Цитата:
Сообщение от AngelOfGrief
Тут знакомые поделились кое-какой новой инфой о распространении подобного вируса на их системе. Действительно, заражаются файлы .htaccess, что заставляет сервер отдавать заражённые страницы именно мобильным устройствам, Android, iPhone итд итп. Это затрудняет обнаружение антивирусом на компьютере. Но интересно другое: заражение производилось путём редактирования файлов .htaccess через PHP веб-шелл -- программу, которую злоумышленники незаметно закачали в папку картинок одного из сайтов через FTP аккаунт, который был заведён в системе, но не использовался и о котором все забыли. Где взяли пароль FTP, непонятно, возможно подбором. Редактировали .htaccess они вручную для каждого сайта! Недоделанные/неполноценные сайты не тронули! А обнаружен этот левый PHP файл был через логи FTP сервера.
|
Спасибо Кэп. Схеме с отжимом вап трафика через .htaccess уже года два. Я в этой теме писал это полгода назад уже - бестолку
.
Первый доступ получают с логов кейлогерров или через уязвимости паблик движков. Тут мне кажется второе.
Цитата:
Сообщение от AngelOfGrief
Так что надо админам поискать веб-шелл. Можно хоть 100 раз менять пароли FTP и восстанавливать заражённые файлы: пока на сервере живет веб-шелл, всё будет повторяться бесконечно. Либо вообще отключить FTP и пользоваться SSH/SCP как это делаю я.  |
Обясни мне какой смысл закрывать фтп/ssh если там
веб шелл?
Еще раз, при желании это все находится, чиститься и закрывается за 20-30 минут. Это уровень "у меня зимние каникулы, я зарегался на ачате и стал хакером!". Почему администрация форума этого не может сделать уже полгода - большая загадка. Но дело хозяйское.