Как зашел?

[Hart]

2.0.22, masterhost, по ftp юзаю не Total Comander (и IE),а FZ.

Сегодня пришло письмо:

"Нам поступила жалоба на то, что на Вашем сайте по адресу
http://www.somesite.ru/forum/includes/i ... Member.do/
была размещена мошенническая информация.

На указанной странице имитировался сайт известного банка с целью
сбора конфиденциальной информации пользователей.

По этой причине мы были вынуждены удалить указанную информацию
с Вашей виртуальной площадки.

Вам следует незамедлительно привлечь специалистов для анализа и
устранения уязвимостей в программном обеспечение Вашего сайта, так как
при повторных подобных жалобах, мы будем вынуждены приостановить
предоставление услуг согласно договору.
Всего доброго."

/// "при повторных подобных жалобах, мы будем вынуждены приостановить
предоставление услуг согласно договору.
Всего доброго" звучит, как "у вас сгорела последняя жизнь, выпутывайтесь сами"

В папке includes (права - 755) действительно появляется папка (ibank.barclays.co.uk) с архивом. Поискал в интернете, нашел Net-Worm.Win32.Nanspy.d.
Читал ФАК, догадываюсь, что прийдется сливать на лок. машину весь сайт, а не только форум. Но почему вирь засел именно на форуме, и вообще, кто с этим встречался ответьте пожалуйста, эта зараза 'ла все index'ы (и подобные)?

Спасибо за ответы.

[rxu]

Hart
Вот это в этом же форуме - читали?

[Hart]

2 rxu
да, "Читал ФАК", кажется В. #43, только пароль к ФТП не хранился в FileZilla, остальным ничем не пользуюсь

[Hart]

Немного подробнее...

"vwar.php" - в корне сайта появился скрипт, который Касперский определяет как "троянская программа Backdoor.PHP.C99Shell.u"

Никаких <iframe> я не нашел в auth.php, index.php...

Архив "barclays" (или типа того) появляется в корне сайта и форума.
Папка "ibank.barclays.co.uk/olb/t/LoginMember.do/" по прежнему генерируется в includes.

Всё перелил на лок. машину, проверил.

Пароли хранятся в зашифрованном виде и становятся доступными пользователю только после ввода основного пароля, поэтому кража со взломом практически исключена.

[rxu]

Тогда изучайте серверные логи внимательно. Ищите, как произошел взлом сайта.

Добавлено спустя 3 минуты 1 секунду:

Кстати, как один из вариантов, также возможна дырявость фтп-клиента, попробуйте попользоваться другим и посмотрите на результат.

[Alek$]

Hart

Пароли хранятся в зашифрованном виде и становятся доступными пользователю только после ввода основного пароля, поэтому кража со взломом практически исключена.

Вы ввели пароль, а после этого троян его умыкнул.

[Hart]

2 Alek$
да, этот вариант я начал проверять еще утром, проверив компьютер на вирусы (KIS 6, который обновляется каждый день и находится во включеном положении). Ни вирусов, ни этой троянской программы не было обнаружено.
2 rxu
насчет дырявости FZ - возможно, но пока эта версия, скажем, маловероятна

Сегодня так же пришло письмо от "RSA Anti-Fraud Command Center
RSA, The Security Division of EMC", в котором, они предлагают сотрудничество и утверждают, что это всё является полномасштабной атакой против честного Barclays Bank. Так же рассказывают, какую папку удалить и надеются на сотрудничество, всё на английском. Забавно, что письмо было отослано с моего же сайта через контакты...