hawk2012 Posted April 8, 2017 Share Posted April 8, 2017 Вот такую хрень я все время обнаруживаю на доске объяявлений у себя на Губинсофте (это скрин из папки клиента). Все время пытаются закачать вирус/шелл и исполнить. Я отключил все небезопасные функции, так что вирус сейчас не исполняется, но клиенту доставляет много бяки. Анализ выявил. что атака идет из США. IP адреса показывает в логах клаудфларовские, хотя и стоит фильтрация. В этом случае я предполагаю, что в двиге дыра (QPLBoard, не нуленка), так как на остальных сайтах такого безобразия нет вообще. Даже шеллов нет. Антивирус проверяет каждый час, так что заразу убирает оперативно. Будьте осторожны, я думаю что не только на этом двиге может быть такая бяка. Тем более, я обнаружил бинарники. которые грузят вредоносный код на сайт. Они не учли одного: исполнение бэш запрещено для этого клиента Кстати вот еще фрагментик кода. [2016-11-27 14:05:51] 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 QXJyYXkKKAopCg== QXJyYXkKKAopCg== QXJyYXkKKAogICAgW3hrXSA9PiAxCikK Quote Link to comment Share on other sites More sharing options...
Sipsb Posted April 8, 2017 Share Posted April 8, 2017 2 часа назад, hawk2012 сказал: Вот такую хрень я все время обнаруживаю на доске объяявлений у себя на Губинсофте Губин закрылись. Kapatelb 1 Quote Link to comment Share on other sites More sharing options...
hawk2012 Posted April 8, 2017 Author Share Posted April 8, 2017 3 часа назад, Sipsb сказал: Губин закрылись. Закрыл, но чуть позднее работа была возобновлена Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.