Вход • Регистрация

Касперский ругается на трояна

  • 05 апреля 2012 г.
  • При загрузке сайта Касперский ругается на следующее:
    Цитата
    jquery.prettyPhoto.js Запрещено: HEUR:Trojan.Script.Generic 05.04.2012 21:59:45
    jquery.prettyPhoto.js Обнаружено: HEUR:Trojan.Script.Generic 05.04.2012 21:59:45
    user-func.js Запрещено: HEUR:Trojan.Script.Generic 05.04.2012 21:59:45
    user-func.js Обнаружено: HEUR:Trojan.Script.Generic 05.04.2012 21:59:45
    timepicker.js Запрещено: Trojan-Downloader.JS.JScript.ax 05.04.2012 21:59:44
    timepicker.js Обнаружено: Trojan-Downloader.JS.JScript.ax 05.04.2012 21:59:44
    jquery-ui-1.8.18.custom.min.js Запрещено: Trojan-Downloader.JS.JScript.ax 05.04.2012 21:59:43
    jquery-ui-1.8.18.custom.min.js Обнаружено: Trojan-Downloader.JS.JScript.ax 05.04.2012 21:59:43
    jquery.tooltip.min.js Запрещено: HEUR:Trojan.Script.Generic 05.04.2012 21:59:43
    jquery.tooltip.min.js Обнаружено: HEUR:Trojan.Script.Generic 05.04.2012 21:59:43
    jquery.prettyPhoto.js Запрещено: HEUR:Trojan.Script.Generic 05.04.2012 21:59:42
    jquery.prettyPhoto.js Обнаружено: HEUR:Trojan.Script.Generic 05.04.2012 21:59:42
    jquery-ui-1.8.18.custom.min.js Запрещено: Trojan-Downloader.JS.JScript.ax 05.04.2012 21:59:42
    jquery-ui-1.8.18.custom.min.js Обнаружено: Trojan-Downloader.JS.JScript.ax 05.04.2012 21:59:42


    Это файлы расположенные в директория _сайта/js/

    Это нормальная реакция?
    • 05 апреля 2012 г.
    • Это ненормальная реакция. Думаю вас хакнули. Хотя и скорее всего очень банальным способом. Здесь уже поднималась такая тема пару раз.
  • 05 апреля 2012 г.
  • Ссылку на тему в студию? Как так могли неожиданно хакнуть? Сайт вообще закрыт внешнего доступа на период разработки.
    • 06 апреля 2012 г.
    • Дмитрий, это в 2001 году хакали сайты снаружи, через дырки в ЦМС или самописах. А сегодня сайты хакают через ftp и через хостинги.
      Вот Вы как на ftp заходите? Через ftp-клиент, типа totalCMD? И пароли "для удобства" вбиты и сохранены на компьютере? Вот оттуда их любой червячек выудит и отошлет втихаря "кому надо". Затем по этим логинам и паролям спец-скрипты злоумышленников заходят на сайт, и автоматом по всем папкам херачат все js... А если хостинг не правильно настроен, то скрипт поднимается выше, где на виртуальном хостинге лежат сотни сайтов, и пошли по остальным соседним сайтам шерстить... И чаще всего, это самая частая причина. И на слабых хостингах бывает, что и не у вас пароль выкрали, а у соседа, но и вас тоже заразило. Valuehost этим грешил лет пять назад, их ломали раза 3 в течение пары месяцев, помню. Только почистишь все, пароли сменишь - херак, опять все в троянах...
      Меняйте FTP пароль, не вбивайте его в фтп-клиенты. Чистите сайты. На хостинге попросите логи доступа дать.
      • 06 апреля 2012 г.
      • Виталий, вот первый раз такое со мной. Не первый день в бою на поле ИТ. Компутер врят ли заражён. На всяк проверил 3 антивирями. Чисто.
        Буду хостинг проверять на дырявость. Разместил сайт на hostline.ru
        Всё таки видимо гарант безопасности это собственноручно настронный VDSVPS :) Дороже, но безопасно.
        • 06 апреля 2012 г.
        • Дмитрий, а вот не всегда VDS/VPS дороже. Посмотрите тарифы у того же хетцнера. : )
          • 06 апреля 2012 г.
          • Евгений, не спорю :) У хетзера даже выделенные серваки по очень интересным ценам.
            Но!
            Дело даже не в цене. А в качестве сервиса - раз. Расположении серваков - 2.
            Хетзер расположен в фашистскостане. Скорость до туда не всегда хорошая с россии. По этому если сайт нацелен на русского посетителя, то лучше расположить его в россии.
            Для некоторых сайтов не нужен виртуальный сервер, достаточно обычного недорогого шаред хостинга.
            Из хостеров VDS кстати очень понравился nqhost.com
            Так что всё относительно. Всё зависит и от религиозных соображений.
            • 06 апреля 2012 г.
            • Серверы в Германии а не в фашистскостане.

              Качество сервиса как раз у хетцнера на высоте. В том числе и безопасность.

              Скорость туда, на моем опыте всегда приличная.

              А вот падений серваков, опять же, на моей памяти, там не было ни разу.

              Да, все относительно, но при прочих равных, последнее время выбираю хетцнер.
              • 06 апреля 2012 г.
              • Я понял, утрирую :)
                Не будем разводить флуд.

                А по поводу заражения, нашёл источник зла, пролез левый адрес на ftp и внедрил в скрипты троянец.

                Вобщем ищу как мог утечь парольчик от FTP.
            • 07 апреля 2012 г. , редакция: 07 апреля 2012 г.
            • хочу вас огорчить насчет VDS/VPS, хостеры обычно жадные и напихают вас на один сервак как селедку в бочку, в итоге из-за нагрузки на сервер документы отдаваться могут на порядок медленнее чем с тогоже хетцнера, пинг кстати у меня(минск) до него 50-60мск, это с учетом того, что путь наши сраные провайдеры настроили через россию, пару раз видел пинг 25-30, это когда траф шел через литву и польшу.
              сам сижу на хетцнере уже 7лет.
              можешь пинг сам проверить пингонув lol.by
  • 05 июня 2012 г.
  • У меня около 20 сайтов своих и рабочих. Сегодня на 4-х всплыла проблема. Все 4-е, кое-что объединяет... ))) Причем версии разные, есть и 4.1 и 5.1.
    • 05 июня 2012 г. , редакция: 05 июня 2012 г.
    • Возможно утекли ваши пароли от FTP. Есть определенная группа вирусов, которая собирает с компьютера всю полезную информацию, вплоть до SSL сертификатов.
      • 05 июня 2012 г.
      • Возможно, хотя на компе хранились пароли только от двух сайтов из трех взломанных. А три сайта на других CMS, от которых также хранились пароли, вирус не тронул.
        • 05 июня 2012 г.
        • Надо искать следы. Следы логические, в смысле. Если есть тенденция, ее надо вычислить. Если вариант только один, что пароль мог быть только оттуда утечь, значит будем с этим бороться.
    • 05 июня 2012 г.
    • Правда, все 3 сайта еще на одном хостинге, но разных аккаунтах.
  • 05 июня 2012 г.
  • Вот кстати во избежании подобных случаев и отключил нафик ftp, подключаюсь через SFTP, но тогда проблема с автообновлениями..

Новости

  • 18 июня
  • В сборке большое обновление demo-шаблона, дополнительная защита от спама, улучшение YML-импорта и еще много важного и интересного.
  • 24 апреля
  • В новой сборке совершили революцию в структурировании кастомизированной информации в шаблонах, добавили авторегистрацию пользователей, усовершенствовали защиту от спама, актуализировали накопительную скидку, а также улучшили производительность и стабильность работы системы.
  • 12 января
  • После выхода сборки 7.1 мы выпустили уже три патча, в каждом из которых улучшаем административную часть сайта. Сборка DIAFAN.CMS 7.1.3 уже доступна к установке. 

Форум