Хакерские атаки

[Макс]

В последние полмесяца участились случаи добавления на странички с именами index.*, login.*, admin.* вредоносного кода как правило <script>...</script>

За последнюю неделю это происходит чуть ли не по два раза на дню - утром и вечером...

Сайты одесские, *.od.ua, *.com.ua, слабопосещаемые, некоторые без использования mySQL, некоторые даже без админки. Дыр вроде быть не должно...

Подскажите, что делать в таких случаях? В смысле - общие рекомендации?

Был мысл написать что-то для cron-а - пусть каждые 5 минут проверяет размер index.php, и в случае его изменения - восстанавливает из архивной копии - файлы с другим расширением не затрагиваются...

[RealN]

Если нет дыр - как могут изменять файлы на сервере?

Смотри логи. Хто заходил, че делал ....

[andreyka]

троян на компе и тотал командер. я угадал?

[Bioroido]

судя по аве, у человека на серверах совсем не виндовсы %)

[Roader]

судя по аве, у человека на серверах совсем не виндовсы %)

Дк ведь администрировать можно и из дома через TC имея "нужный" троян, который отправляет имя сервера, логин пароль туда, куда надо или сам проделывает грязную работёнку

[YurMax]

да блин вспомните несколько лет назад таже фигня была на всех форумах пхпбб. через гугл поиск, и ковровое бомбометание скрипта по непатченому форуму...
ну теперь новые нашли уязвимости + троян приладили для посетителей...
многие же пишут не своё а используют цмс готовые. вот и нате вам..

а теперь идти всем и патчить...

[Макс]

троян на компе и тотал командер. я угадал?

Трояна быть не должно - Ad-Awart+DrWeb

Серваки разные - от Пако-Тенет-Телематика-Фарлеп, до забугорных штатовских, английских и китайских...

ТеНеТ и Фарлеп вроде пока не держутся, Телематика сразу сдалась, у Паковцев половина уязвима, половина - пока нет. Забугорье все сдалось...

Для доступа по ФТП юзаю Far Manager, хотя, полагаю, что и через него можно "делиться" логинами-паролями...

Вопщем, универсальное средство, конечно, знаю - поменять пароль на ФТП и не хранить его на компе. Но это сложно технически - объяснить заказчику про дыры, заставить его попросить абонотдел поменять пароль, потом получить этот пароль... Короче, один гембель поменять на другой...

[Moke]

ТеНеТ и Фарлеп вроде пока не держутся, Телематика сразу сдалась, у Паковцев половина уязвима, половина - пока нет. Забугорье все сдалось...

Неужели мир захватил Sky@NET и судьба человечества в руках Тенета и фарлепа?? Я знал что Судный день наступит!

[anray]

Это не хакерские атаки. Типичный случай - затрояненный комп через эксплорер посылает логины/пароли на спец. сайт, который прописывает в файлы по определенной маске затрояненный сайт. Обычно не <script>...</script>, а <iframe>...</iframe>. Универсальное средство - не пользоваться IE на компе, где хранятся пароли. Но если пароли уже уволокли - менять их в быстром темпе, иначе задолбаешься с бекапа переливать.

[andreyka]

Трояна быть не должно - Ad-Awart+DrWeb

Ага щазблин. Не ловиццо этим

[Макс]

Ага щазблин. Не ловиццо этим

Рассуждаем логически: раз на сайтах хто-то резвится, значит, пароли все-таки переданы. И раз переданы - значит трояном. Раз Ad-Aware + DrWeb неэффективны - чем тогда ловить?

[iDobry]

Рассуждаем логически: раз на сайтах хто-то резвится, значит, пароли все-таки переданы. И раз переданы - значит трояном. Раз Ad-Aware + DrWeb неэффективны - чем тогда ловить?

Ну я, например, на NOD32 пока не жаловался . Хотя, понятно, шо идеального антивиря не существует...

[andreyka]

А просто руками ловить надо. Берем качаем тотал и смотрим чексуму оригинала а потом сравниваем со своей.

[Илья Царюк]

1. Поставь rkhunter,portsentry,logwatch,logcheck и утилиту слежения за изменением в файлах (не называю точной, потому как есть из чего выбирать). Настрой этот минимальный пакет и будет счастье как минимум раз в сутки смотреть логи приходящие на мыло, и если надо - действовать.

2. А если сервер под Windows - ставишь Freebsd или другой любимый дистрибутив и дуешь на пункт первый.

[vlad11]

А просто руками ловить надо. Берем качаем тотал и смотрим чексуму оригинала а потом сравниваем со своей.

А если живность в памяти? Она ведь моментально пропатчит свежий .exe

[andreyka]

Если exe в архиве под паролем - не пропатчит

[Kaiser_Wilhelm_II]

Антивирусы нормальные поставьте и файрволлы тоже. Меньше флуда будет.