- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Сайты некоторых клиентов нашего хостинга 2 апреля заразились через FTP вирусом JS.Siggen.192
FTP-клиент работал с ip-адреса 50.115.122.28 (westhost.com?)
Вирус заражает файлы с расширением *.js дописывая в конец файла свое тело на JavaScript
У кого аналогичная проблема (с каких адресов шло заражение)?
Интересно какой FTP-клиент "слил" пароли (те клиенты с которыми удалось пообщаться, не могут ничего конкретного сказать, типа: пароль у web-мастера, а я ничего не знаю)?
50.115.122.28
Этот же IP видели в подобных же атаках.
может это вам поможет.
http://habrahabr.ru/company/eset/blog/141365/
Думаю Вам в раздел администрирование надо зайти
Проблема может быть и в ваших серверах, а не клиентах.
Проблема может быть и в ваших серверах, а не клиентах.
- в наших серверах, а также в их настройках проблемы нет. Заражение идет через FTP что видно и по логам FTP-сервера и по правам на модифицированные файлы клиентов (у нас файл закачаный по ftp имеет владельца отличного от того под которым работает приложение, кроме того проблема коснулась как PHP сайтов, так и сайтов использующих JSP/сервлеты). Кроме того, пострадало менее 0.5% сайтов на физически разных серверах.
- ну и в целом рассматриваю Ваше сообщение не как желание поделиться информацией и поддержать коллегу в борьбе с проблемой (которую мы собственно решили), а как ... 🙅 Собственно Интернет я уже пошерстил и знаю что и на других хостингах было заражение сайтов клиентов этим вирусом, надеюсь им как-то поможет опубликованная мной информация
---------- Добавлено 04.04.2012 в 17:15 ----------
может это вам поможет. http://habrahabr.ru/company/eset/blog/141365/
- спасибо за отклик, но, тут скорее описывается механизм заражения клиентской машины, а вот как этот эксплоит выдрал пароли у клиента? (собственно хочется порекомендовать клиентам что-то вроде: "снесите ломаный CuteFTP и поставьте бесплатный FAR", т. е. если клиент заражен и не может найти вирус, то хоть чтобы повторно сайт не заражали)
Пока подозрения на то что троян вытащил пароли у клиентов использующих FileZilla
Тоже вчера отхватил этот вирус у себя на vds. Только я совершенно не понял, откуда он взял пароль для моего фтп. В качестве фтп-клиента я использую Total Commander, но там нет сохраненных паролей - специально проверил. Атака была с адреса 50.115.122.28.
Здравствуйте
Ну вообще, пароли фтп и почты элементарно перехватываются. Для этого достаточно запустить ethereal с опциями перехвата паролей (забыл увы, давно дело было) в локальной сетки. Аналогичные функции давно реализованы и на перл и на пхп поэтому достаточно залить на уязвимый сайт такой скрипт и помониторить с его помощью. По моему такие скрипты автоматом шлют полученные логины/пароли на мыл т.н. хакера.
Проблема тут не сколько в хостерах, столько в изначальной незащищенности протоколов. Глупо ведь ожидать что никто не додумается перехватить летающий по сети пароль в открытом виде (т.е. clear text). Поэтому крайне желательно соединяться по защищенным TLS, SSL, SFTP.
Ну вообще, пароли фтп и почты элементарно перехватываются
- в данном случае механизм утраты паролей был скорее всего иным, так как некоторые из пострадавших сайтов размещены несколько лет назад и пароли им высылались также несколько лет назад.
- скорее началось все с этого: У 60% пользователей установлены уязвимые версии Java и приведенной Electronn ссылки на статью в Хабре, а дальше уже троян выкрал FTP-аккаунты настроенные в FTP-клиентах
Аналогично. Вчера человеку чистил сайт от этого вируса, дописали его также с этого 50.115.122.28 по фтп.
Хостеры, блокните этот ip у себя на серверах, пусть это хоть и не надолго, но может хоть несколько сайтов ваших клиентов спасёте. :)
50.115.122.28 по фтп
- я им написал абузу, но ответа не получил