Старый 04.02.2008, 00:08   #1
Специалист
 
Аватар для sca
 
Регистрация: 29.08.2007
Адрес: Сейшелы
Сообщений: 428
Вес репутации: 158
sca - это имя известно всемsca - это имя известно всемsca - это имя известно всемsca - это имя известно всемsca - это имя известно всемsca - это имя известно всем
По умолчанию Вредный скрипт и как его отловить?

С утра заметила, что на сайте (смс мамбо) в шаблоне прописалась пара сотен ссылок... причем не скипт, а прямые линки.
Ессно, убила их; пароль к системе поменяла. Щас смотрю они опять вылезли...
На вирусы сайт проверила, вроде нет. Хостеру написала.

чтобы еще сделать, чтобы дрянь эту вывести?
плюс я вообще не очень понимаю механизм попадания этой гадости в шаблон?
Один нормальный вариант, что сайт взломали.... и даже смена админского пароля не помогает.
Посоветуйте что-нить полезное... а то сижу боюсь.
sca вне форума   Ответить с цитированием
Старый 04.02.2008, 00:17   #2
Guest
 
Сообщений: n/a
По умолчанию

Логи посмотрите, с какого ип заходили в последние дни на фтп, или спросите саппорт хостинга что-бы проверил, с каких ипов заходили на фтп и в администраторский раздел вашего аккаунта хостинга, и сравните со своим ип, если чужие ипы значит хакер лазиет без вас...
  Ответить с цитированием
Старый 04.02.2008, 01:38   #3
Эксперт
 
Аватар для Massacre
 
Регистрация: 04.05.2007
Адрес: Kiev, UA
Сообщений: 3,628
Вес репутации: 254
Massacre - прекрасное будущееMassacre - прекрасное будущееMassacre - прекрасное будущееMassacre - прекрасное будущееMassacre - прекрасное будущееMassacre - прекрасное будущееMassacre - прекрасное будущееMassacre - прекрасное будущееMassacre - прекрасное будущееMassacre - прекрасное будущееMassacre - прекрасное будущее
Отправить сообщение для Massacre с помощью ICQ
По умолчанию

скорее всего кто-то получил ваш доступ на ftp

вариант 1) (самый распространенный) - через троян у вас сохраненные пароли в файлменеджере
вариант 2) на хостинге кто-то получил рута через уязвимость
__________________
NEON2 NCC системный интегратор. Установка кода SAPE (от $10), бесплатные консультации клиентам (рефералам).
Аттестат продавца.
Massacre вне форума   Ответить с цитированием
Старый 04.02.2008, 11:04   #4
Специалист
 
Аватар для sca
 
Регистрация: 29.08.2007
Адрес: Сейшелы
Сообщений: 428
Вес репутации: 158
sca - это имя известно всемsca - это имя известно всемsca - это имя известно всемsca - это имя известно всемsca - это имя известно всемsca - это имя известно всем
По умолчанию

понятно, спасибо..

Цитата:
Сообщение от Massacre Посмотреть сообщение
скорее всего кто-то получил ваш доступ на ftp

вариант 1) (самый распространенный) - через троян у вас сохраненные пароли в файлменеджере
вариант 2) на хостинге кто-то получил рута через уязвимость
под линукс троянов не так и много..хотя, конечно, все бывает....
sca вне форума   Ответить с цитированием
Старый 06.02.2008, 09:03   #5
шайтанама
 
Аватар для shadx
 
Регистрация: 13.07.2007
Сообщений: 1,699
Вес репутации: 239
shadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущее
Отправить сообщение для shadx с помощью ICQ
По умолчанию

Цитата:
Сообщение от sca Посмотреть сообщение
понятно, спасибо..
под линукс троянов не так и много..хотя, конечно, все бывает....
Все может быть )))
По личному опыту скажу. Если хостинг покупали у ресселера, могли стащить его пароль (а это доступ к контенту всех его клиентов), либо кто то получил доступ к хостингу. И еще один момент, если пользуетесь FireFox, то линуховые сборки не отличаются особо от виндовых и дырки есть и там и там
shadx вне форума   Ответить с цитированием
Старый 06.02.2008, 09:59   #6
Специалист
 
Аватар для sca
 
Регистрация: 29.08.2007
Адрес: Сейшелы
Сообщений: 428
Вес репутации: 158
sca - это имя известно всемsca - это имя известно всемsca - это имя известно всемsca - это имя известно всемsca - это имя известно всемsca - это имя известно всем
По умолчанию

Цитата:
Сообщение от shadx Посмотреть сообщение
Все может быть )))
По личному опыту скажу. Если хостинг покупали у ресселера, могли стащить его пароль (а это доступ к контенту всех его клиентов), либо кто то получил доступ к хостингу. И еще один момент, если пользуетесь FireFox, то линуховые сборки не отличаются особо от виндовых и дырки есть и там и там
не, хостинг у sweba, он в ответ на письмо порадовал.
там чтобы задать вопрос с сайта пароль надо вводить, так техподдержка этот пароль потом в теле письма туда сюда гоняет..
как то это непрально чутка

а дырки везде есть, простоклукацкеров поменьше
sca вне форума   Ответить с цитированием
Старый 06.02.2008, 12:42   #7
Guest
 
Сообщений: n/a
По умолчанию

Цитата:
Сообщение от sca Посмотреть сообщение
не, хостинг у sweba, он в ответ на письмо порадовал.
там чтобы задать вопрос с сайта пароль надо вводить, так техподдержка этот пароль потом в теле письма туда сюда гоняет..
как то это непрально чутка
С моим хостером та-же беда, один раз почтовый ящик(моего городского провайдера) оказался забитым до отказа, и письмо с паролем ушло админам моего городского провайдера на ящик типа daemon@provider-support.ru
и в моем аккаунте появился провайдер, и начал без меня общатся с сапортом моего хостинга, типа не нужно писать пароль к аккаунту в письмах
он ему так ничего не смог обьяснить, админ хостинга был вообще не в понятках, кто с ним общается, прикалывается что-ли
  Ответить с цитированием
Старый 06.02.2008, 21:08   #8
шайтанама
 
Аватар для shadx
 
Регистрация: 13.07.2007
Сообщений: 1,699
Вес репутации: 239
shadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущее
Отправить сообщение для shadx с помощью ICQ
По умолчанию

Цитата:
Сообщение от sca Посмотреть сообщение
как то это непрально чутка
Это какие то не правильные пчелы и они делают неправильный мед ©


А убить сволоч не проблема. )))
Внимательно смотрим на файлы которые она заразила )))
Скорее свего они все начинаются с index (по личному опыту убивания не одного десятка),*как вспомню названия вируса, напишу статью*.
Дык вот. Как говорится если нельзя так, полезем с другого конца.

Берем переименовываем наш index.php в че нить более безобидное и правим/создаем .htaccess где ставим редирект на наш новый файл например pivo.php

з.ы Паходу зря публично тему спалил, глядишь модификация появится новая

Если ситуация на описанную выше не походит, то смотрим время последнего изменения файла и ползем в логи мареть кто был на акке, либо пишем хостеру

з.з.ы спец символы не вставляютсо (((( учтем
shadx вне форума   Ответить с цитированием
Старый 06.02.2008, 21:15   #9
шайтанама
 
Аватар для shadx
 
Регистрация: 13.07.2007
Сообщений: 1,699
Вес репутации: 239
shadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущееshadx - прекрасное будущее
Отправить сообщение для shadx с помощью ICQ
По умолчанию

Дико извеняюсь. А собственно сайт это не тот, который у вас в инфо висит
shadx вне форума   Ответить с цитированием
Старый 06.02.2008, 21:25   #10
Специалист
 
Аватар для sca
 
Регистрация: 29.08.2007
Адрес: Сейшелы
Сообщений: 428
Вес репутации: 158
sca - это имя известно всемsca - это имя известно всемsca - это имя известно всемsca - это имя известно всемsca - это имя известно всемsca - это имя известно всем
По умолчанию

Цитата:
Сообщение от shadx Посмотреть сообщение
Это какие то не правильные пчелы и они делают неправильный мед ©


А убить сволоч не проблема. )))

Берем переименовываем наш index.php в че нить более безобидное и правим/создаем .htaccess где ставим редирект на наш новый файл например pivo.php

з.ы Паходу зря публично тему спалил, глядишь модификация появится новая

Если ситуация на описанную выше не походит, то смотрим время последнего изменения файла и ползем в логи мареть кто был на акке, либо пишем хостеру

з.з.ы спец символы не вставляютсо (((( учтем

ну хостер меня послал по логам вроде ничего не видно ...
спасибо за наводку, попробую поиграть с индексом
sca вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Нужен скрипт auto03 Деловое сотрудничество 10 04.06.2008 16:10
Скрипт Статей NCom Курилка 0 23.02.2008 21:55
Заменил скрипт Aleks Ошибки при работе с системой 0 20.02.2008 11:12
скрипт файлообменника rаshman Курилка 10 12.01.2008 11:57
Что это за скрипт? Gonzales999 Курилка 9 04.01.2008 10:09


Часовой пояс GMT +3, время: 00:00.