[hronny]

Общался с рерайтером, и вдруг он попросил проанализировать его сайт. На сайте гугль обнаружил вредоносный код и вывесил заглушку-предупреждалку.

Код нашелся почти сразу: ctrl-U и в самом конце страницы вижу следующее:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

(выложил только кусок кода. Админы, поправьте, если что)

Полез в инет и наткнулся на тему серча: http://forum.searchengines.ru/showthread.php?t=649491

Не все знают про серч, не все читают серч регулярно. Странно, что данная тема не появилась на нашем форуме.

Как излечиться:
во всех index.* footer.* header.* *.htm *html в конце удалить разные левые зашифрованные айфреймы и скрипты.

Или сделать полный бекап из своих архивов или из архивов хостера. Согласно серчу, атака и взлом начались 7 августа, соответственно и бекап нужно делать.

Кстати, я во время анализа лазил по зараженному сайту, потом вычитал на серче, что вирус с сайта тырит пароли из тотала и файлзилы. В срочном порядке сменил пароли и не зря, судя по логам, ко мне пытались долбиться с левого айпи (уже засвеченного на серче).

Коллеги, проверяйте свои сайты и фтп, меняйте пароли. Если кто-то уже успешно удалил последствия взлома, отписывайтесь тут. Может, у кого есть какие соображения относительно цели данной атаки?

[viotur]

Проверил свои, меня вроде пронесло. Файлзиллу надо обновить до последней версии, там дыру говорят закрыли уже. Тоталом не пользуюсь - дырка на дырке. При работе с файлзилой не сохраняйте пароль в ней, ставьте только для этой сессии.

[ArhStrAngeR]

hronny,попробуй подключить свои сайты к сайтгуарду http://webmasters.ru/forum/f6/sitegu...a-saite-16757/ и узнаешь об проведенных изменении на сайтах

[hronny]

Друг сейчас написал. У него 25 сателитов заразило. Часть из них - чистый хтмл-css по несколько сотен страниц. Мне его жаль.

Написал в ТП своему хостеру, они не в курсе ситуации вообще. Rusonyx, исправляйтесь побыстрее:)

И да, предположение о возможной атаке на FB мне нравится, но не таким-же способом! Сколько продающих популярных сайтов могло попасть под эту атаку и потерять кучу денег - страшно представить...

[gertc]

Тотал тоже не пользую, отстой как по мне, ну и сайтгуард тоже использую уже около года, сервис норма

[MacLeo]

Проверил свои сайты - чисто.
Как код попадает на сайты?

[bumer]

может надо юзать антивирусы нормальные и тогда не будет никак проблем. Я когда захожу на сайт мнне он сразу пишет, нашелся вредоносный код js например. И сайт блокируется.

[hronny]

MacLeo, Бот заходит на фтп (логин-пароль скомуниздили ранее), и тупо прописывает код во все места, куда можно прописать. Т.к. доступ к фтп не гостевой, выставленные права на доступ к файлам не помогают.

Только что каспер закончил работу. В кеше браузера удалил Trojan-Downloader.Win32.Delf.awpj. Не знаю, оно это или не оно, но написал в ТП каспера. Пока молчат.

Кто-либо может раскодировать вышеприведенный код? Будет интересно посмотреть на кишочки кода.

bumer, а если антивир еще не знает о существовании именно этого вредоносного кода? Не думаю, что у всех поавльно стоят ломаные касперы с годовалыми базами. Раз есть массовая атака, антивири код не распознали. "Любую защиту можно обойти", как кто-то сказал однажды. Вот например мой каспер, насквозь лицензионный, удалил с жесткого диска троян. Проактивная защита не сработала, значит метод проникновения трояна на компьютер касперу незнаком. Логично?

Могу выложить под хайд сайт, который я анализировал. На Ваш страх и риск. Или в пм прислать:)

[viotur]

Как код попадает на сайты?

Воруют пароли доступа фтп.... И делай с сайтом что хочешь, имея пароль.

[TBicTep]

Ну почему же все наговаривают на старый добрый Total Commander. Ладно если б в нем была какая то супер-пупер уязвимость, а так все дело в том что пароли хранятся в отдельном файле. И если у вас все же утащили трояном или еще чем то это файл винить нужно себя а не программу.