Отправлено: 04.06.08 09:51. Заголовок: Нужна помощь!

Зеркало сайта на "народе" закрыто администрацией за нарушение пользовательского соглашения (п. 5 h - распространение вирусов).

цитата:

Ваш сайт Noogen.narod.ru закрыт за нарушение Пользовательского Соглашения (пункт 5.h). /index.htm : infected with Trojan.DownLoader.33840 Просим Вас обратить внимание, что, если Вы не предприняли никаких действий по решению возникшей проблемы, закрытый сайт удаляется автоматически через месяц с момента закрытия и восстановлению не подлежит.

Касперский-7 у меня периодически вылавливает вирусы, но это происходит постфактум. Я вручную вычистил фрейм в index'е, и "зеракло", надеюсь, будет восстановлено, но нет никакой гарантии, что зараза не вернётся вновь, как это бывало раньше. Кроме того, под угрозой остаются другие сайта на народе - iaefremov.narod.ru и rpo-ramenki.narod.ru, а также зеркало на progressory.org, куда тоже зараза забиралась.

Как решить эту проблему?

 Отправлено: 04.06.08 12:36. Заголовок: Думаю. Первоисточник..

Думаю. Первоисточник заразы бы установить. Пока внятного описания напасти найти не удаётся. Судя по тому, что пишут люди на форумах, многие склоняются к взлому самих хостеров, а не вирусам на компах пользователей. Но это вилами по воде.
Как я и писал ранее, можно выделить три конкурирующие версии происходящего:
1) Вирус на машине пользователя, сканирующий винт и изменяющий html-файлы;
2) Вирус, крадущий пароли доступа к сайтам и изменение файлов непосредственно на хостинге;
3) Взлом самого хостинга.

Пока маловато данных для анализа. Если бы были логи твоего антивируса — что он там отлавливал, когда и желательно образцы найденных им заражённых файлов — это несколько облегчило бы поиск слабого места.
К тому же очень желательно представлять себе конфигурацию системы, конфигурацию подключения к Инету и окружение — в смысле, открыт ли провайдером внутрисетевой доступ юзеров к юзерам, позволительно ли расшаривать папки (т.е. действует ли виндовая локалка) или это всё запрещено, реальный айпишник или через NAT в Инет бегается, и всякое такое. Я сейчас даже затруднюсь всё перечислить детально, что нужно знать.
Это всё, если исходить из наиболее вероятного нахождения вируса на твоей машине.
У тебя сохранился вычищенный тобой из html текст левого кода?

 Отправлено: 04.06.08 12:52. Заголовок: 1-й вариант отпадает..

1-й вариант отпадает, т.к. аналогичные файлы index на жёстком диске не модифицируются, только на сервере. 2-й вариант наиболее вероятен.
Я для изменений на сайте пользуюсь ftp. Похоже, что чем чаще я обращаюсь к тому или иному серверу, тем больше вероятность его заражения. Ни разу не было заражено зеркало на 2084 (это rbc) - по-видимому, у них защита лучше, - а вот narod и 100mb.ru (progressory.org) подвержены. Источник заразы сидит на компе и проникает через фтп? Чтобы проверить это, я могу перейти к редактированию сайтов через интерфейс на "народе", отказавшись от фтп.

 Отправлено: 04.06.08 16:39. Заголовок: В службе поддержки &..

В службе поддержки "Народа" дали ссылку на страницу с описанием очень похожей проблемы: http://articles-test.narod.ru/index.html
Даже грубая реклама "Мозиллы" пришлась кстати - у меня с некоторого момента она перестала открываться (сообщение, что она, якобы, уже запущена), и с реестром какие-то странности.

 Отправлено: 04.06.08 21:20. Заголовок: Ага, почитаю. Днём н..

Ага, почитаю. Днём не мог — инета не было.

Я думаю, врядли сам вирус меняет файлы на сервере, скорее просто тырит пароли и отсылает хозяину. Хотя, конечно, исключать изменения с твоей машины нельзя.
Вообще, я бы в целях профилактики систему переставил, с нуля. И внимательно смотрел бы сетевые настройки.

 Отправлено: 06.06.08 10:48. Заголовок: Вирусы повылавливал,..

Вирусы повылавливал, систему переустановил, глюки с реестром прошли. Пока новая зараза не проникала.

 Отправлено: 06.06.08 11:10. Заголовок: Я вот не могу понять..

Я вот не могу понять, откуда ты их ловил. Это ведь не в первый раз.
У тебя внутрисетевой доступ открыт? Т.е. видишь ли ты машины других пользователей во внутренней сети твоего провайдера?

Названий найденных вирусов ты не записал?

 Отправлено: 07.06.08 00:39. Заголовок: Alex Dragon пишет: У..

Alex Dragon пишет:

цитата:

У тебя внутрисетевой доступ открыт? Т.е. видишь ли ты машины других пользователей во внутренней сети твоего провайдера?

В "сетевом окружении" вижу 7 соседних компов.

цитата:

Названий найденных вирусов ты не записал?

Некоторые записал:
Trojan program Trojan-Spy.Win32.Zbot.cfj
Trojan program Trojan-Spy.Win32.Zbot.cbo

 Отправлено: 07.06.08 01:33. Заголовок: И зайти к ним можешь..

И зайти к ним можешь? Пользуешься ли этой возмжностью для файлообмена? Имеешь ли сам расшаренные папки, открытые наружу? К сети машина подключена напрямую или через раутер, как у Коли, или может быть ADSL-модем? Кстати, что за провайдер, название?
Лучше дальше обсуждать эти вещи по мылу или через личку — слишком интимные подрбности пошли, знать их посторонним не нужно.

 Отправлено: 26.05.10 11:42. Заголовок: Alex Dragon в теме п..

Alex Dragon в теме про психотипы пишет:

цитата:

На мыло жирно будет — там 65 мб. Вот так попробуйте, это должно быть проще: http://narod.ru/disk/20954725000/D._Morozov_Dvazhdyrozhdjonnye_1998.rar.html

А кто подскажет, можно ли оптимизировать размер файла? Хотелось бы книгу на сайте разместить, но 65 Мб - это слишком.

 Отправлено: 26.05.10 19:36. Заголовок: Я спросила сына, он ..

Я спросила сына, он правда с pdf не работает, но сказал: "я бы посоветовал для инета перевести чем-нибудь пдф в хтмл. а уже хтмл сиэсэсом можно привести в порядок и смешной вес"

Не знаю, поможет ли это?

 Отправлено: 26.05.10 23:03. Заголовок: Там сканированные ст..

Там сканированные страницы, фактически это просто собранные вместе в один файл имиджы (битмапы), грубо говоря — фотокопии страниц. Так что если в хтмл — это надо распознавать чем-нибудь типа Файнридера, вычитывать (кстати, опечаток и версточного брака там выше крыши), и тогда уже будет голый текст. Правда, можно перевести это в формат DejaVu — тоже графический, но будет он раз в несколько меньше при сохранении разборчивости и читабельности текста. Иллюстрации, правда, пострадают, особенно цветные, но если читать с экрана и ради именно чтения — это можно сделать. Но радикального улучшения не обещаю, это всё равно где-нибудь порядка десяти мегабайт будет.

 Отправлено: 27.05.10 10:46. Заголовок: Ага, спасибо. Придум..

Ага, спасибо. Придумаю что-нибудь.

 Отправлено: 27.05.10 14:32. Заголовок: http://narod.ru/disk..

http://narod.ru/disk/21212094000/D._Morozov_Dvazhdyrozhdjonnye_1998.djv.html
Меньше одиннадцати мегабайт никак не получается.

 Отправлено: 28.05.10 11:52. Заголовок: Спасибо, скачиваю. ..

Спасибо, скачиваю.
А "Через горы времени" в HTML перевёл, т.к. сайт не резиновый.

UPD: Закачал Дваждырождённых:
http://noogen.2084.ru/dr.djv
http://noogen.su/dr.djv
Но в новостях пока не анонсировал.

 Отправлено: 28.05.10 15:24. Заголовок: Пере-"файнридил&..

Пере-"файнридил" pdf в doc c корректной графикой (вышло 15.4Mb), а после сконвертировал через Any2FB2 в формат эл.книг fb2 (он очень компактен - 2.64Mb) - рисунки слегка "поплыли", но текст открывается во всех популярных программах-читалках (Haali, AlReader, CoolReader и т.п.) и не подгружает слабые компы (проверил на P3-500 c 128Mb RAM!)...

Кто подскажет более предсказуемый в плане графики ковертор "doc (rft, html) - fb2", и как сделать корректное оглавление?

 Отправлено: 28.05.10 18:01. Заголовок: Евгений, а можете в ..

Евгений, а можете в .doc'е оставить? Точнее в .rtf?

Заранее благодарю!

 Отправлено: 28.05.10 20:04. Заголовок: Мой разведчик совету..

Мой разведчик советует пока посмотреть конвертор на либрусеке http://lib.rus.ec/
Там есть хорошее обсуждение этой темы. Чуть позже будут более подробные объяснения.

 Отправлено: 28.05.10 22:00. Заголовок: Увы, произошла ошибо..

Увы, произошла ошибочка: при обработке одна страница потерялась, а другая была вставлена дважды. Так что если кто будет качать — качайте исправленную версию:
http://narod.ru/disk/21264727000/Morozov_Dvazhdyrozhdjonnye.djv.html
Кроме того, удалось утрамбовать файл до 8.53 МБ.

 Отправлено: 28.05.10 22:28. Заголовок: Алекс - ты как всегд..

Алекс - ты как всегда на высоте скорой интернет-помощи! Спасибо!

 Отправлено: 28.05.10 23:13. Заголовок: Я перезаписал: http:..

Я перезаписал: http://noogen.su/dr.djv или http://noogen.2084.ru/dr.djv

 Отправлено: 29.05.10 02:01. Заголовок: Джигар пишет: может..

Джигар пишет:

цитата:

можете в .doc'е оставить? Точнее в .rtf?

http://narod.ru/disk/21269860000/D._Morozov_Dvazhdyrozhdjonnye_1998.rar.html

Архив .doc всего 1.61 МБ, а в .rft его можно сохранить в самом Ворде.

 Отправлено: 12.06.10 08:00. Заголовок: Наконец-то появилось..

Наконец-то появилось время и я скачал все варианты «Дваждырожденных» и в .pdf и в djvu и в doc. За последнее хочется особенно поблагодарить Евгения! Не ожидал от него такой помощи форуму.

Невольно вспомнились слова Сат-Ока о полезности Евгения.

 Отправлено: 12.06.10 10:51. Заголовок: Все мы нужны - кажды..

Все мы нужны - каждый по-своему

 Отправлено: 13.06.10 23:07. Заголовок: ftp или ssh? Если ft..

ftp или ssh? Если ftp - то вот и источник всех вирусов и взломов. :-) Там не шифрованный пароль, так что его не украдет только ленивый.

 Отправлено: 14.06.10 00:09. Заголовок: Это вы о чём? Это во..

Это вы о чём? Это во-первых.
Во-вторых, даже если и не шифрованный, кто и как может ваш трафик просканировать? Для этого надо где-то вцепиться и весь трафик прочесать, выискивая среди гор мусора персонально ваш. Кто, где и каким макаром может слушать? Реально только провайдер и органы. Магистральные линии расковырять никто не даст — это подсудное дело совсем не по хулиганским статьям, а где-то у вашего дома в кабель вклиниваться — кому оно надо? То есть тут возможны только случайные протечки либо целенаправленное внимание именно к вам, причём с персональным взломом вашей машины. Реально же чаще всего пароли протекают из-за вирусов.
Что касаемо ssh, то он тоже не панацея. Где виндовый клиент хранит пароли? Именно оттуда вирусня их и вытянет. А ручками каждый раз набирать обычно ну очень лениво.

 Отправлено: 31.07.10 17:02. Заголовок: ssh с паролями польз..

ssh с паролями пользуются редко. Чаще используют ключики лежащие на серваке.

Поставте просто двойную защиту. Любую. простейшую типа авторизацию через .htaccess
В 99.9999% взломы производятся роботами. Мельчайшие изменения в защите которые живой человек обойдёт за 3 сек для робота фатальны.
* Переменуйте admin в admin123
* поставте дополнительную авторизацию на админку через htaccess
* используйте sftp и https вместо ftp и http
* ставте обновления движка
* Разберитесь раз и навсегда с правами файлов на сервере. Ищите хостинг с suexec и установите права файлов такими чтобы их не мог модифицировать движок сайта.

Я думаю что приведённый мной список простейших действий в комплексек уменшит вероятность взлома сайта в миллионы раз.