Jump to content

Осторожно - вирусы!

hawk2012
hawk2012
in Флейм

Featured Replies

Posted
comment_126430

Вот такую хрень я все время обнаруживаю на доске объяявлений у себя на Губинсофте (это скрин из папки клиента). Все время пытаются закачать вирус/шелл и исполнить. Я отключил все небезопасные функции, так что вирус сейчас не исполняется, но клиенту доставляет много бяки.

Untitled.png

Анализ выявил. что атака идет из США. IP адреса показывает в логах клаудфларовские, хотя и стоит фильтрация. В этом случае я предполагаю, что в двиге дыра (QPLBoard, не нуленка), так как на остальных сайтах такого безобразия нет вообще. Даже шеллов нет. Антивирус проверяет каждый час, так что заразу убирает оперативно.

Будьте осторожны, я думаю что не только на этом двиге может быть такая бяка. Тем более, я обнаружил бинарники. которые грузят вредоносный код на сайт. Они не учли одного: исполнение бэш запрещено для этого клиента B|

Кстати вот еще фрагментик кода. 

[2016-11-27 14:05:51]	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	QXJyYXkKKAopCg==	QXJyYXkKKAopCg==	QXJyYXkKKAogICAgW3hrXSA9PiAxCikK

 

  • Цитата
    • Link to comment
    https://ipbmafia.ru/topic/17107-ostorozhno-virusy/
    Share on other sites
    comment_126435
    2 часа назад, hawk2012 сказал:

    Вот такую хрень я все время обнаруживаю на доске объяявлений у себя на Губинсофте

    Губин закрылись.

  • Цитата
    • Link to comment
    https://ipbmafia.ru/topic/17107-ostorozhno-virusy/?&do=findComment&comment=126435
    Share on other sites
    • Author
    comment_126449
    3 часа назад, Sipsb сказал:

    Губин закрылись.

    Закрыл, но чуть позднее работа была возобновлена

  • Цитата
    • Link to comment
    https://ipbmafia.ru/topic/17107-ostorozhno-virusy/?&do=findComment&comment=126449
    Share on other sites

    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.
    Note: Your post will require moderator approval before it will be visible.

    Guest
    Ответить в этой теме...
    Go to topic listing

    Последние посетители 0

    • No registered users viewing this page.