Xpoint
   [напомнить пароль]

Подозрительный javascript

Метки: [без меток]
[удл]
2007-04-26 05:36:57 [обр] brutalProger(0/3)[досье]
сообщение промодерировано

Здравствуйте.
Недавно обнаружил интересную вещь: всем страницам которые я правлю, в конец дописывается javascript, генерирующий iframe с display:none и в него грузит страницу www.helpdesignonline.com/vi/index.html.

Пройдясь сниффером этот URL выяснил, что страница запрашивает следующие адреса:

http://adv-system.net/system/tds/in.cgi?12
http://visit.geocities.com/visit.gif?&r=...
http://www.altavista.com/
http://us.bc.yahoo.com/b?P=8U_KJdibyJuEb...
http://bsav.search.yahoo.com/serv?s=3965...

Вроде бы ничего страшного (обычная реклама, что все равно неприятно), но что самое странное этот яваскрипт есть только на страницах которые уже закачаны на FTP. Правленые мной страницы (на "локальной машине") целы и невредимы, с ними никаких изменений, а эти же страницы, но закачаные спустя несколько часов на хост, уже содержат эту дрянь!
Неужели что-то во время закачки перехватывает их и модифицирует по своему? Или может быть заражен сам хост?

Какие идеи будут господа, подскажите пожалуйста, а то я уже теряюсь в догадках =)
Чувствую что что-то подцепил, а вот что именно...

спустя 26 минут [обр] Алексей В. Иванов(6/2861)[досье]

У меня на двух различных хостингах были похожие проблемы. На одном по FTP залили десяток папок "виагры" с тысячами файлами внутри для повышения ИЦ своего сайта, а на другом iframe'ы вставляли в конец phtml-файлов.
В первом случае, когда я обратился к хостерам (ruweb.net) мне нагло наврали, что это я виноват в утере пароля к FTP (буквы-цифры-очень-длинный), мол, они не при чём и в логах написано, что по FTP всё закачали. Ложь заключается в том, что пароля, кроме интернет-провайдера, никто узнать не мог. Он был только у меня в зашифрованном виде и никакого шпионского софта у меня не было, более того, у меня был доступ ещё к 30 серверам, ни один из которых не пострадал. Скриптов "дырявых" на хостинге не было.
Во втором случае не знаю что произошло — мне просто клиент жалобу написал. Я с сайтом до того момента не имел.

Подозреваю, что злоумышленники используют дырку в ПО, либо хостятся там же.

спустя 13 минут [обр] Роман Чемисов(0/327)[досье]
brutalProger[досье]
Вряд ли кто-то перехватывает Ваши данные во время закачки и на лету их модифицирует. Скорее всего — обычный червь, который заразил хост.
Но Вы на всякий случай запустите проверочку на вирусы на локальной машине.
спустя 1 минуту [обр] Роман Чемисов(0/327)[досье]
Да, совсем забыл: ещё можно сам хостинг проверить каким-нибудь Nessus'ом или LanGuard'ом. Но это не совсем этично будет.
спустя 4 минуты [обр] Роман Чемисов(0/327)[досье]

Алексей В. Иванов[досье]

Подозреваю, что злоумышленники используют дырку в ПО, либо хостятся там же.

 
По-моему, это одно и тоже. Ведь даже если они на одном с Вами хостинге добраться до Ваших файлов они не должны. Только через дыру в ПО.
Честно говоря, после Ваших слов у меня появилось подозрение, что кто-то из инсайдеров просто сливает пароли налево.

спустя 1 час 21 минуту [обр] Алексей В. Иванов(6/2861)[досье]
Не одно и то же. В одном случае атака извне, в другом, изнутри, что проще.
А по поводу "добраться до чужих" файлов... Могут. Смотря как сервер настроен. Не знаю, как сейчас, а 5 лет назад на у мастерхоста я абсолютно свободно заходил в папки других пользователей, смотрел, чего и как у них написано.
спустя 4 часа 16 минут [обр] Роман Чемисов(0/327)[досье]
Алексей В. Иванов[досье]
Ясно, что по сложности это разные вещи. Но это всё равно банальная дырка в ПО. Только некоторые дырки можно использовать удалённо, а некоторые только локально.
спустя 13 часов [обр] brutalProger(0/3)[досье]
Алексей В. Иванов[досье], Роман Чемисов[досье] большое спасибо за комментарии.
Комп проверил, все в порядке. У меея nod32 2.7 с ежедневным обновлением, OutpostFirewall с политикой "блокировать", т.е. на каждое соединение нужно создавать отдельное правило. Буду строчить гневное письмо хостеру (АРБАТЕК). Врядли конечно это сделали хостеры, а вот насчет дырки в ПО очень даже может быть.
Powered by POEM™ Engine Copyright © 2002-2005