Вирус на ТП

[cd-print]

Цитата:

Сообщение от KALENDAR.RU

Да, но надо ЦЕЛЕНАПРАВЛЕННО ломать его комп. То есть, под заказ, а я в этом сомневаюсь. Вирус сидел на форуме или на Вашем компе? То есть, Вы хотите сказать, что кто-то ломанул Ваш комп, а потом рванулся на форум?

А его собственно целенаправленно никто и не ломал. Это обычный комп коих миллионы и на него попал вирус который варует пароли и отсылает их куда-то там. Далее уже дело техники.

Да вирус сидел у меня на домашнем компе и украл пароли от всех моих ФТП доступов.

[aleks-th]

Цитата:

Сообщение от KALENDAR.RU

Да, но надо ЦЕЛЕНАПРАВЛЕННО ломать его комп. То есть, под заказ, а я в этом сомневаюсь

Ломать то как раз не надо, все проще простого, схема заражения такая, рассказываю по шагам (очень упрощенно):

1. Я или Вы или любой другой человек заходит на зараженный ресурс.
2. С этого ресурса через банальный <Iframe> , или яваскрипт загружается кусок кода
содержащий ссылки на пакет вирусов (обычно в этом пакете около 40 вредоносных программ , на некоторые антивирус даже успевает ругнутся ).

Дальше самое интересное

3. - Если у пользователя есть права администратора то загруженный в оперативную память код спойно прописывается во все автозагрузки , привит реестр чтоб загружатся и гасит антивирус ...
Причем для антивируса эти действия вредоносными не кажутся он думает что это пользователь делает потому и молчит , для него все происходит как будто пользователь ему сказал вот енту программу не трож она хорошая .. После перезагрузки вирус активизируется и начинается стадия 4.

- А вот если прав нет , то эта хрень пытается записатся а у нее не получается Пытается Антивирус остановить а правов то нетути ... И ничего фатального не происходит. После перезагрузки антивирус со 99,9% вероятностью найдет зараженный файл в темпе и честно его съест...

4. Вирус загрузившись , начинает сканировать распостраннные программы на предмет обнаружения запомненных FTP паролей , и прочих паролей и сертификатов в том числе к вебманям и процчим эелектронным деньгам + почтовые адреса из почтовых программ .. Обнаружив эти пароли он их спокойно отправляет на сервер откуда идет распостранение заразы (тут сервер может быть ботнетом из кучи зараженных компьютеров , может быть просто одиноко стоящим сервером вариантов много поэтому обзываем его сервер... )...

5. После этого с сервера куда ужо отправлены данные приходит команда , и вирус начинает записывапть сам себя по тем ресурсам пароли от которых он нашел , паралельно идет рассылка спама по адресам которые он собрал (я недавно видел ребят у которых таким образом каждый месяц рассылалось 50-60 гиг спама, а они об этом даже и не подозревали)..

6.Вирус записавшись уже на наш сайт ждет следующих посетителей , которым тоже достаточно зайти на сайт и цыкл повторится...

--------------

А искать проблемы на хостинге дохлый номер , вероятность что ктото сможет взломать нормальный хостинг приближена к абсолютному нулю..
Да бывает ломают хостинги ребят которые в институтах сидят и поддерживаются студентами , но на них нормальные люди обычно не размещаются )

[cd-print]

Абсолютно точно. Врям в десяточку. Я вот этот процесс так красиво описать не смог.
Но все равно понятно что пароли крадут с какого-нибудь локального компьютера админа .

[KALENDAR.RU]

Понятно, спасибо!
Тогда еще вопрос: почему эта хрень повторяется на ТП?

[ALEXsei_]

2 aleks ИМХО яваскрипт

<!-- / CSS Stylesheet -->

<script type="text/javascript" src="http://forum.trade-print.ru/clientscript/yui/yahoo-dom-event/yahoo-dom-event.js?v=382"></script>
<script type="text/javascript" src="http://forum.trade-print.ru/clientscript/yui/connection/connection-min.js?v=382"></script>
<script type="text/javascript">
<!--
var SESSIONURL = "";
var SECURITYTOKEN = "guest";
var IMGDIR_MISC = "http://copy-club.ru/images/styles/greengold/misc";
var vb_disable_ajax = parseInt("0", 10);


ИМХО

1) отключить все загрузки в том числе всякие аватары !!!!!!!!!!!!!!! и ссылки
2) поменять хостера .. я ничего не имею против спейсвеб ... но насколько я помню права 777 там доступны - это не есть правильно.
3) сменить пароли и почистить средствами хостера
4) разнести форум и другие сайты по разным учетным записям

2 KALENDAR.RU видимо первопричина не устранена

[aleks-th]

Цитата:

Сообщение от KALENDAR.RU

Понятно, спасибо!
Тогда еще вопрос: почему эта хрень повторяется на ТП?

Тут уже много вариантов, тут уже детально нужно сидеть разбиратся.
Возможно после первого заражения в скрипты форума внедрен код который на страницах вредоносные ссылки восстанавливает.

[Визиточник-маньяк]

Внедрен код как в сам вбулетин так и в базу, притом по дате изменения не найти, дата оставлена прежней. После нахождения в теле, он снова появляется через 12 часов...

[Сталкер]

простите , а откатить форум на день (неделю) до того как появились первые сообщения о вирусе? Ну потеряется часть инфы, ну и ладно. Или нет таких бэкапов?

[KALENDAR.RU]

Цитата:

Сообщение от Визиточник-маньяк

Внедрен код как в сам вбулетин так и в базу, притом по дате изменения не найти, дата оставлена прежней. После нахождения в теле, он снова появляется через 12 часов...

Если это действительно так, то можно, на худой конец, найти спеца по вирусам, дать ему чуть-чуть денег и он найдет источник заразы. Уверен, что найти такого спеца несложно и возьмет он адекватные деньги.
Не, ребята, что-то тут не так...

[Valery]

Цитата:

Сообщение от KALENDAR.RU

Не, ребята, что-то тут не так...

с каких пор русское авось стало чем-то не таким?