Вирус на ТП

[KALENDAR.RU]

Я не разбираюсь в деталях, но мне кажется, что раз вирус заносят непосредственно на хостинг, то надо пинать хостеров или поменять их.

[cd-print]

Я там уже писал свое скромное мнение о том что и как надо делать с вирусом. Вирус или лезет через банерную сеть (значит надо забить банерную сеть пусть банерообменник сам разбирается) или встраивается в тело форума. Но это возможно только если украли пароль от FTP доступа к хостеру.
Лечится лечением (или сносом и переустановкай винды) на локальном копьютере администратора ну и установкой Internet Security на локальный компьютер администратора. Далее уже с заведомо чистого компьютера меняется пароль доступа по FTP к хостеру, ну и затем код форума тупа перезаливается заново. Заодно надо попинать хостера. Может это с него пароли крадут (что супер мало вероятно). Ну тогда уже надо поменять хостера. Чудес на свете не бывает.

З.Ы. Я вообще-то туда принципиально уже не хожу. Если с вирусом не разобрались за неделю (а тут уже и месяц прошел) то кто-то что-то совсем не хочет делать.

[cd-print]

Pavel Pechatnikov, Я поставил себе D-Link DI-808HV c VPN. Пока его еще ник-то не пробил, но судя по логам пытаюся каждый день. В основеном ломятся в Виндузячии порты. Одно не удобно. Что-бы ходить в сеть на работе необходимо иметь еще один такой-же дома. А с ноутбуком вообще нереально.

[aleks-th]

Цитата:

Сообщение от cd-print

Pavel Pechatnikov, Я поставил себе D-Link DI-808HV c VPN. Пока его еще ник-то не пробил, но судя по логам пытаюся каждый день. В основеном ломятся в Виндузячии порты. Одно не удобно. Что-бы ходить в сеть на работе необходимо иметь еще один такой-же дома. А с ноутбуком вообще нереально.

D-link - не лучший вариант , конкретно этот работает хорошо но имеет массу ограничений про одно из них вы уже написали.

Из демократичных вариантов

Linksys\Cisco RV042 -имеет след VPN фичи
pptp -5 пользователей,
ipsec - 50 каналов между устройствами(либо 50 индивидуальных пользователей) - второй такой дома не обязателен
Настраивается за 15 минут неподготовленым пользователем.


Самый демократичный вариант но требует некоторых навыков ящик с 2-мя сетевушками , + заливка с Linux-ом , по надежности надежнее D-link по гибкости настроек на сколько хватит фантазии...
Из линуксов можно взять любой какой душа пожелает ..
Yatta - pptp настраивается нормально быстро и легко , все остально требует совсем специализированных навыков.
Ежли кому нужно могу выложить готовый образ собраного Gentu под 2 гиговую флешку для роутеров, который мы в своих роутерах используем как раз под эти задачи.

Коннектится можно с ноутбука с любым провайдером кроме страшного билайна который wifi-free он гад GRE- пакеты зарубает нафик..
Под Йотой и Скайлинком pptp и ipsec нормально работают.

[KALENDAR.RU]

Цитата:

Сообщение от cd-print

Я там уже писал свое скромное мнение о том что и как надо делать с вирусом. Вирус или лезет через банерную сеть (значит надо забить банерную сеть пусть банерообменник сам разбирается) или встраивается в тело форума.

Какую сеть Вы имеете ввиду? Директ? Да они установлены на тысячах сайтов - и ничего! Или Вы думаете, что Яндекс не умеет их защищать?

Цитата:

Сообщение от cd-print

Но это возможно только если украли пароль от FTP доступа к хостеру.

Для этого надо ломануть комп Михаила для начала, а это никто не будет делать. Я уверен, что ломали непосредственно ТП.

Цитата:

Сообщение от cd-print

Заодно надо попинать хостера. Может это с него пароли крадут (что супер мало вероятно).

А мне это представляется вероятней всего и логичней.

[cd-print]

Как раз комп Михаила ломануть проще всего. У меня ведь то-же форум. И тоже антивирус стоит. И тем не менее у меня этот-же вирус сидел. Последовательность проделанных операций мне помогла избавится от вируса.

Вот еще. У меня хостинг на Юниксе. Может еще в этом проблема.

Директ - это не банеро-обменник.
У Михаила там еще чего-то крутится кроме директа.

[KALENDAR.RU]

Цитата:

Сообщение от cd-print

Как раз комп Михаила ломануть проще всего.

Да, но надо ЦЕЛЕНАПРАВЛЕННО ломать его комп. То есть, под заказ, а я в этом сомневаюсь

Цитата:

Сообщение от cd-print

У меня ведь то-же форум. И тоже антивирус стоит. И тем не менее у меня этот-же вирус сидел.

Вирус сидел на форуме или на Вашем компе? То есть, Вы хотите сказать, что кто-то ломанул Ваш комп, а потом рванулся на форум?

[cd-print]

Цитата:

Сообщение от KALENDAR.RU

Да, но надо ЦЕЛЕНАПРАВЛЕННО ломать его комп. То есть, под заказ, а я в этом сомневаюсь. Вирус сидел на форуме или на Вашем компе? То есть, Вы хотите сказать, что кто-то ломанул Ваш комп, а потом рванулся на форум?

А его собственно целенаправленно никто и не ломал. Это обычный комп коих миллионы и на него попал вирус который варует пароли и отсылает их куда-то там. Далее уже дело техники.

Да вирус сидел у меня на домашнем компе и украл пароли от всех моих ФТП доступов.

[aleks-th]

Цитата:

Сообщение от KALENDAR.RU

Да, но надо ЦЕЛЕНАПРАВЛЕННО ломать его комп. То есть, под заказ, а я в этом сомневаюсь

Ломать то как раз не надо, все проще простого, схема заражения такая, рассказываю по шагам (очень упрощенно):

1. Я или Вы или любой другой человек заходит на зараженный ресурс.
2. С этого ресурса через банальный <Iframe> , или яваскрипт загружается кусок кода
содержащий ссылки на пакет вирусов (обычно в этом пакете около 40 вредоносных программ , на некоторые антивирус даже успевает ругнутся ).

Дальше самое интересное

3. - Если у пользователя есть права администратора то загруженный в оперативную память код спойно прописывается во все автозагрузки , привит реестр чтоб загружатся и гасит антивирус ...
Причем для антивируса эти действия вредоносными не кажутся он думает что это пользователь делает потому и молчит , для него все происходит как будто пользователь ему сказал вот енту программу не трож она хорошая .. После перезагрузки вирус активизируется и начинается стадия 4.

- А вот если прав нет , то эта хрень пытается записатся а у нее не получается Пытается Антивирус остановить а правов то нетути ... И ничего фатального не происходит. После перезагрузки антивирус со 99,9% вероятностью найдет зараженный файл в темпе и честно его съест...

4. Вирус загрузившись , начинает сканировать распостраннные программы на предмет обнаружения запомненных FTP паролей , и прочих паролей и сертификатов в том числе к вебманям и процчим эелектронным деньгам + почтовые адреса из почтовых программ .. Обнаружив эти пароли он их спокойно отправляет на сервер откуда идет распостранение заразы (тут сервер может быть ботнетом из кучи зараженных компьютеров , может быть просто одиноко стоящим сервером вариантов много поэтому обзываем его сервер... )...

5. После этого с сервера куда ужо отправлены данные приходит команда , и вирус начинает записывапть сам себя по тем ресурсам пароли от которых он нашел , паралельно идет рассылка спама по адресам которые он собрал (я недавно видел ребят у которых таким образом каждый месяц рассылалось 50-60 гиг спама, а они об этом даже и не подозревали)..

6.Вирус записавшись уже на наш сайт ждет следующих посетителей , которым тоже достаточно зайти на сайт и цыкл повторится...

--------------

А искать проблемы на хостинге дохлый номер , вероятность что ктото сможет взломать нормальный хостинг приближена к абсолютному нулю..
Да бывает ломают хостинги ребят которые в институтах сидят и поддерживаются студентами , но на них нормальные люди обычно не размещаются )

[ALEXsei_]

2 aleks ИМХО яваскрипт

<!-- / CSS Stylesheet -->

<script type="text/javascript" src="http://forum.trade-print.ru/clientscript/yui/yahoo-dom-event/yahoo-dom-event.js?v=382"></script>
<script type="text/javascript" src="http://forum.trade-print.ru/clientscript/yui/connection/connection-min.js?v=382"></script>
<script type="text/javascript">
<!--
var SESSIONURL = "";
var SECURITYTOKEN = "guest";
var IMGDIR_MISC = "http://copy-club.ru/images/styles/greengold/misc";
var vb_disable_ajax = parseInt("0", 10);


ИМХО

1) отключить все загрузки в том числе всякие аватары !!!!!!!!!!!!!!! и ссылки
2) поменять хостера .. я ничего не имею против спейсвеб ... но насколько я помню права 777 там доступны - это не есть правильно.
3) сменить пароли и почистить средствами хостера
4) разнести форум и другие сайты по разным учетным записям

2 KALENDAR.RU видимо первопричина не устранена