Вирус - Страница 8 - Porsche Club Russland - Официальный Порше клуб России

mex3 · #99 26.12.2012, 15:42

я не спорю, что это кривизна. Но лучше такая кривизна, чем пол года наступать на одни и те же грабли, потому что лень/не достаточно квалификации искать причину

На мой вкус, по крону переписывать файл - куда более разумный костыль, чем просить всех пользователей изменять user agent

AngelOfGrief · #**100** 26.12.2012, 15:51

Цитата:

Сообщение от mex3

я не спорю, что это кривизна. Но лучше такая кривизна, чем пол года наступать на одни и те же грабли, потому что лень/не достаточно квалификации искать причину

На мой вкус, по крону переписывать файл - куда более разумный костыль, чем просить всех пользователей изменять user agent

Я думаю, вирусняк найдёт и исходный htaccess и его тоже перезапишет. Что тогда, ещё одну задачу cron создавать для перезаписи исходного htacсess -- и так до бесконечности?

mex3 · #**101** 26.12.2012, 16:11

Цитата:

Сообщение от AngelOfGrief

Я думаю, вирусняк найдёт и исходный htaccess и его тоже перезапишет. Что тогда, ещё одну задачу cron создавать для перезаписи исходного htacсess -- и так до бесконечности?

Такой умный вирусняк? Исходный можно генерировать. Но я практически уверена, что вирусняк достаточно туп, чтобы искать .htaccess по названию.
Можно заливать с другого, явно не зараженного, хоста - по крону же. Вариантов море, а у меня хорошая фантазия.

Porsche racing team · #**102** 26.12.2012, 16:25

Цитата:

Сообщение от mex3

эм...
Я правильно понимаю, что:
1. .htaccess переписывается изредка, в произвольное время
2. всем лениво искать проблему в хостинге, потому что он дремуч, запущен и никому не нужен?

Ну поставьте тогда переписывать .htaccess по крону на нужный - не? Зачем каждый раз админам руками восстанавливать - пусть восстанавливается периодически само, нагрузка от этого мизерная

С правами можно попробовать поиграться, в конце концов. Если нормально нет желания искать проблему - ну столько ж подпорок можно придумать!

Прочитав,В очередной раз убедился что профи быть во всем нереально

как в анекдоте-мама сказала в бидоне....

mex3 · #**103** 26.12.2012, 16:46

Цитата:

Сообщение от Porsche racing team

Прочитав,В очередной раз убедился что профи быть во всем нереально

как в анекдоте-мама сказала в бидоне....

я что-то видимо не понимаю... чем мой вариант плох? При отсутствии у советующего доступа к серверу и фидбека от тех, у кого доступ есть.

AngelOfGrief · #**104** 26.12.2012, 16:53

Цитата:

Сообщение от mex3

Такой умный вирусняк? Исходный можно генерировать. Но я практически уверена, что вирусняк достаточно туп, чтобы искать .htaccess по названию.
Можно заливать с другого, явно не зараженного, хоста - по крону же. Вариантов море, а у меня хорошая фантазия.

Можно арендовать ещё один сервер и оттуда раз в сутки полностью перезаливать весь сайт.

В примере, который случился у моих друзей, .htaccess всех сайтов были отредактированы вручную! Т.е. это не вирус, это взлом. Ломанули ftp аккаунт, залили веб-шелл, исправили файлы htaccess во всех папках, где были действующие сайты.

Пока на сервере будет лежать веб шелл, ничего хорошего не будет.

Maximus · #**105** 26.12.2012, 17:14

Цитата:

Сообщение от mex3

я не спорю, что это кривизна. Но лучше такая кривизна, чем пол года наступать на одни и те же грабли, потому что лень/не достаточно квалификации искать причину

На мой вкус, по крону переписывать файл - куда более разумный костыль, чем просить всех пользователей изменять user agent

Быдлокодинг наше все!

Porsche racing team · #**106** 26.12.2012, 17:15

Цитата:

Сообщение от mex3

я что-то видимо не понимаю... чем мой вариант плох? При отсутствии у советующего доступа к серверу и фидбека от тех, у кого доступ есть.

К тому что в компах я полный профан....

читаю не понимаю

Maximus · #**107** 26.12.2012, 17:21

Проблема лежит не в техническом аспекте, а в человеческом факторе. Потому мы можем тут долго блистать изысканностью решений, но это все бессмысленно.

AngelOfGrief · #**108** 26.12.2012, 17:34

Цитата:

Сообщение от Porsche racing team

К тому что в компах я полный профан....

читаю не понимаю

Mex3 предлагает запустить на сервере программу, которая будет с заданным интервалом восстанавливать повреждённые вирусом файлы. Т.е. просто тупо перезаписывать их из резервной копии, вместо того чтобы найти каким образом хакер туда залезает.

p.s. Там возможно вообще не было изначально .htaccess, т.е. достаточно просто его удалять.

Porsche racing team · #**109** 26.12.2012, 17:41

Цитата:

Сообщение от AngelOfGrief

Mex3 предлагает запустить на сервере программу, которая будет с заданным интервалом восстанавливать повреждённые вирусом файлы. Т.е. просто тупо перезаписывать их из резервной копии, вместо того чтобы найти каким образом хакер туда залезает.

p.s. Там возможно вообще не было изначально .htaccess, т.е. достаточно просто его удалять.

А вы когда нибудь поражали неподвижную цель на расстоянии 1.5 км и более? С подвижными целями еще забавней

арифметика почти одинакова))))

mex3 · #**110** 26.12.2012, 17:43

Цитата:

Сообщение от AngelOfGrief

Можно арендовать ещё один сервер и оттуда раз в сутки полностью перезаливать весь сайт.

В примере, который случился у моих друзей, .htaccess всех сайтов были отредактированы вручную! Т.е. это не вирус, это взлом. Ломанули ftp аккаунт, залили веб-шелл, исправили файлы htaccess во всех папках, где были действующие сайты.

Пока на сервере будет лежать веб шелл, ничего хорошего не будет.

Я не верю в существование реального человека, который с завидным упорством будет вручную править .htaccess за кроном, который, скажем, раз в час будет перезаливать нормальный файл.

Это что-то вроде social engineering - есть ленивые админы сервера. Ленивые, но не шибко умные кулхацкеры решили этим воспользоваться - мозгов для полной автоматизации и захвата мира у них не хватило, они "на глаз" оценили потенциальную прибыль с ресурса, оценили трудозатраты по своей ручной работе. Им совершенно неважно, что там с этим конкретным ресурсом на самом деле. Скорее всего - он не первый и он не последний. Когда поток прибыли уменьшается - они "пробегаются ручками" по списку серверов. Он не достаточно большой и не так часто это нужно делать, чтоб им городить какую-то разумную автоматизацию.
Так вот, к чему это я.

Мы видим, что не очень аккуратными админами воспользовались не очень аккуратные злоумышленники, вероятнее всего. Будет там что-то по крону переписываться или нет - они, вероятнее всего, и не заметят даже - если они после ручного исправления файла тут же не активизировались раньше. Точно также продолжат изредка заходить и править руками - тогда, когда будет плановый обход.
Хоть и выглядит это решение криво - но оно весьма эффективно. Злоумышленники не замечают подвоха, вероятнее всего, наши админы спят. Идиллия, практически. В минусе - общая кривизна решения и некоторая погрешность из-за частоты обновления.

Если внимательно подумать, то выкорчевать веб-шелл - тоже не панацея. Он же как-то оказался на этом сервера. Почему они не могут повторить этот трюк снова? В этом случае нашим ленивым админам надо будет поднапрячься сильнее. Во-первых, найти сам веб-шелл. Но не забываем, что наши злоумышленники, скорее всего, действовали по какой-то кальке - и у них есть последовательность действий от и до, которую они в любой момент могут воспроизвести вручную. Нет никакого смысла выкорчевывать только веб-шелл. Если ftp аккаунт был взломан - то пока не будет сделано никаких особых действий по аккаунту - его с тем же успехом смогут точно также взламывать. Поэтому подчистить недостаточно, нужно вычищать всю цепочку действий, которая привела к данному исходу.

Я, конечно, всецело за второй вариант. Но есть 2 нюанса:
1. уже прошло пол года, а воз и ныне там
2. я не понимаю, почему пользователи мобильных устройств должны есть кактус, пока ленивые админы решают задачу о сферических конях в вакууме. Почему бы не использовать подпорку как временное решение, если задачу не получается решить сразу? (А пол года - это очень сильно не сразу, имхо).

mex3 · #**111** 26.12.2012, 17:47

Цитата:

Сообщение от AngelOfGrief

Mex3 предлагает запустить на сервере программу, которая будет с заданным интервалом восстанавливать повреждённые вирусом файлы. Т.е. просто тупо перезаписывать их из резервной копии, вместо того чтобы найти каким образом хакер туда залезает.

p.s. Там возможно вообще не было изначально .htaccess, т.е. достаточно просто его удалять.

Я предлагаю тупо сделать пользователям удобно, пока админы ждут правильного расположения звезд на небе для идейно правильного решения проблемы.

Ну я ещё могу рута попросить, но кто ж мне его тут даст?

Porsche racing team · #**112** 26.12.2012, 17:50

Цитата:

Сообщение от mex3

Я предлагаю тупо сделать пользователям удобно, пока админы ждут правильного расположения звезд на небе для идейно правильного решения проблемы.

Ну я ещё могу рута попросить, но кто ж мне его тут даст?

Рута попросить...это кто вообще или что??????
Почему нельзя просто вкусно поужинать?!!!!!!