Перейти к содержанию

Осторожно - вирусы!


hawk2012

Рекомендуемые сообщения

Вот такую хрень я все время обнаруживаю на доске объяявлений у себя на Губинсофте (это скрин из папки клиента). Все время пытаются закачать вирус/шелл и исполнить. Я отключил все небезопасные функции, так что вирус сейчас не исполняется, но клиенту доставляет много бяки.

Untitled.png

Анализ выявил. что атака идет из США. IP адреса показывает в логах клаудфларовские, хотя и стоит фильтрация. В этом случае я предполагаю, что в двиге дыра (QPLBoard, не нуленка), так как на остальных сайтах такого безобразия нет вообще. Даже шеллов нет. Антивирус проверяет каждый час, так что заразу убирает оперативно.

Будьте осторожны, я думаю что не только на этом двиге может быть такая бяка. Тем более, я обнаружил бинарники. которые грузят вредоносный код на сайт. Они не учли одного: исполнение бэш запрещено для этого клиента B|

Кстати вот еще фрагментик кода.

[2016-11-27 14:05:51]	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	QXJyYXkKKAopCg==	QXJyYXkKKAopCg==	QXJyYXkKKAogICAgW3hrXSA9PiAxCikK

 

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, hawk2012 сказал:

Вот такую хрень я все время обнаруживаю на доске объяявлений у себя на Губинсофте

Губин закрылись.

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, Sipsb сказал:

Губин закрылись.

Закрыл, но чуть позднее работа была возобновлена

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...