Вредный скрипт и как его отловить?
 

С утра заметила, что на сайте (смс мамбо) в шаблоне прописалась пара сотен ссылок... причем не скипт, а прямые линки.
Ессно, убила их; пароль к системе поменяла. Щас смотрю они опять вылезли...
На вирусы сайт проверила, вроде нет. Хостеру написала.

чтобы еще сделать, чтобы дрянь эту вывести?
плюс я вообще не очень понимаю механизм попадания этой гадости в шаблон?
Один нормальный вариант, что сайт взломали.... и даже смена админского пароля не помогает.
Посоветуйте что-нить полезное... а то сижу боюсь.

Логи посмотрите, с какого ип заходили в последние дни на фтп, или спросите саппорт хостинга что-бы проверил, с каких ипов заходили на фтп и в администраторский раздел вашего аккаунта хостинга, и сравните со своим ип, если чужие ипы значит хакер лазиет без вас...

скорее всего кто-то получил ваш доступ на ftp

вариант 1) (самый распространенный) - через троян у вас сохраненные пароли в файлменеджере
вариант 2) на хостинге кто-то получил рута через уязвимость :)

понятно, спасибо..

под линукс троянов не так и много..хотя, конечно, все бывает....

Все может быть )))
По личному опыту скажу. Если хостинг покупали у ресселера, могли стащить его пароль (а это доступ к контенту всех его клиентов), либо кто то получил доступ к хостингу. И еще один момент, если пользуетесь FireFox, то линуховые сборки не отличаются особо от виндовых и дырки есть и там и там

не, хостинг у sweba, он в ответ на письмо порадовал.
там чтобы задать вопрос с сайта пароль надо вводить, так техподдержка этот пароль потом в теле письма туда сюда гоняет..
как то это непрально чутка ;)

а дырки везде есть, простоклукацкеров поменьше

С моим хостером та-же беда, один раз почтовый ящик(моего городского провайдера) оказался забитым до отказа, и письмо с паролем ушло админам моего городского провайдера на ящик типа daemon@provider-support.ru
и в моем аккаунте появился провайдер, и начал без меня общатся с сапортом моего хостинга, типа не нужно писать пароль к аккаунту в письмах :D
он ему так ничего не смог обьяснить, админ хостинга был вообще не в понятках, кто с ним общается, прикалывается что-ли :D

Это какие то не правильные пчелы и они делают неправильный мед ©
:D

А убить сволоч не проблема. )))
Внимательно смотрим на файлы которые она заразила )))
Скорее свего они все начинаются с index (по личному опыту убивания не одного десятка),*как вспомню названия вируса, напишу статью*.
Дык вот. Как говорится если нельзя так, полезем с другого конца.

Берем переименовываем наш index.php в че нить более безобидное и правим/создаем .htaccess где ставим редирект на наш новый файл например pivo.php

з.ы Паходу зря публично тему спалил, глядишь модификация появится новая

Если ситуация на описанную выше не походит, то смотрим время последнего изменения файла и ползем в логи мареть кто был на акке, либо пишем хостеру

з.з.ы спец символы не вставляютсо (((( учтем

Дико извеняюсь. А собственно сайт это не тот, который у вас в инфо висит:confused:

ну хостер меня послал ;) по логам вроде ничего не видно ...
спасибо за наводку, попробую поиграть с индексом