hawk2012 Опубликовано 8 апреля, 2017 Поделиться Опубликовано 8 апреля, 2017 Вот такую хрень я все время обнаруживаю на доске объяявлений у себя на Губинсофте (это скрин из папки клиента). Все время пытаются закачать вирус/шелл и исполнить. Я отключил все небезопасные функции, так что вирус сейчас не исполняется, но клиенту доставляет много бяки. Анализ выявил. что атака идет из США. IP адреса показывает в логах клаудфларовские, хотя и стоит фильтрация. В этом случае я предполагаю, что в двиге дыра (QPLBoard, не нуленка), так как на остальных сайтах такого безобразия нет вообще. Даже шеллов нет. Антивирус проверяет каждый час, так что заразу убирает оперативно. Будьте осторожны, я думаю что не только на этом двиге может быть такая бяка. Тем более, я обнаружил бинарники. которые грузят вредоносный код на сайт. Они не учли одного: исполнение бэш запрещено для этого клиента Кстати вот еще фрагментик кода. [2016-11-27 14:05:51] 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 QXJyYXkKKAopCg== QXJyYXkKKAopCg== QXJyYXkKKAogICAgW3hrXSA9PiAxCikK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Sipsb Опубликовано 8 апреля, 2017 Поделиться Опубликовано 8 апреля, 2017 2 часа назад, hawk2012 сказал: Вот такую хрень я все время обнаруживаю на доске объяявлений у себя на Губинсофте Губин закрылись. Kapatelb 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
hawk2012 Опубликовано 8 апреля, 2017 Автор Поделиться Опубликовано 8 апреля, 2017 3 часа назад, Sipsb сказал: Губин закрылись. Закрыл, но чуть позднее работа была возобновлена Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.