Нужна помощь!

Форум » Технические вопросы работы форума » Нужна помощь! » Ответить

Нужна помощь!

A.K.: Зеркало сайта на "народе" закрыто администрацией за нарушение пользовательского соглашения (п. 5 h - распространение вирусов). [quote]Ваш сайт Noogen.narod.ru закрыт за нарушение Пользовательского Соглашения (пункт 5.h). /index.htm : infected with Trojan.DownLoader.33840 Просим Вас обратить внимание, что, если Вы не предприняли никаких действий по решению возникшей проблемы, закрытый сайт удаляется автоматически через месяц с момента закрытия и восстановлению не подлежит.[/quote] Касперский-7 у меня периодически вылавливает вирусы, но это происходит постфактум. Я вручную вычистил фрейм в index'е, и "зеракло", надеюсь, будет восстановлено, но нет никакой гарантии, что зараза не вернётся вновь, как это бывало раньше. Кроме того, под угрозой остаются другие сайта на народе - iaefremov.narod.ru и rpo-ramenki.narod.ru, а также зеркало на progressory.org, куда тоже зараза забиралась. Как решить эту проблему?

Ответов - 26

Alex Dragon: Думаю. Первоисточник заразы бы установить. Пока внятного описания напасти найти не удаётся. Судя по тому, что пишут люди на форумах, многие склоняются к взлому самих хостеров, а не вирусам на компах пользователей. Но это вилами по воде. Как я и писал ранее, можно выделить три конкурирующие версии происходящего: 1) Вирус на машине пользователя, сканирующий винт и изменяющий html-файлы; 2) Вирус, крадущий пароли доступа к сайтам и изменение файлов непосредственно на хостинге; 3) Взлом самого хостинга. Пока маловато данных для анализа. Если бы были логи твоего антивируса — что он там отлавливал, когда и желательно образцы найденных им заражённых файлов — это несколько облегчило бы поиск слабого места. К тому же очень желательно представлять себе конфигурацию системы, конфигурацию подключения к Инету и окружение — в смысле, открыт ли провайдером внутрисетевой доступ юзеров к юзерам, позволительно ли расшаривать папки (т.е. действует ли виндовая локалка) или это всё запрещено, реальный айпишник или через NAT в Инет бегается, и всякое такое. Я сейчас даже затруднюсь всё перечислить детально, что нужно знать. Это всё, если исходить из наиболее вероятного нахождения вируса на твоей машине. У тебя сохранился вычищенный тобой из html текст левого кода?

A.K.: 1-й вариант отпадает, т.к. аналогичные файлы index на жёстком диске не модифицируются, только на сервере. 2-й вариант наиболее вероятен. Я для изменений на сайте пользуюсь ftp. Похоже, что чем чаще я обращаюсь к тому или иному серверу, тем больше вероятность его заражения. Ни разу не было заражено зеркало на 2084 (это rbc) - по-видимому, у них защита лучше, - а вот narod и 100mb.ru (progressory.org) подвержены. Источник заразы сидит на компе и проникает через фтп? Чтобы проверить это, я могу перейти к редактированию сайтов через интерфейс на "народе", отказавшись от фтп.

A.K.: В службе поддержки "Народа" дали ссылку на страницу с описанием очень похожей проблемы: http://articles-test.narod.ru/index.html Даже грубая реклама "Мозиллы" пришлась кстати - у меня с некоторого момента она перестала открываться (сообщение, что она, якобы, уже запущена), и с реестром какие-то странности.

Alex Dragon: Ага, почитаю. Днём не мог — инета не было. Я думаю, врядли сам вирус меняет файлы на сервере, скорее просто тырит пароли и отсылает хозяину. Хотя, конечно, исключать изменения с твоей машины нельзя. Вообще, я бы в целях профилактики систему переставил, с нуля. И внимательно смотрел бы сетевые настройки.

A.K.: Вирусы повылавливал, систему переустановил, глюки с реестром прошли. Пока новая зараза не проникала.

Alex Dragon: Я вот не могу понять, откуда ты их ловил. Это ведь не в первый раз. У тебя внутрисетевой доступ открыт? Т.е. видишь ли ты машины других пользователей во внутренней сети твоего провайдера? Названий найденных вирусов ты не записал?

A.K.: Alex Dragon пишет: У тебя внутрисетевой доступ открыт? Т.е. видишь ли ты машины других пользователей во внутренней сети твоего провайдера? В "сетевом окружении" вижу 7 соседних компов. Названий найденных вирусов ты не записал? Некоторые записал: Trojan program Trojan-Spy.Win32.Zbot.cfj Trojan program Trojan-Spy.Win32.Zbot.cbo

Alex Dragon: И зайти к ним можешь? Пользуешься ли этой возмжностью для файлообмена? Имеешь ли сам расшаренные папки, открытые наружу? К сети машина подключена напрямую или через раутер, как у Коли, или может быть ADSL-модем? Кстати, что за провайдер, название? Лучше дальше обсуждать эти вещи по мылу или через личку — слишком интимные подрбности пошли, знать их посторонним не нужно.

A.K.: Alex Dragon в теме про психотипы пишет: На мыло жирно будет — там 65 мб. Вот так попробуйте, это должно быть проще: http://narod.ru/disk/20954725000/D._Morozov_Dvazhdyrozhdjonnye_1998.rar.html А кто подскажет, можно ли оптимизировать размер файла? Хотелось бы книгу на сайте разместить, но 65 Мб - это слишком.

helenrokken: Я спросила сына, он правда с pdf не работает, но сказал: "я бы посоветовал для инета перевести чем-нибудь пдф в хтмл. а уже хтмл сиэсэсом можно привести в порядок и смешной вес" Не знаю, поможет ли это?

Alex Dragon: Там сканированные страницы, фактически это просто собранные вместе в один файл имиджы (битмапы), грубо говоря — фотокопии страниц. Так что если в хтмл — это надо распознавать чем-нибудь типа Файнридера, вычитывать (кстати, опечаток и версточного брака там выше крыши), и тогда уже будет голый текст. Правда, можно перевести это в формат DejaVu — тоже графический, но будет он раз в несколько меньше при сохранении разборчивости и читабельности текста. Иллюстрации, правда, пострадают, особенно цветные, но если читать с экрана и ради именно чтения — это можно сделать. Но радикального улучшения не обещаю, это всё равно где-нибудь порядка десяти мегабайт будет.

A.K.: Ага, спасибо. Придумаю что-нибудь.

Alex Dragon: http://narod.ru/disk/21212094000/D._Morozov_Dvazhdyrozhdjonnye_1998.djv.html Меньше одиннадцати мегабайт никак не получается.

A.K.: Спасибо, скачиваю. А "Через горы времени" в HTML перевёл, т.к. сайт не резиновый. UPD: Закачал Дваждырождённых: http://noogen.2084.ru/dr.djv http://noogen.su/dr.djv Но в новостях пока не анонсировал.

Евгений А.: Пере-"файнридил" pdf в doc c корректной графикой (вышло 15.4Mb), а после сконвертировал через Any2FB2 в формат эл.книг fb2 (он очень компактен - 2.64Mb) - рисунки слегка "поплыли", но текст открывается во всех популярных программах-читалках (Haali, AlReader, CoolReader и т.п.) и не подгружает слабые компы (проверил на P3-500 c 128Mb RAM!)... Кто подскажет более предсказуемый в плане графики ковертор "doc (rft, html) - fb2", и как сделать корректное оглавление?

Джигар: Евгений, а можете в .doc'е оставить? Точнее в .rtf? Заранее благодарю!

helenrokken: Мой разведчик советует пока посмотреть конвертор на либрусеке http://lib.rus.ec/ Там есть хорошее обсуждение этой темы. Чуть позже будут более подробные объяснения.

Alex Dragon: Увы, произошла ошибочка: при обработке одна страница потерялась, а другая была вставлена дважды. Так что если кто будет качать — качайте исправленную версию: http://narod.ru/disk/21264727000/Morozov_Dvazhdyrozhdjonnye.djv.html Кроме того, удалось утрамбовать файл до 8.53 МБ.

helenrokken: Алекс - ты как всегда на высоте скорой интернет-помощи! Спасибо!

A.K.: Я перезаписал: http://noogen.su/dr.djv или http://noogen.2084.ru/dr.djv

Евгений А.: Джигар пишет: можете в .doc'е оставить? Точнее в .rtf?http://narod.ru/disk/21269860000/D._Morozov_Dvazhdyrozhdjonnye_1998.rar.html Архив .doc всего 1.61 МБ, а в .rft его можно сохранить в самом Ворде.

Джигар: Наконец-то появилось время и я скачал все варианты «Дваждырожденных» и в .pdf и в djvu и в doc. За последнее хочется особенно поблагодарить Евгения! Не ожидал от него такой помощи форуму. Невольно вспомнились слова Сат-Ока о полезности Евгения.

A.K.: Все мы нужны - каждый по-своему

Nik: ftp или ssh? Если ftp - то вот и источник всех вирусов и взломов. :-) Там не шифрованный пароль, так что его не украдет только ленивый.

Alex Dragon: Это вы о чём? Это во-первых. Во-вторых, даже если и не шифрованный, кто и как может ваш трафик просканировать? Для этого надо где-то вцепиться и весь трафик прочесать, выискивая среди гор мусора персонально ваш. Кто, где и каким макаром может слушать? Реально только провайдер и органы. Магистральные линии расковырять никто не даст — это подсудное дело совсем не по хулиганским статьям, а где-то у вашего дома в кабель вклиниваться — кому оно надо? То есть тут возможны только случайные протечки либо целенаправленное внимание именно к вам, причём с персональным взломом вашей машины. Реально же чаще всего пароли протекают из-за вирусов. Что касаемо ssh, то он тоже не панацея. Где виндовый клиент хранит пароли? Именно оттуда вирусня их и вытянет. А ручками каждый раз набирать обычно ну очень лениво.

Олег Цимаенко: ssh с паролями пользуются редко. Чаще используют ключики лежащие на серваке. Поставте просто двойную защиту. Любую. простейшую типа авторизацию через .htaccess В 99.9999% взломы производятся роботами. Мельчайшие изменения в защите которые живой человек обойдёт за 3 сек для робота фатальны. * Переменуйте admin в admin123 * поставте дополнительную авторизацию на админку через htaccess * используйте sftp и https вместо ftp и http * ставте обновления движка * Разберитесь раз и навсегда с правами файлов на сервере. Ищите хостинг с suexec и установите права файлов такими чтобы их не мог модифицировать движок сайта. Я думаю что приведённый мной список простейших действий в комплексек уменшит вероятность взлома сайта в миллионы раз.

полная версия страницы