Павел
Junior Member
Сообщения: 24
Зарегистрирован: 22.12.2004
Пользователя нет на форуме
|
![[*]](./images/xmbforum/default_icon.gif) когда размещено 11.3.2006 в 21:09 |
|
|
Взлом 8(
Не могу понять в чем проблема.
9-го числа приключилась такая ерунда:
1. Все файлы во всех директориях с именами index и default были переименованы в _index и _default.
2. Вместо них появились файлы с вирусным кодом W32.Feebs http://securityresponse.symantec.com/avcenter/venc/data/w32.feebs.html), который пытается исполниться с помощью актив икс.
3. Появились файлы (во всех директориях), с кусками кода добавляющими ключи в реестр.
Т.е. при попытке зайти на сайт происходит следеющее: из "поддельного" индекса выполняется вирусный код и перебрасывает на _index 8(((
Я удалил все эти "нововведения" руками, сменил пароль (думал, что просто украли пароль).
11-го числа в 16 часов все вернулось на круги своя, всмысле опять появились эти файлы. Я снова удалил все руками и через 5 минут опять случилось то же
самое.
Вроде бы в скриптах на сайте нету дыр в программах, позволяющих настолько легко рулить файлами......
Вобщем, очень прошу помощи - не могу понять в чем дело 8((((
Сайт detki.net
[Изменено 11.3.2006 от Павел]
|
|
|
Анонимный
Не зарегистрирован
Сообщения: N/A
Зарегистрирован: N/A
Пользователя нет на форуме
|
| когда размещено 12.3.2006 в 00:05 |
|
|
Вирус у вас на локальной машине.
Он закачивает во все доступные _вашей_ машине ftp-аккаунты (т.е. где пароли прописаны в реестре, а не вводятся с клавиатуры) свои копии.
Удаляйте вирус и переименовывайте обратно _index в index и т.д.
|
|
|
Павел
Junior Member
Сообщения: 24
Зарегистрирован: 22.12.2004
Пользователя нет на форуме
|
| когда размещено 12.3.2006 в 00:29 |
|
|
На локальной машине вирусов нет.
К тому же остальные мои сайты не пострадали, хотя пароли от них хранятся тем же макаром что и от этого...
|
|
|
support
|
| когда размещено 12.3.2006 в 21:20 |
|
|
Этот вирус закачивается по фтп с машины пользователя имеющего фтп-доступ к аккаунту. Вы уже не первый. Вам логи фтп показать?
|
|
|
Анонимный
Не зарегистрирован
Сообщения: N/A
Зарегистрирован: N/A
Пользователя нет на форуме
|
| когда размещено 13.3.2006 в 10:55 |
|
|
Т.е. проблема именно в моей машине?
|
|
|
Анонимный
Не зарегистрирован
Сообщения: N/A
Зарегистрирован: N/A
Пользователя нет на форуме
|
| когда размещено 20.3.2006 в 14:06 |
|
|
Была такая же бяка. По всей видимости вирь дейсвительно проникает с клиента - Ruweb был не при чем.
Описания виря в сети в то время не было... нортоном и касперским он не ловился.
почистили машины при помощи утилиты - антивируса f-force - ссылки на оф. сайт не помню - но найти в сети можно.
|
|
|
