Страшная статья (http://ru.infocom.uz/more.php?id=2691_0_1_0_M)

Спасибо всем участникам разборок!

Страшная статья (http://ru.infocom.uz/more.php?id=2691_0_1_0_M)

Спасибо всем участникам разборок! а еще о CERT плохо отзываетесь. Не хорошо :)

а еще о CERT плохо отзываетесь. Не хорошо :)

Точно, прошу прощения у всех и беру все плохие слова обратно - Эльдар здорово помог в этом инциденте!

Мда... дела.
Поучительный пример для многих десигнеров и хостеров.
А хостеру не судьба закрыть доступ по ftp из вне?

Есть предложение
Можно ли в CERT пудликовать анонсы и советы для "чайников" в плане защиты от сетевых угроз.

Ато иной раз чтобы понять какое либо предупреждение надо
1) хорошо знать английский
2) разбиратся в сетевых протоколах
3) разбиратся в кодинге
4) разбиратся в методах атак
5) разбиратся в терминологиях и сетевом сленге
в общем стать Хакером...

Есть предложение
Можно ли в CERT пудликовать анонсы и советы для "чайников" в плане защиты от сетевых угроз.

Ато иной раз чтобы понять какое либо предупреждение надо
1) хорошо знать английский
2) разбиратся в сетевых протоколах
3) разбиратся в кодинге
4) разбиратся в методах атак
5) разбиратся в терминологиях и сетевом сленге
в общем стать Хакером...

UZ-CERT всегда идет навстречу всем обратившимся и дает исчерпывающие ответы на любые вопросы связанные с обеспечением информационной безопасности. Также, в случаях затруднения устранения тех или иных угроз владельцем ресурса, мы даем рекомендации и советы "для чайников" для пошагового устранения проблемы.

В случае возникновения каких-либо проблем, Вы можете обратиться к нам как через форму оповещения (http://www.cert.uz/addons/feed_back.php)на веб-сайте, так и по электронной почте (cert@uzinfocom.uz) или телефону (http://www.cert.uz/index.php?13). Будем рады ответить на все ваши вопросы.

Помимо этого, готовятся ряд брошюр, которые можно будет использовать как пособие для "чайников" в решении тех или иных проблем связанных с информационной безопасностью. Данные брошюры будут попадать как на стол руководителю, так и просто распространятся на всевозможных мероприятиях где будет учавствовать Служба UZ-CERT.

Далее, в ближайшее время будет анонсирована партнерская программа UZ-CERTified, принять участие в которой сможет любой владелец домена в зоне UZ. Участники данной программы смогут получать ряд услуг, которые направлены непосредственно на защиту ресурсов и на повышение общего уровня информационной безопасности в Узбекистане.

Также, Вы всегда можете найти на сайте (http://www.cert.uz) Службы статьи (http://www.cert.uz/articles.php), обзоры, советы по обеспечению информационной безопасности. Доступен раздел FAQ (http://www.cert.uz/about.php?36) - часто задаваемые вопросы и подписка на новости (http://www.cert.uz/addons/subscribe.php)об угрозах ИБ как в мире, так и у нас в стране.

Мне жаль вас расстраивать, но по-моему проблема ещё не решена...

Kaspersky Anti-Virus for Microsoft ISA Server

The requested URL "http://arbuz.uz/" is infected with Trojan-Downloader.JS.Agent.jn virus

Мне жаль вас расстраивать, но по-моему проблема ещё не решена...

Kaspersky Anti-Virus for Microsoft ISA Server

The requested URL "http://arbuz.uz/" is infected with Trojan-Downloader.JS.Agent.jn virus

Ужас! что делать? Пошел опять проверять код индекса :-(

Проверил - лишнего кода нет. может, это так на рекламу антивирус реагирует?

Мне жаль вас расстраивать, но по-моему проблема ещё не решена...

Kaspersky Anti-Virus for Microsoft ISA Server

The requested URL "http://arbuz.uz/" is infected with Trojan-Downloader.JS.Agent.jn virus

значит Церт, все-таки, не помог :)

Посмотрел код страницы из сети - там есть этот вирус, но он сидит между строками рсс-ленты с арбузного блога - как его удалить оттуда?

значит Церт, все-таки, не помог :)

На тот момент помог - но что сейчас делать не ясно - опять пароль поменять чтоли? И как текст мог вклиниться между РСС-новостями?

ИМХО надо хостеру сообщить срочно
очень может быть что на хосте скрипт крутится

Нашел! Код вставлен в файл show_rss.php - скрипт для чтения RSS - удалил, проверьте, плз.

У меня ваш вирус пытался изменить ветку реестра, но это если зайти в FF
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrict anonymous
А вот если зайти с IE, то все зависает, переполнение буфера короче.

Уважаемый Евгений.
Могу предположить, что получив доступ к фтп Вашего сайта злоумышленник оставил на нем веб-шелл (программу для удаленного администрирования через веб-интерфейс). Тем самым, когда Вы поменяли пароли на фтп, злоумышленник воспользовался своеобразным "черным ходом" и повторно внедрил свой вредоносный код. В связи с этим, думаю целесообразным будет проверить все директории Вашего сайта на наличие посторонних файлов созданных за последнее время. Практически уверен что он/они там есть. Удалите эти файлы. Также, советую проверить все папки и файлы на установленные права чтение/запись (думаю что эту операцию нужно проводить совместно с администратором сервера).

А я предполагаю, что сам компьютер ЕС заражен вирусом, который отсылает пароли злоумышленнику. Затем пароль от фтп попадает в специальный php-скрипт, который произвольно затроянивает страницы сайта этим "вредоносным загрузчиком".
Ну конечно вариант с Веб-шеллом тоже актуальный...

Посмотрел код страницы из сети - там есть этот вирус, но он сидит между строками рсс-ленты с арбузного блога - как его удалить оттуда?
Не вирус, код. Ну я смотрю, Вы уже убрали.
1. Просканируйте свой компьютер (с которого вы ходите по FTP на свои сайты) хорошим антивирусом с актуальными базами. Возможно (а скорее всего, вероятно), что Ваш компьютер содержит трояна, который ворует Ваши пароли. Наилучший вариант - отформатировать раздел, на котором у Вас установлена ОС.
2. Смените пароли ещё раз.

ЕС, Дмитрий Палеев сказал правильно, проверить ваши директории нужно с админом сервера. Мы проверить не можем, к сожалению, так как доступа нет к Вашему ресурсу.

Произвольно никак не может троянить, только те, на которые разрешена запись.
Да, я это подразумевал.
Но в любом случае посторонней сетевой активности пока не заметно на сайте, пока всё нормализовалось.

А я предполагаю, что сам компьютер ЕС заражен вирусом, который отсылает пароли злоумышленнику. Затем пароль от фтп попадает в специальный php-скрипт, который произвольно затроянивает страницы сайта этим "вредоносным загрузчиком".
Ну конечно вариант с Веб-шеллом тоже актуальный...

Вариант с вирусом не исключаю, но все же придерживаюсь своей версии. PHP-ифреймеры в основном настроены на работу с index файлами потому как доступ к ресурсу они получают по фтп. А вот через веб-шелл злоумышленник возможно не смог получить доступ к Index (вероятно просто не было прав на запись), поэтому ему пришлось искать другие файлы для внедрения кода.

Всем спасибо, попытаюсь найти брешь

До вчерашнего дня жалобы на вирусы не прекращались. Вот что я проделал:
1. Обновил антивируc
2. Просканировал компьютер им.
3. Поменял пароль на ФТП
4. Залил на сервер заново все файлы арбуза
5. Снова в Плеске поменял пароль ФТП
6. Вчера сразу после этого выдавались предупреждения о вирусе - но мне кажется, что на кешированные страницы.
7. Сегодня проверил выборочно - все чисто, антивирус молчит при открытии Арбуза.

Просьба ко всем - зайти на 2-3 страницы и посмотреть - не вылезет ли предупреждение антивируса, если вылезет - сообщите, пожалуйста - на каких страницах. Без антивируса лучше не рисковать.

Всё чисто.

Проверено. Вирусов не обнаружено.

Спасибо! Надеюсь - не повторится. Придется все время менять пароли на ФТП - до и после работы с сервером. Кстати и ТИЦ Яндекса подскочил сразу с 470 до 500 - они отслеживают вирусы чтоли?

ЕС, я троян поймал - к сожалению. К счастью - удалил.
Кто-то Вам плохого хочет. Между прочим, уже не первый раз. В первый раз я Вам писал что получилось.

Антивирусная система NOD32.

ЕС, я троян поймал - к сожалению. К счастью - удалил.
Кто-то Вам плохого хочет. Между прочим, уже не первый раз. В первый раз я Вам писал что получилось.

Антивирусная система NOD32.


Сегодня троян поймал? На какой странице - не запомнил?

Сегодня троян поймал? На какой странице - не запомнил? Буквально только что, после Вашей просьбы зайти и глянуть. Троян хапнул сразу-же, на стартовой страничке.

Придется все время менять пароли на ФТП - до и после работы с сервером.
ну так часто не стоит, а вот раз в месяц-полтора рекомендуется.

Буквально только что, после Вашей просьбы зайти и глянуть. Троян хапнул сразу-же, на стартовой страничке.

Мы говорим про сайт arbuz.uz ? Если так, то я не заметил во время своего захода на этом сайте на главной странице вредоносного кода ...

Буквально только что, после Вашей просьбы зайти и глянуть. Троян хапнул сразу-же, на стартовой страничке.

Может из кеша?

Опять пытается изменить ветку реестра...

На главной все чисто.

На http://www newmax uz и http://www maxtrack uz тоже не суйтесь. Там тоже троян подгрузить себе можно

удалось-таки найти вирусы, пожирающие АрбуЗ
http://www.etoday.ru/2007/08/15/lemurs_southkorea.jpg