Вернуться   SEO форум - оптимизация и продвижение сайтов > Web разработки > Безопасность

Важная информация
Безопасность - Помощь в обнаружении и удалении вредоносного кода с сайта. Устранение последствий взлома. Все о веб безопасности.

Ответ
выдача ТОП 2Полезны

 
Опции темы Оценить тему Опции просмотра
Старый 07.04.2012, 10:12   #46
 
Аватар для specialist-seo
 
Сообщений: 2,413
FR (активность): 62,878

Доп. информация
По умолчанию

падаван, можно посмотреть что выдает avz4 и хайджек?
specialist-seo вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
падаван (07.04.2012)
Старый 07.04.2012, 10:59   #47
 
Аватар для падаван
 
Сообщений: 814
FR (активность): 25,662

Доп. информация
По умолчанию Автор темы

вот логи, вроде ничего не находят
Вложения
Тип файла: txt hijackthis.txt (7.2 Кб, 1 просмотров)
Тип файла: txt avz_log.txt (82.6 Кб, 1 просмотров)


ученик SeoCafe
падаван вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 07.04.2012, 14:33   #48
 
Аватар для Phoenix
 
Сообщений: 1,021
FR (активность): 39,032

Доп. информация
По умолчанию

блин может к твоему компу просто кто то подключился? Честно уже вариантов не осталось


В сео денег нет, совсем нет
Phoenix вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 07.04.2012, 15:42   #49
 
Аватар для specialist-seo
 
Сообщений: 2,413
FR (активность): 62,878

Доп. информация
По умолчанию

Sidebar.exe - это что за сайдбар?
2GISUpdateService.exe - карты стоят?
TeamViewer_Service.exe - действительно ли teamviewer?

Application Data\Application Data\Opera\Opera\cache\sesn\opr05OU5.tmp
>>> подозрение на Trojan.Win32.DNSChanger.ieq ( 0B6BC615 0DB75E33 002663F9 00000000 7696)

Похоже через подмену dns и уходят пароли.

Просканировано файлов: 305139, извлечено из архивов: 75996, найдено вредоносных программ 0, подозрений - 46

Данные логи лучше разместить на форуме касперского, они точнее скажут как лечить, я максимум диагностику могу произвести.

Добавлено через 9 минут
Пояснение к тому как возможно уходят пароли:
1) Похоже была использована уязвимость браузера опера, т.к. вирус лежит в ее кеше. Это путь проникновения.
2) Возможна подмена DNS в свойствах подключения к сети, проверьте, правильно ли стоят DNS в настройках?
3) Если перехватывается только filezilla, значит проверяются заголовки отправляемые программой и смотрят какие пароли отправляются. (они передаются в обычном текстовом виде). Кому интересно попробуйте перехватчик пакетов поставить.
specialist-seo вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
падаван (08.04.2012)
Старый 07.04.2012, 15:53   #50
 
Аватар для Phoenix
 
Сообщений: 1,021
FR (активность): 39,032

Доп. информация
По умолчанию

>>> подозрение на Trojan.Win32.DNSChanger.ieq ( 0B6BC615 0DB75E33 002663F9 00000000 7696)
Ну вот примерно такой хорек и у меня был, только я полностью удалил вешь кеш всех браузеров и просканировал систему, может поэтому повторно у меня не все заразили.


В сео денег нет, совсем нет
Phoenix вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
specialist-seo (08.04.2012)
Старый 07.04.2012, 17:40   #51
 
Аватар для Jaga
 
Сообщений: 2,478
FR (активность): 81,809

Доп. информация
По умолчанию

Цитата:
Сообщение от specialist-seo Посмотреть сообщение
Кому интересно попробуйте перехватчик пакетов поставить.
Оффтоп:
Когда то пробовал Вай Фай перехватывать, Шарком по моему, но там ничего в тексте не было.

А вот другие браузеры имеют такие неприятные моменты как опера?


Кто в Яндекс продвигал, тот в цирке не смеется. народная мудрость

Со временем найдутся все
Jaga вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 07.04.2012, 19:04   #52
 
Аватар для Phoenix
 
Сообщений: 1,021
FR (активность): 39,032

Доп. информация
По умолчанию

zahar-zaharych, у меня лисичка была. Он ловится в любой браузер


В сео денег нет, совсем нет
Phoenix вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 07.04.2012, 23:34   #53
 
Аватар для vga72
 
Сообщений: 212
FR (активность): 8,650

Доп. информация
По умолчанию

дело не движках...у меня все сайты на разных движках были заражены..точнее ява скриптовые файлы...кстати, подобную тему обсуждают
Оффтоп:
www.shopos.ru/forum/index.php?topic=6663.0

это какое-то массовое заражение... найти бы причину...
vga72 вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 08.04.2012, 13:04   #54
 
Аватар для newinseo
 
Сообщений: 295
FR (активность): 8,496

Доп. информация
По умолчанию

И я с этим столкнулся.. Заражены .js файлы. Движки разные (Wordpress + cамописные). Спасают только бэкапы.

Почитал тему - снеc FileZilla со своего компа. На рабочем стоит тоже, но заражены были только сайты, доступые с личного. Как бы эту заразу найти?
newinseo вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 08.04.2012, 15:14   #55
 
Аватар для Phoenix
 
Сообщений: 1,021
FR (активность): 39,032

Доп. информация
По умолчанию

newinseo, если бы мы сами знали то и проблем не было
Я перебрал все возможные варианты но так и не понял посредством чего было сделано


В сео денег нет, совсем нет
Phoenix вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 08.04.2012, 17:56   #56
 
Аватар для specialist-seo
 
Сообщений: 2,413
FR (активность): 62,878

Доп. информация
По умолчанию

zahar-zaharych,
xxxPHOENIXxxx,
newinseo,
ЕЩЕ РАЗ ПОЯСНЯЮ

Сами компьютеры были заражены. К filezilla это не имеет никакого отношения, кроме того что в ней хранятся пароли которые можно достать или перехватить, как в общем-то и для любого ftp клиента.

Все логины и пароли при связи по обычному ftp соединению передаются в текстовом виде который поддается перехвату.

Wireshark перехватывает все принятые и переданные пакеты для конкретного сетевого соединения. Если хотите посмотреть данные выбираете нужный пакет из списка и смотрите его содержимое.
specialist-seo вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
DeTeron (08.04.2012), Jaga (08.04.2012), newinseo (09.04.2012), падаван (08.04.2012)
Старый 08.04.2012, 18:28   #57
 
Аватар для Phoenix
 
Сообщений: 1,021
FR (активность): 39,032

Доп. информация
По умолчанию

specialist-seo, согласен с тобой. А второе заражение было потому что не полностью был вычищен код, не сменены пароли или не очищен сам комп. Я пришел к такому мнению оно рационально )


В сео денег нет, совсем нет
Phoenix вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 08.04.2012, 21:06   #58
 
Аватар для падаван
 
Сообщений: 814
FR (активность): 25,662

Доп. информация
По умолчанию Автор темы

Цитата:
Сообщение от specialist-seo Посмотреть сообщение
Sidebar.exe - это что за сайдбар?
2GISUpdateService.exe - карты стоят?
TeamViewer_Service.exe - действительно ли teamviewer?
2GIS есть, TeamViewer тоже, а что за Sidebar не знаю..
Цитата:
Сообщение от specialist-seo Посмотреть сообщение
Возможна подмена DNS в свойствах подключения к сети, проверьте, правильно ли стоят DNS в настройках?
а какие должны быть?) не знаю, оно получает их автоматически..


ученик SeoCafe
падаван вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 08.04.2012, 21:41   #59
 
Аватар для DeTeron
 
Сообщений: 496
FR (активность): 10,040

Доп. информация
По умолчанию

Цитата:
Сообщение от падаван Посмотреть сообщение
а какие должны быть?) не знаю, оно получает их автоматически..
например, гугловские:
8.8.8.8
8.8.4.4
DeTeron вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
падаван (09.04.2012)
Старый 09.04.2012, 09:32   #60
 
Аватар для specialist-seo
 
Сообщений: 2,413
FR (активность): 62,878

Доп. информация
По умолчанию

падаван, если автоматически, то возможно проблем и нет. Там подмена идет не для всех сайтов, так что может быть не на этом уровне реализация
specialist-seo вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
падаван (09.04.2012)
Ответ

Метки
.js, вредоносный код, заражение сайта, скрипты, троян

Быстрый ответ
Ваше имя пользователя: Регистрация. Для входа нажмите здесь
Случайный вопрос

Сообщение:
Опции
Внимание!
Этой теме более 3338 дней. Вы можете оставить сообщение здесь. Но, обращаем внимание. Возможно, рациональней создать новую тему (найти свежее обсуждение)?


Опции темы
Опции просмотра Оценка этой теме
Оценка этой теме:

Ваши права в разделе
Вы не можете создавать новые темы
Вы можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Помогите оценить сайт Tenza Оценка сайтов 8 12.01.2012 19:36
Помогите раскрутить сайт narmina SEO оптимизация (анализ) 0 11.03.2011 15:58
Помогите оценить сайт SE-O Оценка сайтов 4 01.12.2010 00:51
Помогите продвинуть сайт Staral Раскрутка в общих чертах 4 02.10.2009 18:36
Помогите! сайт рухнул vamgazel Яndex 10 11.07.2009 09:31

Текущее время: 15:15. Часовой пояс GMT +3.