-
Junior Member
- Вес репутации
- 64
Осторожно вирусы наступают, www.53server.com - хакерский плацдарм!
На этой недели случился, если так можно сказать по-русски, ажиотаж по поводу Трояна Ogusteo (так его назвали авторы, по классификации AVPэто Trojan-Dropper.Win32.Agent.ays). На свой почтовый ящик [email protected]получил массу писем с описанием проблемы загрузки фреймов на главные страницы сайтов даже после излечения системы.
На самом деле не так страшен черт как его малюют, есть более серьезная проблема связанная с массовым распространением вирусов с хакерского “плацдарма” www.53server.com , который просто кишит нечистью.
Внимание админы (сайтов, серверов) если Вас даже после удаления вируса ogysteoи др. не перестают внедряться фреймы в главные страницы сайтов, срочно меняйте пароли на доступ через FTP к корневым каталогам, меняйте пароли ко всем FTP папкам, к почтовым ящикам - системным, если сервер не
Ваш и Вы покупаете место под сайты у хостинг компании на подобие valuehost то меняйте пароль на доступ к Вашей учетной записи у valuehost это называется
Мой кабинет....
Ogusteo это Всего лишь одна копия вируса который Вы подхватили, скорее всего это меньшее зло по сравнению с тем что может сидеть у Вас в системе....
С фреймов, которые ведут на сайт www.53server.com постоянно качаются разные копии вирусов, в зависимости от встроенных фреймов - это
что-то вроде репозитория с вирусами....
Я пересмотрел свои логи Apache (Статистика доступа через FTP) и нашел следующее:
...........
Nov 26 21:49:17 v52 pure-ftpd: ([email protected]) [DEBUG] Command [user] [ubuntu]
Nov 26 21:49:17 v52 pure-ftpd: ([email protected]) [INFO] tvh50 is now logged in
Nov 26 21:49:17 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []
Nov 26 21:49:17 v52 pure-ftpd (ubuntu @72.237.17.36) [DEBUG] Command
[list] [hive/]
Nov 26 21:49:18 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []
Nov 26 21:49:18 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command
[list] [hive/cgi/]
Nov 26 21:49:18 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []
Nov 26 21:49:19 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command
[list] [hive/cgi-bin/]
Nov 26 21:49:19 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []
Nov 26 21:49:19 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command
[list] [hive/flash/]
Nov 26 21:49:19 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []
Nov 26 21:49:20 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command
[list] [hive/images/]
Nov 26 21:49:20 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []
Nov 26 21:49:20 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command
[list] [hive/incs/]
Nov 26 21:49:20 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [type] [I]
Nov 26 21:49:21 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []
Nov 26 21:49:21 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [retr] [htdocs/index.php]
Nov 26 21:49:21 v52 pure-ftpd: (ubuntu @72.237.17.36) [NOTICE] /pub/home/ ubuntu /hive/index.php downloaded (7263 bytes, 202375.84KB/sec)
Nov 26 21:49:21 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []
Nov 26 21:49:22 v52 pure-ftpd: ([email protected]) [DEBUG] Command [stor] [hive/index.php]
Nov 26 21:49:22 v52 pure-ftpd: (ubuntu @72.237.17.36) [NOTICE] /pub/home/ubuntu/hive/index.php uploaded (7396 bytes, 25.56KB/sec)
Nov 26 21:49:22 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [type] [A]
Nov 26 21:49:22 v52 pure-ftpd(ubuntu @72.237.17.36) [DEBUG] Command [pasv] []
Nov 26 21:49:22 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command
[list] [hive/photos/]
Nov 26 21:49:23 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []
Nov 26 21:49:23 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command
[list] [hive/scripts/]
Nov 26 21:49:23 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [quit] []
Nov 26 21:49:23 v52 pure-ftpd: (ubuntu @72.237.17.36) [INFO] Logout - CPU time spent: 0.013 seconds.
.........
(Некоторые неважные данные изменены в целях безопасности)
Как видно из лога с IP адреса 72.237.17.36 (что соответствует доменному имени www.53server.com ) был получен FTP доступ к корню сайта ( с первого раза без взлома и перебора пароля)
В течение 5 секунд просканированы папки сайта по алфавиту вместе с вложенными папками на предмет наличия заглавной страницы сайта Index.php после этого страница скачена, и закачена новая
с уже другим размером - большим, т.е. с фреймом..... - на это ушло 1-1.5 секунды, дальше дисконнект......
Проанализировав логи, статистику системы безопасности сайта (написано нами, довольно таки эффективная программа, взломов не было), могу с уверенностью сказать, что фреймы добавляет хакерская программа с IP адреса 72.237.17.36 , в пользу этого говорит тот факт, что фрейм добавлен за 5 секунд с признаками программного обхода каталогов сайта......
Самое жуткое это то что доступ был получен с первого раза без перебора паролей, обхода системы безопасности.....
Вывод: На какой-то из Ваших машин(или машин Ваших клиентов, если они получают доступ через FTP) стоит Trojan.Spyware который ворует пароли и шлет их к злоумышленникам на тот же самый IP
с которого фреймы грузят ТРОЯНЫ! На том конце ваши данные FTP(Login, password, IP) заносятся в базу данных и в Ваши сайты систематически внедряются фреймы с вирусными кодами с помощью хакерского ПО которое осуществляет данную функцию....
Потом новый пользователь посещает зараженный сайт, к нему качаются Троянские вирусы, часть из которых ищет FTP пароли и логины, шлет на тот же IP и цикл замыкается!
Вот такое вот извращение, так с этого IP по всей сети распространяется зараза. IP принадлежит кому-то в USA штат Пенсильвания городок Coudersport:
OrgName: TelCove, Inc.
OrgID: TELCO-12
Address: 712 N Main Street
City: Coudersport
StateProv: PA
PostalCode: 16915
Country: US
NetRange: 72.236.0.0 - 72.237.255.255
CIDR: 72.236.0.0/15
NetName: TELCOVE-KMC
NetHandle: NET-72-236-0-0-1
Parent: NET-72-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.TELCOVE.NET
NameServer: NS2.TELCOVE.NET
NameServer: NS3.TELCOVE.NET
Comment:
RegDate: 2005-04-27
Updated: 2006-04-11
RAbuseHandle: ABUSE167-ARIN
RAbuseName: Abuse
RAbusePhone: +1-814-260-2633
RAbuseEmail: *****@telcove.net
OrgAbuseHandle: ABUSE167-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-814-260-2633
OrgAbuseEmail: *****@telcove.net
OrgTechHandle: DEG3-ARIN
OrgTechName: Gietler, Danielle Elizabeth
OrgTechPhone: +1-814-260-2766
OrgTechEmail: ****************@telcove.com
OrgTechHandle: AMB37-ARIN
OrgTechName: Barentine, Angela M
OrgTechPhone: +1-814-260-2757
OrgTechEmail: ****************@telcove.com
IP Information - 72.237.17.36
Generated by www.DNSstuff.com
IP address: 72.237.17.36
Reverse DNS: [No reverse DNS entry per nameserver2.]
Reverse DNS authenticity: [Unknown]
ASN: 19094
ASN Name: TELCOVE-AS
IP range connectivity: 4
Registrar (per ASN): ARIN
Country (per IP registrar): US [United States]
Country Currency: USD [United States Dollars]
Country IP Range: 72.236.0.0 to 72.239.255.255
Country fraud profile: Normal
City (per outside source): Unknown
Country (per outside source): US [United States]
Private (internal) IP? No
IP address registrar: whois.arin.net
Known Proxy? No
Link for WHOIS: 72.237.17.36
Так чтоменяйте пароли,
сканируйте(лечите) все машины с которых получаете доступ к серверу, сайту,
надо искать Троян, ворующий пароли, может это и Ваш ogysteo(только другая версия), может
Вы уже его обнаружили и удалили после того как он успел отослать отчет на вражеский хост,
В этом случае осталось сменить пароли доступа.
C уважением администратор сайта www.csd.programming-security.ru
Сергей aka tjroot [email protected]
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Менять пароль сейчас, к сожалению, бесполезно - сайты заражаются повторно: http://forum.kaspersky.com/index.php...dpost&p=234003
-
-
Junior Member
- Вес репутации
- 64
Пароли менять даже очень полезно!
На 3х сайтах сменил пароли, плюс порекомендавал владельцам
некоторых крупных порталов, чтобы не дискредитировать не привожу названия, также сменить пароли... Эффективность данного мероприятия составила 100%, просто может Вам надо хосты как следует пролечить........
я же написал и даже лог привел, обращения через FTP с первого раза, без перебора пароля(т.е. без взломом) в течение 5 секунд ВСЕ ПРОСКАНИЛИ и сменили index.php!!!