Шо за... - CM Russia Forum

Шо за...

Serg Chudo	May 12 2005, 16:27 Сообщение #16
Старый СМ-щег, стаж с 1992 года Группа: Элитарный Клуб Сетевиков Сообщений: 5955 Регистрация: 7-July 04 Из: Самара Пользователь №: 17	вот что у меня добавилось после вчерашнего вашего хака. Это страшное? Прикрепленные изображения

SergeyZ	May 12 2005, 16:34 Сообщение #17
Главный тренер Группа: Admin Сообщений: 2961 Регистрация: 4-September 03 Из: Moscow Пользователь №: 4	Это к Админу Вообще да, в том самом users.php был какой-то VB-скрипт. Че-то плохое, наверное, делал.

Serg Chudo	May 12 2005, 17:01 Сообщение #18
Старый СМ-щег, стаж с 1992 года Группа: Элитарный Клуб Сетевиков Сообщений: 5955 Регистрация: 7-July 04 Из: Самара Пользователь №: 17	Ладно, меня хоть файрвол предупредил. А сколько юзеров сидит даже не подозревает, что у них сассер на компе спит.... пока....

romario	May 12 2005, 17:03 Сообщение #19
Important first team player Группа: Members Сообщений: 2179 Регистрация: 5-September 04 Пользователь №: 83	экзешники где у него?

Serg Chudo	May 12 2005, 17:08 Сообщение #20
Старый СМ-щег, стаж с 1992 года Группа: Элитарный Клуб Сетевиков Сообщений: 5955 Регистрация: 7-July 04 Из: Самара Пользователь №: 17	только в памяти, больше нигде. на винте лежит сааавсем другой файл, который скриптом чётатам делает, и в озу создается эта бяка, которая и работает сама по себе.

Serg Chudo	May 12 2005, 17:15 Сообщение #21
Старый СМ-щег, стаж с 1992 года Группа: Элитарный Клуб Сетевиков Сообщений: 5955 Регистрация: 7-July 04 Из: Самара Пользователь №: 17	ващето начинает мне казаться, что сассер, и lsass.exe - вещи не связанные, и вируса у меня нет. Проверился - ни следа.... Странно всё это....

SergeyZ	May 12 2005, 17:16 Сообщение #22
Главный тренер Группа: Admin Сообщений: 2961 Регистрация: 4-September 03 Из: Moscow Пользователь №: 4	http://www.viruslist.com/ru/viruses/encycl...a?virusid=50204 Не надо паники. Не сассер это. Вернее, наличие сассера в системе не связано со вчерашним users.php.

SergeyZ	May 12 2005, 17:16 Сообщение #23
Главный тренер Группа: Admin Сообщений: 2961 Регистрация: 4-September 03 Из: Moscow Пользователь №: 4	http://www.certification.ru/archive/topic9...9/51/10312.html Это - чтобы совсем успокоиться.

romario	May 12 2005, 17:23 Сообщение #24
Important first team player Группа: Members Сообщений: 2179 Регистрация: 5-September 04 Пользователь №: 83	сассер просто lsass использует чтоб комп перезагружать похоже

Admin

May 12 2005, 17:38

Сообщение #25

Младший Бог

Группа: Admin
Сообщений: 872
Регистрация: 13-July 04
Пользователь №: 32

QUOTE (Serg Chudo @ May 12 2005, 17:27)

вот что у меня добавилось после вчерашнего вашего хака.
Это страшное?

ты уверен что оно добавилось только вчера ?
lsass.exe - стандартный файл от винды.
Черви использующие уязвимость в LSASS (тот же Sasser, например) - просто вызывают ошибку в выполнении этого файла и получают потом управление.
Сам файл lsass.exe - по идее ничего с вирусами общего не имеет.

Другое дело, что любой червь\троян может иметь точно такое же имя файла. НО! оригинальный lsass.exe ДОЛЖЕН находиться в system32 каталоге. Если он у вас валяется где-то еще - проверяйте на www.kaspersky.com/scanforvirus и если будет "ок" - шлите на newvirus@kaspersky.com, будем смотреть.

"Взлом" сайта и наличие там VB-скрипта в принципе может означать, то что был подсунут Trojan-Dropper (именно вот тот VBS), который использует уязвимости в непропатченных IE и ставит в систему какой-нибудь троян. С именем lsass.exe и НЕ в каталог system32

Карочи. Серега - тебе надо посмотреть в файрволе - точный путь к этому файлу.

да и еще... такой способ (взлом и размещение дропера) характерны для Trojan-PSW.Win32.LdPinch
глянь у себя в корне диска C: наличие файлика out.bin или 0.bin, вообще любого файла с расширением *.bin (размер небольшой). атрибуты - скрытый\системный.

Ответить с цитированием данного сообщения

Unique	May 12 2005, 17:43 Сообщение #26
Юнег Группа: Элитарный Клуб Сетевиков Сообщений: 1159 Регистрация: 25-July 04 Из: Актобе, Казахстан Пользователь №: 48	В общем, у меня такая фигня появилась после users.php Объект Результат Описание <100.3c00000c.f000018.19000010> C:\WINDOWS\svchost.exe Инфицирован Trojan-PSW.Win32.PdPinch.i <cd0000.0.e> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [System=C:\WINDOWS\svchost.exe] Инфицирован Реестр: ссылка автозагрузки на C:\WINDOWS\svchost.exe объект с "Инфицирован" результатом <cd0000.0.e> C:\WINDOWS\svchost.exe Лечение невозможно Trojan-PSW.Win32.PdPinch.i <c90000.0.a> C:\WINDOWS\svchost.exe Удален Trojan-PSW.Win32.PdPinch.i <d10000.0.d> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [System=C:\WINDOWS\svchost.exe] Удален Реестр: ссылка автозагрузки на C:\WINDOWS\svchost.exe объект с "Удален" результатом <d10000.0.d> c:\kernel32.exe Инфицирован Trojan-PSW.Win32.PdPinch.i <cd0000.0.e> c:\kernel32.exe Лечение невозможно Trojan-PSW.Win32.PdPinch.i <c90000.0.a> c:\kernel32.exe Удален Trojan-PSW.Win32.PdPinch.i <d10000.0.d> -------------------- Юник. Еще один ЖЖ. А также, впервые на экранах! Мои креативы на Удаве.

Admin	May 12 2005, 17:53 Сообщение #27
Младший Бог Группа: Admin Сообщений: 872 Регистрация: 13-July 04 Пользователь №: 32	Кратко - как искать. Берем FAR или любой другой _нормальный_ менеджер файлов. Заходим в каталог Windows сортируем файлы по дате создания смотрим на те, что были созданы на днях (когда там был хак?) смотрим конечно же на файлы с расширением *.exe проверяем. удаляем если надо если не удаляются ручками - антивирус вам поможет то же самое делаем в каталоге system32 еще смотрим в ключ автозапуска системного реестра: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run там должны быть вызовы этих файлов. затем - БЫСТРО МЕНЯЕМ СВОИ ПАРОЛИ ОТ ПОЧТЫ, АСЬКИ и ПРОЧАЯ. ставим ВСЕ критические патчи от Microsoft не пользуемся больше IE никогда LdPinch-ей у нас более 1000 вариантов, все отличаются набором функций, размерами, именами файлов и т.д. Краткое описание одного из вариантов - тут: http://www.viruslist.com/ru/viruses/encycl...a?virusid=34784

SergeyZ	May 12 2005, 17:58 Сообщение #28
Главный тренер Группа: Admin Сообщений: 2961 Регистрация: 4-September 03 Из: Moscow Пользователь №: 4	Хак был 11-го мая, т.е. вчера, в районе 00:50. Всем, кто заходил с того времени на сайт и видел перед собой пустую страницу с заголовком users.php, срочно провериться так, как описал Админ!

brother brown	May 12 2005, 18:07 Сообщение #29
Backup for the first team Группа: Members Сообщений: 288 Регистрация: 9-July 04 Пользователь №: 21	я на сайт как-то нечасто на самом деле

drmad

May 12 2005, 18:15

Сообщение #30

Backup for the first team

Группа: Members
Сообщений: 499
Регистрация: 30-August 04
Из: камапа
Пользователь №: 77

QUOTE (SergeyZ @ May 12 2005, 18:58)

Хак был 11-го мая, т.е. вчера, в районе 00:50.
Всем, кто заходил с того времени на сайт и видел перед собой пустую страницу с заголовком users.php, срочно провериться так, как описал Админ!

У меня вчера днем тоже файрволл отловил. Я этот скрипт придавил, теперь жалею: экземпляр для коллекции пропал.

Вопрос к Админу: но это же не самоход? Его какой-то moodак ведь ручками на сайт запихнул?

--------------------

Любит жареных людей (на обед) добрый сказочник-злодей (DrMAD)

« Предыдущая тема · Наш сайт · Следующая тема »

1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)

Пользователей: 0