Полная версия: Шо за...
Чё за users.php вылезает при открытии главной страницы?
Понятия не имею. Скриншот давай.
Даю
и у меня сегодня весь день файрвол ругается на это. Я запрет убрал, типа сайту доверяю, гавна не должно быть. Но блин, память сжираться стала, свцхост подменился, и траффик поначалу вырос. Щас вроде ничего не ругается, но юзерс.рхр каждый раз вылезает. Вчера такого, да и вообще раньше не было.
Дурилки вы картонные. С самого утра трояны на главной сидят 
Мой лицовый ДрВеб ругается.
Мой лицовый ДрВеб ругается.
ЗЫ. Админам сайта НИЗАЧОТ
Нету тут никаких троянов. Просто в новостях ссылка на скачивание через скрипт дана. Стукнитесь кто-нить в аську, дабы проверить...
Сообщения файрволов и антивирусов давайте. Без них ничо сделать не смогу, ибо у меня все отлично.
Все, в причине разобрался. Действительно, попытка хака была. Последствия все удалил, все должно быть ок. Сейчас буду логи смотреть и с хостером разговаривать.
вот ведь у нас в стране хакеров полно, на всех хватает 
К сожалению, отследить не удалось. Включил следящую систему, будем ждать следующего раза
Меня можешь исключить из состава подозреваемых... я не умею хакерить 
А я тебя в этот состав и не включал
йа тоже не виноват 
Камменты жжут?
вот что у меня добавилось после вчерашнего вашего хака.
Это страшное?
Это страшное?
Это к Админу
Вообще да, в том самом users.php был какой-то VB-скрипт. Че-то плохое, наверное, делал.
Вообще да, в том самом users.php был какой-то VB-скрипт. Че-то плохое, наверное, делал.
Ладно, меня хоть файрвол предупредил. А сколько юзеров сидит даже не подозревает, что у них сассер на компе спит.... пока....
экзешники где у него?
только в памяти, больше нигде. на винте лежит сааавсем другой файл, который скриптом чётатам делает, и в озу создается эта бяка, которая и работает сама по себе.
ващето начинает мне казаться, что сассер, и lsass.exe - вещи не связанные, и вируса у меня нет. Проверился - ни следа.... Странно всё это....
http://www.viruslist.com/ru/viruses/encycl...a?virusid=50204
Не надо паники. Не сассер это. Вернее, наличие сассера в системе не связано со вчерашним users.php.
Не надо паники. Не сассер это. Вернее, наличие сассера в системе не связано со вчерашним users.php.
сассер просто lsass использует чтоб комп перезагружать похоже
| QUOTE (Serg Chudo @ May 12 2005, 17:27) |
| вот что у меня добавилось после вчерашнего вашего хака. Это страшное? |
ты уверен что оно добавилось только вчера ?
lsass.exe - стандартный файл от винды.
Черви использующие уязвимость в LSASS (тот же Sasser, например) - просто вызывают ошибку в выполнении этого файла и получают потом управление.
Сам файл lsass.exe - по идее ничего с вирусами общего не имеет.
Другое дело, что любой червь\троян может иметь точно такое же имя файла. НО! оригинальный lsass.exe ДОЛЖЕН находиться в system32 каталоге. Если он у вас валяется где-то еще - проверяйте на www.kaspersky.com/scanforvirus и если будет "ок" - шлите на newvirus@kaspersky.com, будем смотреть.
"Взлом" сайта и наличие там VB-скрипта в принципе может означать, то что был подсунут Trojan-Dropper (именно вот тот VBS), который использует уязвимости в непропатченных IE и ставит в систему какой-нибудь троян. С именем lsass.exe и НЕ в каталог system32
Карочи. Серега - тебе надо посмотреть в файрволе - точный путь к этому файлу.
да и еще... такой способ (взлом и размещение дропера) характерны для Trojan-PSW.Win32.LdPinch
глянь у себя в корне диска C: наличие файлика out.bin или 0.bin, вообще любого файла с расширением *.bin (размер небольшой). атрибуты - скрытый\системный.
В общем, у меня такая фигня появилась после users.php
Объект Результат Описание <100.3c00000c.f000018.19000010>
C:\WINDOWS\svchost.exe Инфицирован Trojan-PSW.Win32.PdPinch.i <cd0000.0.e>
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [System=C:\WINDOWS\svchost.exe] Инфицирован Реестр: ссылка автозагрузки на C:\WINDOWS\svchost.exe объект с "Инфицирован" результатом <cd0000.0.e>
C:\WINDOWS\svchost.exe Лечение невозможно Trojan-PSW.Win32.PdPinch.i <c90000.0.a>
C:\WINDOWS\svchost.exe Удален Trojan-PSW.Win32.PdPinch.i <d10000.0.d>
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [System=C:\WINDOWS\svchost.exe] Удален Реестр: ссылка автозагрузки на C:\WINDOWS\svchost.exe объект с "Удален" результатом <d10000.0.d>
c:\kernel32.exe Инфицирован Trojan-PSW.Win32.PdPinch.i <cd0000.0.e>
c:\kernel32.exe Лечение невозможно Trojan-PSW.Win32.PdPinch.i <c90000.0.a>
c:\kernel32.exe Удален Trojan-PSW.Win32.PdPinch.i <d10000.0.d>
Объект Результат Описание <100.3c00000c.f000018.19000010>
C:\WINDOWS\svchost.exe Инфицирован Trojan-PSW.Win32.PdPinch.i <cd0000.0.e>
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [System=C:\WINDOWS\svchost.exe] Инфицирован Реестр: ссылка автозагрузки на C:\WINDOWS\svchost.exe объект с "Инфицирован" результатом <cd0000.0.e>
C:\WINDOWS\svchost.exe Лечение невозможно Trojan-PSW.Win32.PdPinch.i <c90000.0.a>
C:\WINDOWS\svchost.exe Удален Trojan-PSW.Win32.PdPinch.i <d10000.0.d>
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [System=C:\WINDOWS\svchost.exe] Удален Реестр: ссылка автозагрузки на C:\WINDOWS\svchost.exe объект с "Удален" результатом <d10000.0.d>
c:\kernel32.exe Инфицирован Trojan-PSW.Win32.PdPinch.i <cd0000.0.e>
c:\kernel32.exe Лечение невозможно Trojan-PSW.Win32.PdPinch.i <c90000.0.a>
c:\kernel32.exe Удален Trojan-PSW.Win32.PdPinch.i <d10000.0.d>
Кратко - как искать.
Берем FAR или любой другой _нормальный_ менеджер файлов.
Заходим в каталог Windows
сортируем файлы по дате создания
смотрим на те, что были созданы на днях (когда там был хак?)
смотрим конечно же на файлы с расширением *.exe
проверяем.
удаляем если надо
если не удаляются ручками - антивирус вам поможет
то же самое делаем в каталоге system32
еще смотрим в ключ автозапуска системного реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
там должны быть вызовы этих файлов.
затем - БЫСТРО МЕНЯЕМ СВОИ ПАРОЛИ ОТ ПОЧТЫ, АСЬКИ и ПРОЧАЯ.
ставим ВСЕ критические патчи от Microsoft
не пользуемся больше IE никогда
LdPinch-ей у нас более 1000 вариантов, все отличаются набором функций, размерами, именами файлов и т.д.
Краткое описание одного из вариантов - тут:
http://www.viruslist.com/ru/viruses/encycl...a?virusid=34784
Берем FAR или любой другой _нормальный_ менеджер файлов.
Заходим в каталог Windows
сортируем файлы по дате создания
смотрим на те, что были созданы на днях (когда там был хак?)
смотрим конечно же на файлы с расширением *.exe
проверяем.
удаляем если надо
если не удаляются ручками - антивирус вам поможет
то же самое делаем в каталоге system32
еще смотрим в ключ автозапуска системного реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
там должны быть вызовы этих файлов.
затем - БЫСТРО МЕНЯЕМ СВОИ ПАРОЛИ ОТ ПОЧТЫ, АСЬКИ и ПРОЧАЯ.
ставим ВСЕ критические патчи от Microsoft
не пользуемся больше IE никогда
LdPinch-ей у нас более 1000 вариантов, все отличаются набором функций, размерами, именами файлов и т.д.
Краткое описание одного из вариантов - тут:
http://www.viruslist.com/ru/viruses/encycl...a?virusid=34784
Хак был 11-го мая, т.е. вчера, в районе 00:50.
Всем, кто заходил с того времени на сайт и видел перед собой пустую страницу с заголовком users.php, срочно провериться так, как описал Админ!
Всем, кто заходил с того времени на сайт и видел перед собой пустую страницу с заголовком users.php, срочно провериться так, как описал Админ!
я на сайт как-то нечасто на самом деле
| QUOTE (SergeyZ @ May 12 2005, 18:58) |
| Хак был 11-го мая, т.е. вчера, в районе 00:50. Всем, кто заходил с того времени на сайт и видел перед собой пустую страницу с заголовком users.php, срочно провериться так, как описал Админ! |
У меня вчера днем тоже файрволл отловил. Я этот скрипт придавил, теперь жалею: экземпляр для коллекции пропал.
Вопрос к Админу: но это же не самоход? Его какой-то moodак ведь ручками на сайт запихнул?
Смотрю я на вас... и думаю: а Opera то, рулит.
Админ, спасибо. Просвятил. У меня траблы другого характера, с ними можно к тебе? Явно вирусы.
Разве подобные VB=скрипты могут залазить только через IE? Оперой никак? Мозиллой?
2.
Файл: syshost.exe - вирус или нет? Т.к. в других ХР системах я его не видел, то я его прибил теперь компутер не может перезагрузится через пуск/завершение работы. Был он в system32
Наверна это был не вирус? Тогда что?
3.
syshost.exe
Этих сколько должно быть процессов, а то у меня один периодически стучится по всем портам, если я снимаю его (через Таск Манагер), то комп перегужается просто...
Проверка ДрВебом не спасла... че-то нашло, удалять правда не захотел, че то ему не понравилось в его же ini файле. Типа нет разрешения удалять, хотя я четко поставил, что можно.
Что много, так наболело. А особо не у кого спросить.
Разве подобные VB=скрипты могут залазить только через IE? Оперой никак? Мозиллой?
2.
Файл: syshost.exe - вирус или нет? Т.к. в других ХР системах я его не видел, то я его прибил
теперь компутер не может перезагрузится через пуск/завершение работы. Был он в system32Наверна это был не вирус? Тогда что?
3.
syshost.exe
Этих сколько должно быть процессов, а то у меня один периодически стучится по всем портам, если я снимаю его (через Таск Манагер), то комп перегужается просто...
Проверка ДрВебом не спасла... че-то нашло, удалять правда не захотел, че то ему не понравилось в его же ini файле. Типа нет разрешения удалять, хотя я четко поставил, что можно.
Что много, так наболело. А особо не у кого спросить.
| QUOTE (Lyrius @ May 12 2005, 19:17) |
| Смотрю я на вас... и думаю: а Opera то, рулит. |
На самом деле рулит Арахна фор МС-ДОС.
| QUOTE (drmad @ May 12 2005, 19:15) |
| Вопрос к Админу: но это же не самоход? Его какой-то moodак ведь ручками на сайт запихнул? |
угу, через sql-injection
я вообще удивлен весьма, что столь дырявую версию форума похакали только сейчас, а не полгода назад
| QUOTE (bigfoot @ May 12 2005, 19:21) |
| Разве подобные VB=скрипты могут залазить только через IE? Оперой никак? Мозиллой? 2. Файл: syshost.exe - вирус или нет? Т.к. в других ХР системах я его не видел, то я его прибил теперь компутер не может перезагрузится через пуск/завершение работы. Был он в system32Наверна это был не вирус? Тогда что? 3. syshost.exe Этих сколько должно быть процессов, а то у меня один периодически стучится по всем портам, если я снимаю его (через Таск Манагер), то комп перегужается просто... |
1. Могут, но 99% заточены именно под ИЕ, как наиболее распространенный браузер. и наиболее дырявый.
2. syshost.exe - однозначно вирус, должен быть svchost.exe в каталоге system32
3. ээ.. - название то какое точно - sys или svc ?
если ты про svchost - то у него может быть много процессов и убивать их не надо (если конечно это правильный svchost из system32). у меня например 5 процессов. зависит от количества исп.сетевых служб.
да и вот еще что, люди...
отключайте нах Windows System Restore, потому что если червь-троян поставит себя в каталог system32 и в таком состоянии система это засторит, то даже если вы его убьете (или антивирус убьет) - то при следующей загрузке он опять восстановится.
давить, бл
отключайте нах Windows System Restore, потому что если червь-троян поставит себя в каталог system32 и в таком состоянии система это засторит, то даже если вы его убьете (или антивирус убьет) - то при следующей загрузке он опять восстановится.
давить, бл
| QUOTE (Admin @ May 12 2005, 19:42) | ||
угу, через sql-injection я вообще удивлен весьма, что столь дырявую версию форума похакали только сейчас, а не полгода назад |
А я вообще удивлен, что сайт, где одним из админов числится Великий Админ (он же Младший Бог) из Лаборатории Касперского, имеет "столь дырявую версию форума"
Не фига.. Нас кто-то заказал.
Так. Я вирус у себя отловил.
Это svchost.exe
svchost.exe - инфицирован Trojan-PSW.Win32.PdPinch.i
сидит в корне Винды.
Это svchost.exe
svchost.exe - инфицирован Trojan-PSW.Win32.PdPinch.i
сидит в корне Винды.
| QUOTE (Ole Lukoye @ May 12 2005, 19:49) |
| А я вообще удивлен, что сайт, где одним из админов числится Великий Админ (он же Младший Бог) из Лаборатории Касперского, имеет "столь дырявую версию форума" |
все вопросы к Грязному Энди, об истории происхождения ника которого - ходят легенды.
Бля... На Касперском нет бесплатной утилиты от этого вируса.... Я тока ими спасался...
если svchost.exe удалить, винде хуже не будет от этого? Похоже, завирусилось только это файло..
Да, и что-то не грузятся у меня вирусные инциклопедии касперские. Все остальные сайты работают...
Проверился... вирусов нет... Опера рулит 
У меня IE6, Win98SE, правда, с заплатками. Вирусов нет
2SergeyZ. Не-а, еще должен быть KERNEL32.EXE в корне. Т.е. всего два экземпляра трояна на машине, и обоих надо мочить. И в реестре должна найтись ссылочка в HKLM\Current User\...\Run - тоже потереть.
Кстати, неплохо бы алерт об этом выложить в новости сайта, а то не все топики читают.
2Админ. Саш, я тебе закинул экземпляр гада. Адресочки внутри, наверное, полезные?
Кстати, неплохо бы алерт об этом выложить в новости сайта, а то не все топики читают.
2Админ. Саш, я тебе закинул экземпляр гада. Адресочки внутри, наверное, полезные?
| QUOTE (drmad @ May 12 2005, 22:10) |
| HKLM\Current User\...\Run - тоже потереть. |
Сорри, переклинило.
Конечно же HKCU\Software\...\Run.
Так. Тау-монитор и аутпост файрвол тоже просигнализировали мне.
Запустил щас Х-софт-спай уже найдено
Запустил щас Х-софт-спай уже найдено
Реестр и многочисленные Run как в Local Machine, так и в Current User - это первое, что я проверил, как узнал про троян. Второе, что я сделал - в том самом FARе отсортировал файлы по дате создания и поглядел, что нового появлялось в виндовых каталогах... Комп чист, как воздух на микропроцессорных заводах.
| QUOTE (Unfair_Joe @ May 12 2005, 23:44) |
| Так. Тау-монитор и аутпост файрвол тоже просигнализировали мне. Запустил щас Х-софт-спай уже найдено |
Вот обьясните мне - ну вот какого ... пользуетесь всякими тау-мониторами или какими-то х-софт-спаями ? п...ц, я в ав-индустрии работаю - а таких названий даже не слышал никогда....
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.