайтов. Внедряемый скрипт — Trojan-Downloader.JS.Psyme — использует старые уязвимости в Microsoft Internet Explorer для загрузки на машину посетителя взломанного сайта троянца-шпиона. В ссылке на вредоносный код фигурирует имя файла скрипта sp.php.
Как происходят подобные заражения? Три варианта:
«Живое» хакерское вторжение.
Большое количество однотипных случаев сводит вероятность данного сценария к минимуму.
Массивная автоматическая эксплуатация сервисов веб-серверов.
В случае с доступными мне для анализа зараженными серверами, скрипты загружались в директории веб-сервисов по протоколу FTP, причем с использованием уже существующего в системе логина.
Это означает, что хакер (кем или чем бы он ни был) имел доступ к учётным записям и паролям сервера — по крайней мере, некоторым. Быть может, хешированный при помощи не вполне актуального на сегодняшний день криптоалгоритма MD5 файл с паролями «вытаскивали» через дыру в каком-нибудь из веб-сервисов?
Однако и этот сценарий маловероятен — ввиду того, что модификация серверов производилась абсолютно «чисто»: в логах не зафиксированы ни предварительные попытки логина, ни какие-либо подозрительные манипуляции с сервисами — ничего, кроме легального входа на FTP.
Что же остается? Если отбросить более чем сомнительную идею о сниффинге, то...
Воровство паролей с машин конечных пользователей FTP веб-сервера.
Речь идет о вероятном троянце, который, будучи запущен на Windows-машине администратора сайта с сохраненными на ней данными для доступа к FTP (например, в Total Commander), воровал бы эти данные.
Количество доводов в пользу этого сценария увеличивается, если поразмыслить, почему заражаются именно те сервера, которые заражаются, не будучи связанными друг с другом никакой очевидной логикой. Ведь воруя пароли с машины пользователя, программа забирает их вместе с IP-адресом целевой машины.
Причем, эти пароли даже не обязательно куда-то отсылать — сам троянец может «на месте» инициировать FTP-сессию с использованием найденных реквизитов и загрузить на сервер вредоносные скрипты — при наличии у FTP-аккаунта достаточных на то привилегий.
По моей оценке, сейчас мы практически наверняка имеем дело со сценарием №3, в связи с чем противодействие «эпидемии взломов» сводится к стандартным антивирусным рекомендациям:
обязательно устанавливать на компьютеры администраторов сайтов все актуальные «заплатки» от Microsoft;
регулярно обновлять базы антивируса на таких компьютерах;
и снабдить их нормальным межсетевым экраном.
Плюс набившие оскомину предосторожности: не запускать незнакомые файлы или выключать по возможности автозагрузку ActiveX в браузере.
Очевидно и частное решение: избегать хранения паролей доступа в FTP-клиентах (и не только в них), но кто в наши дни сможет похвастаться достаточной для этого памятью?[/QUOTE]
Копирайт -Алиса Шевченко
[QUOTE]Как сотрудник техподдержки в Зеноне, могу дополнить статью еще парой фактов.
Заходят именно под логином-паролем пользователя на его фтп аккаунт. Судя по фтп - логам, вирус получает листинг файлов на глубину до трех директорий. Скачивает файлы index*.* и через мгновение закачивает файлы обратно.В некоторых случаях изменениям также подвергались файлы main*.* и login*.*
Вирус дописывает строчку iframe либо после тега body, либо после /html. Если файл был, скажем php и тегов не содержал даже никаких, то вирус просто дописывает фрейм в конец файла, после ?> и соответственно в большинстве случаев это срабатывает.
В последнее время вместо фрейма вирус прописывает трехетажный кусок яваскрипта, в теле которого зашифровано что-то, предположительно тоже фрейм.
Я, к своему стыду, тоже словил на работе этот вирус, открыв один из зараженных клиентских сайтов. У меня в тоталкомандере были прописаны несколько фтп-аккаунтов для моих сайтов и проектов. Через пару дней на них тоже появились вредоносные фреймы :(
Пароли поменял и больше не сохранял. С тех пор проблем не имею.. Но зараженные сайты попадаются все чаще и чаще, начинаю подумывать о смене первичного браузера ИЕ.. Потому что не знаю, какие еще заплатки нужно ставить, вроде все критические стоят, а ИЕ регулярно падает на некоторых сайтах и антивирус (увы, не касперский) ругается на заблокированные троянцы в системной папке.[/QUOTE]
Еще комменты.
Ну это понятно, что у них вири, ведь тот сайт, на который я зашёл имнно у них хостится.. но мой таки совсем не на валуе, и появился этот код, после того, как я отписал в саппорт Валуя.. совпадение?