Хакерские атаки

Вид для печати

09.09.2007 06:33
Макс

Хакерские атаки

В последние полмесяца участились случаи добавления на странички с именами index.*, login.*, admin.* вредоносного кода как правило <script>...</script>

За последнюю неделю это происходит чуть ли не по два раза на дню - утром и вечером...

Сайты одесские, *.od.ua, *.com.ua, слабопосещаемые, некоторые без использования mySQL, некоторые даже без админки. Дыр вроде быть не должно...

Подскажите, что делать в таких случаях? В смысле - общие рекомендации?

Был мысл написать что-то для cron-а - пусть каждые 5 минут проверяет размер index.php, и в случае его изменения - восстанавливает из архивной копии - файлы с другим расширением не затрагиваются...
09.09.2007 08:26
RealN

Если нет дыр - как могут изменять файлы на сервере?

Смотри логи. Хто заходил, че делал ....
09.09.2007 09:41
andreyka

троян на компе и тотал командер. я угадал?
09.09.2007 21:12
Bioroido

судя по аве, у человека на серверах совсем не виндовсы %)
10.09.2007 01:13
Roader

[QUOTE=bioroido;1690253]судя по аве, у человека на серверах совсем не виндовсы %)[/QUOTE]

Дк ведь администрировать можно и из дома через TC имея "нужный" троян, который отправляет имя сервера, логин пароль туда, куда надо или сам проделывает грязную работёнку :)
10.09.2007 01:32
YurMax

да блин вспомните несколько лет назад таже фигня была на всех форумах пхпбб. через гугл поиск, и ковровое бомбометание скрипта по непатченому форуму...
ну теперь новые нашли уязвимости + троян приладили для посетителей...
многие же пишут не своё а используют цмс готовые. вот и нате вам..

а теперь идти всем и патчить...
10.09.2007 16:00
Макс

[QUOTE=andreyka;1687309]троян на компе и тотал командер. я угадал?[/QUOTE]

Трояна быть не должно - Ad-Awart+DrWeb

Серваки разные - от Пако-Тенет-Телематика-Фарлеп, до забугорных штатовских, английских и китайских...

ТеНеТ и Фарлеп вроде пока не держутся, Телематика сразу сдалась, у Паковцев половина уязвима, половина - пока нет. Забугорье все сдалось...

Для доступа по ФТП юзаю Far Manager, хотя, полагаю, что и через него можно "делиться" логинами-паролями... :(

Вопщем, универсальное средство, конечно, знаю - поменять пароль на ФТП и не хранить его на компе. Но это сложно технически - объяснить заказчику про дыры, заставить его попросить абонотдел поменять пароль, потом получить этот пароль... Короче, один гембель поменять на другой...

:)
10.09.2007 18:09
Moke

[QUOTE=Макс;1692959]ТеНеТ и Фарлеп вроде пока не держутся, Телематика сразу сдалась, у Паковцев половина уязвима, половина - пока нет. Забугорье все сдалось...[/QUOTE]

Неужели мир захватил Sky@NET и судьба человечества в руках Тенета и фарлепа?? Я знал что Судный день наступит!
10.09.2007 18:18
anray

Это не хакерские атаки. Типичный случай - затрояненный комп через эксплорер посылает логины/пароли на спец. сайт, который прописывает в файлы по определенной маске затрояненный сайт. Обычно не <script>...</script>, а <iframe>...</iframe>. Универсальное средство - не пользоваться IE на компе, где хранятся пароли. Но если пароли уже уволокли - менять их в быстром темпе, иначе задолбаешься с бекапа переливать.
11.09.2007 18:02
andreyka

[QUOTE=Макс;1692959]Трояна быть не должно - Ad-Awart+DrWeb
:)[/QUOTE]

Ага щазблин. Не ловиццо этим :)
12.09.2007 13:20
Макс

[QUOTE=andreyka;1697026]Ага щазблин. Не ловиццо этим :)[/QUOTE]

Рассуждаем логически: раз на сайтах хто-то резвится, значит, пароли все-таки переданы. И раз переданы - значит трояном. Раз Ad-Aware + DrWeb неэффективны - [B]чем тогда ловить?[/B]
12.09.2007 13:37
iDobry

[QUOTE=Макс;1700389]Рассуждаем логически: раз на сайтах хто-то резвится, значит, пароли все-таки переданы. И раз переданы - значит трояном. Раз Ad-Aware + DrWeb неэффективны - [B]чем тогда ловить?[/B][/QUOTE]
Ну я, например, на NOD32 пока не жаловался :). Хотя, понятно, шо идеального антивиря не существует...
13.09.2007 06:20
andreyka

А просто руками ловить надо. Берем качаем тотал и смотрим чексуму оригинала а потом сравниваем со своей.
15.09.2007 22:54
Илья Царюк

1. Поставь rkhunter,portsentry,logwatch,logcheck и утилиту слежения за изменением в файлах (не называю точной, потому как есть из чего выбирать). Настрой этот минимальный пакет и будет счастье как минимум раз в сутки смотреть логи приходящие на мыло, и если надо - действовать.

2. А если сервер под Windows - ставишь Freebsd или другой любимый дистрибутив и дуешь на пункт первый.
19.09.2007 21:22
vlad11

[QUOTE=andreyka;1703438]А просто руками ловить надо. Берем качаем тотал и смотрим чексуму оригинала а потом сравниваем со своей.[/QUOTE]

А если живность в памяти? Она ведь моментально пропатчит свежий .exe :)
21.09.2007 08:07
andreyka

Если exe в архиве под паролем - не пропатчит
21.09.2007 14:31
Kaiser_Wilhelm_II

Антивирусы нормальные поставьте и файрволлы тоже. Меньше флуда будет.