Показано с 1 по 3 из 3.

Осторожно вирусы наступают, www.53server.com - хакерский плацдарм!

  1. #1
    Junior Member Репутация
    Регистрация
    25.11.2006
    Сообщений
    6
    Вес репутации
    64

    Осторожно вирусы наступают, www.53server.com - хакерский плацдарм!

    На этой недели случился, если так можно сказать по-русски, ажиотаж по поводу Трояна Ogusteo (так его назвали авторы, по классификации AVPэто Trojan-Dropper.Win32.Agent.ays). На свой почтовый ящик [email protected]получил массу писем с описанием проблемы загрузки фреймов на главные страницы сайтов даже после излечения системы.

    На самом деле не так страшен черт как его малюют, есть более серьезная проблема связанная с массовым распространением вирусов с хакерского “плацдарма” www.53server.com , который просто кишит нечистью.

    Внимание админы (сайтов, серверов) если Вас даже после удаления вируса ogysteoи др. не перестают внедряться фреймы в главные страницы сайтов, срочно меняйте пароли на доступ через FTP к корневым каталогам, меняйте пароли ко всем FTP папкам, к почтовым ящикам - системным, если сервер не
    Ваш и Вы покупаете место под сайты у хостинг компании на подобие valuehost то меняйте пароль на доступ к Вашей учетной записи у valuehost это называется
    Мой кабинет....

    Ogusteo это Всего лишь одна копия вируса который Вы подхватили, скорее всего это меньшее зло по сравнению с тем что может сидеть у Вас в системе....
    С фреймов, которые ведут на сайт www.53server.com постоянно качаются разные копии вирусов, в зависимости от встроенных фреймов - это
    что-то вроде репозитория с вирусами....

    Я пересмотрел свои логи Apache (Статистика доступа через FTP) и нашел следующее:
    ...........

    Nov 26 21:49:17 v52 pure-ftpd: ([email protected]) [DEBUG] Command [user] [ubuntu]

    Nov 26 21:49:17 v52 pure-ftpd: ([email protected]) [INFO] tvh50 is now logged in

    Nov 26 21:49:17 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []

    Nov 26 21:49:17 v52 pure-ftpd (ubuntu @72.237.17.36) [DEBUG] Command
    [list] [hive/]


    Nov 26 21:49:18 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []

    Nov 26 21:49:18 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command
    [list] [hive/cgi/]


    Nov 26 21:49:18 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []

    Nov 26 21:49:19 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command
    [list] [hive/cgi-bin/]


    Nov 26 21:49:19 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []

    Nov 26 21:49:19 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command
    [list] [hive/flash/]


    Nov 26 21:49:19 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []

    Nov 26 21:49:20 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command
    [list] [hive/images/]


    Nov 26 21:49:20 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []

    Nov 26 21:49:20 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command
    [list] [hive/incs/]


    Nov 26 21:49:20 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [type] [I]

    Nov 26 21:49:21 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []

    Nov 26 21:49:21 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [retr] [htdocs/index.php]

    Nov 26 21:49:21 v52 pure-ftpd: (ubuntu @72.237.17.36) [NOTICE] /pub/home/ ubuntu /hive/index.php downloaded (7263 bytes, 202375.84KB/sec)

    Nov 26 21:49:21 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []

    Nov 26 21:49:22 v52 pure-ftpd: ([email protected]) [DEBUG] Command [stor] [hive/index.php]

    Nov 26 21:49:22 v52 pure-ftpd: (ubuntu @72.237.17.36) [NOTICE] /pub/home/ubuntu/hive/index.php uploaded (7396 bytes, 25.56KB/sec)

    Nov 26 21:49:22 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [type] [A]

    Nov 26 21:49:22 v52 pure-ftpd(ubuntu @72.237.17.36) [DEBUG] Command [pasv] []

    Nov 26 21:49:22 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command
    [list] [hive/photos/]


    Nov 26 21:49:23 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [pasv] []

    Nov 26 21:49:23 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command
    [list] [hive/scripts/]


    Nov 26 21:49:23 v52 pure-ftpd: (ubuntu @72.237.17.36) [DEBUG] Command [quit] []

    Nov 26 21:49:23 v52 pure-ftpd: (ubuntu @72.237.17.36) [INFO] Logout - CPU time spent: 0.013 seconds.
    .........
    (Некоторые неважные данные изменены в целях безопасности)

    Как видно из лога с IP адреса 72.237.17.36 (что соответствует доменному имени www.53server.com ) был получен FTP доступ к корню сайта ( с первого раза без взлома и перебора пароля)
    В течение 5 секунд просканированы папки сайта по алфавиту вместе с вложенными папками на предмет наличия заглавной страницы сайта Index.php после этого страница скачена, и закачена новая
    с уже другим размером - большим, т.е. с фреймом..... - на это ушло 1-1.5 секунды, дальше дисконнект......

    Проанализировав логи, статистику системы безопасности сайта (написано нами, довольно таки эффективная программа, взломов не было), могу с уверенностью сказать, что фреймы добавляет хакерская программа с IP адреса 72.237.17.36 , в пользу этого говорит тот факт, что фрейм добавлен за 5 секунд с признаками программного обхода каталогов сайта......

    Самое жуткое это то что доступ был получен с первого раза без перебора паролей, обхода системы безопасности.....
    Вывод: На какой-то из Ваших машин(или машин Ваших клиентов, если они получают доступ через FTP) стоит Trojan.Spyware который ворует пароли и шлет их к злоумышленникам на тот же самый IP
    с которого фреймы грузят ТРОЯНЫ! На том конце ваши данные FTP(Login, password, IP) заносятся в базу данных и в Ваши сайты систематически внедряются фреймы с вирусными кодами с помощью хакерского ПО которое осуществляет данную функцию....

    Потом новый пользователь посещает зараженный сайт, к нему качаются Троянские вирусы, часть из которых ищет FTP пароли и логины, шлет на тот же IP и цикл замыкается!

    Вот такое вот извращение, так с этого IP по всей сети распространяется зараза. IP принадлежит кому-то в USA штат Пенсильвания городок Coudersport:


    OrgName: TelCove, Inc.
    OrgID: TELCO-12
    Address: 712 N Main Street
    City: Coudersport
    StateProv: PA
    PostalCode: 16915
    Country: US


    NetRange: 72.236.0.0 - 72.237.255.255
    CIDR: 72.236.0.0/15
    NetName: TELCOVE-KMC
    NetHandle: NET-72-236-0-0-1
    Parent: NET-72-0-0-0-0
    NetType: Direct Allocation
    NameServer: NS1.TELCOVE.NET
    NameServer: NS2.TELCOVE.NET
    NameServer: NS3.TELCOVE.NET
    Comment:
    RegDate: 2005-04-27
    Updated: 2006-04-11


    RAbuseHandle: ABUSE167-ARIN
    RAbuseName: Abuse
    RAbusePhone: +1-814-260-2633
    RAbuseEmail:
    *****@telcove.net

    OrgAbuseHandle: ABUSE167-ARIN
    OrgAbuseName: Abuse
    OrgAbusePhone: +1-814-260-2633
    OrgAbuseEmail:
    *****@telcove.net

    OrgTechHandle: DEG3-ARIN
    OrgTechName: Gietler, Danielle Elizabeth
    OrgTechPhone: +1-814-260-2766
    OrgTechEmail:
    ****************@telcove.com

    OrgTechHandle: AMB37-ARIN
    OrgTechName: Barentine, Angela M
    OrgTechPhone: +1-814-260-2757
    OrgTechEmail:
    ****************@telcove.com


    IP Information - 72.237.17.36
    Generated by
    www.DNSstuff.com



    IP address: 72.237.17.36
    Reverse DNS: [No reverse DNS entry per nameserver2.]
    Reverse DNS authenticity: [Unknown]
    ASN: 19094
    ASN Name: TELCOVE-AS
    IP range connectivity: 4
    Registrar (per ASN): ARIN
    Country (per IP registrar): US [United States]
    Country Currency: USD [United States Dollars]
    Country IP Range: 72.236.0.0 to 72.239.255.255
    Country fraud profile: Normal
    City (per outside source): Unknown
    Country (per outside source): US [United States]
    Private (internal) IP? No
    IP address registrar: whois.arin.net
    Known Proxy? No
    Link for WHOIS: 72.237.17.36


    Так чтоменяйте пароли,
    сканируйте(лечите) все машины с которых получаете доступ к серверу, сайту,
    надо искать Троян, ворующий пароли, может это и Ваш ogysteo(только другая версия), может
    Вы уже его обнаружили и удалили после того как он успел отослать отчет на вражеский хост,
    В этом случае осталось сменить пароли доступа.

    C уважением администратор сайта www.csd.programming-security.ru
    Сергей aka tjroot [email protected]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Менять пароль сейчас, к сожалению, бесполезно - сайты заражаются повторно: http://forum.kaspersky.com/index.php...dpost&p=234003

  4. #3
    Junior Member Репутация
    Регистрация
    25.11.2006
    Сообщений
    6
    Вес репутации
    64
    Пароли менять даже очень полезно!
    На 3х сайтах сменил пароли, плюс порекомендавал владельцам
    некоторых крупных порталов, чтобы не дискредитировать не привожу названия, также сменить пароли... Эффективность данного мероприятия составила 100%, просто может Вам надо хосты как следует пролечить........
    я же написал и даже лог привел, обращения через FTP с первого раза, без перебора пароля(т.е. без взломом) в течение 5 секунд ВСЕ ПРОСКАНИЛИ и сменили index.php!!!

Похожие темы

  1. Россия: Бесплатные антивирусы наступают
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 6
    Последнее сообщение: 18.10.2010, 23:09
  2. осторожно вирусы
    От E6o3aBpuk в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 31.10.2008, 14:45
  3. Поддельные антивирусы наступают
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 25.07.2008, 16:20
  4. Плацдарм для сетевой войны
    От HATTIFNATTOR в разделе Linux
    Ответов: 0
    Последнее сообщение: 04.09.2005, 17:52

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01638 seconds with 17 queries