Вредный скрипт и как его отловить?

sca · 04.02.2008, 00:08

С утра заметила, что на сайте (смс мамбо) в шаблоне прописалась пара сотен ссылок... причем не скипт, а прямые линки.
Ессно, убила их; пароль к системе поменяла. Щас смотрю они опять вылезли...
На вирусы сайт проверила, вроде нет. Хостеру написала.

чтобы еще сделать, чтобы дрянь эту вывести?
плюс я вообще не очень понимаю механизм попадания этой гадости в шаблон?
Один нормальный вариант, что сайт взломали.... и даже смена админского пароля не помогает.
Посоветуйте что-нить полезное... а то сижу боюсь.

Stri4 · 04.02.2008, 00:17

Логи посмотрите, с какого ип заходили в последние дни на фтп, или спросите саппорт хостинга что-бы проверил, с каких ипов заходили на фтп и в администраторский раздел вашего аккаунта хостинга, и сравните со своим ип, если чужие ипы значит хакер лазиет без вас...

Massacre · 04.02.2008, 01:38

скорее всего кто-то получил ваш доступ на ftp

вариант 1) (самый распространенный) - через троян у вас сохраненные пароли в файлменеджере
вариант 2) на хостинге кто-то получил рута через уязвимость

sca · 04.02.2008, 11:04

понятно, спасибо..

Цитата:

Сообщение от Massacre

скорее всего кто-то получил ваш доступ на ftp

вариант 1) (самый распространенный) - через троян у вас сохраненные пароли в файлменеджере
вариант 2) на хостинге кто-то получил рута через уязвимость

под линукс троянов не так и много..хотя, конечно, все бывает....

shadx · 06.02.2008, 09:03

Цитата:

Сообщение от sca

понятно, спасибо..
под линукс троянов не так и много..хотя, конечно, все бывает....

Все может быть )))
По личному опыту скажу. Если хостинг покупали у ресселера, могли стащить его пароль (а это доступ к контенту всех его клиентов), либо кто то получил доступ к хостингу. И еще один момент, если пользуетесь FireFox, то линуховые сборки не отличаются особо от виндовых и дырки есть и там и там

sca · 06.02.2008, 09:59

Цитата:

Сообщение от shadx

Все может быть )))
По личному опыту скажу. Если хостинг покупали у ресселера, могли стащить его пароль (а это доступ к контенту всех его клиентов), либо кто то получил доступ к хостингу. И еще один момент, если пользуетесь FireFox, то линуховые сборки не отличаются особо от виндовых и дырки есть и там и там

не, хостинг у sweba, он в ответ на письмо порадовал.
там чтобы задать вопрос с сайта пароль надо вводить, так техподдержка этот пароль потом в теле письма туда сюда гоняет..
как то это непрально чутка

а дырки везде есть, простоклукацкеров поменьше

Stri4 · 06.02.2008, 12:42

Цитата:

Сообщение от sca

не, хостинг у sweba, он в ответ на письмо порадовал.
там чтобы задать вопрос с сайта пароль надо вводить, так техподдержка этот пароль потом в теле письма туда сюда гоняет..
как то это непрально чутка

С моим хостером та-же беда, один раз почтовый ящик(моего городского провайдера) оказался забитым до отказа, и письмо с паролем ушло админам моего городского провайдера на ящик типа daemon@provider-support.ru
и в моем аккаунте появился провайдер, и начал без меня общатся с сапортом моего хостинга, типа не нужно писать пароль к аккаунту в письмах

он ему так ничего не смог обьяснить, админ хостинга был вообще не в понятках, кто с ним общается, прикалывается что-ли

shadx · 06.02.2008, 21:08

Цитата:

Сообщение от sca

как то это непрально чутка

А убить сволоч не проблема. )))
Внимательно смотрим на файлы которые она заразила )))
Скорее свего они все начинаются с index (по личному опыту убивания не одного десятка),*как вспомню названия вируса, напишу статью*.
Дык вот. Как говорится если нельзя так, полезем с другого конца.

Берем переименовываем наш index.php в че нить более безобидное и правим/создаем .htaccess где ставим редирект на наш новый файл например pivo.php

з.ы Паходу зря публично тему спалил, глядишь модификация появится новая

Если ситуация на описанную выше не походит, то смотрим время последнего изменения файла и ползем в логи мареть кто был на акке, либо пишем хостеру

з.з.ы спец символы не вставляютсо (((( учтем

shadx · 06.02.2008, 21:15

Дико извеняюсь. А собственно сайт это не тот, который у вас в инфо висит

sca · 06.02.2008, 21:25

Цитата:

Сообщение от shadx

А убить сволоч не проблема. )))

Берем переименовываем наш index.php в че нить более безобидное и правим/создаем .htaccess где ставим редирект на наш новый файл например pivo.php

з.ы Паходу зря публично тему спалил, глядишь модификация появится новая

Если ситуация на описанную выше не походит, то смотрим время последнего изменения файла и ползем в логи мареть кто был на акке, либо пишем хостеру

з.з.ы спец символы не вставляютсо (((( учтем

ну хостер меня послал

по логам вроде ничего не видно ...
спасибо за наводку, попробую поиграть с индексом

04.02.2008, 00:08	#1
sca Специалист Регистрация: 29.08.2007 Адрес: Сейшелы Сообщений: 428 Вес репутации: 216	Вредный скрипт и как его отловить? С утра заметила, что на сайте (смс мамбо) в шаблоне прописалась пара сотен ссылок... причем не скипт, а прямые линки. Ессно, убила их; пароль к системе поменяла. Щас смотрю они опять вылезли... На вирусы сайт проверила, вроде нет. Хостеру написала. чтобы еще сделать, чтобы дрянь эту вывести? плюс я вообще не очень понимаю механизм попадания этой гадости в шаблон? Один нормальный вариант, что сайт взломали.... и даже смена админского пароля не помогает. Посоветуйте что-нить полезное... а то сижу боюсь.

04.02.2008, 01:38	#3
Massacre Эксперт Регистрация: 04.05.2007 Адрес: Kiev, UA Сообщений: 3,649 Вес репутации: 313	скорее всего кто-то получил ваш доступ на ftp вариант 1) (самый распространенный) - через троян у вас сохраненные пароли в файлменеджере вариант 2) на хостинге кто-то получил рута через уязвимость __________________ NEON2 NCC системный интегратор. Установка кода SAPE (от $10), бесплатные консультации клиентам (рефералам). Аттестат продавца.

06.02.2008, 21:15	#9
shadx шайтанама Регистрация: 13.07.2007 Сообщений: 1,700 Вес репутации: 298	Дико извеняюсь. А собственно сайт это не тот, который у вас в инфо висит __________________ Справочник сетевых технологий МордоКнига

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Нужен скрипт	auto03	Деловое сотрудничество	10	04.06.2008 16:10
Скрипт Статей	NCom	Курилка	0	23.02.2008 21:55
Заменил скрипт	Aleks	Ошибки при работе с системой	0	20.02.2008 11:12
скрипт файлообменника	rаshman	Курилка	10	12.01.2008 11:57
Что это за скрипт?	Gonzales999	Курилка	9	04.01.2008 10:09

04.02.2008, 00:17	#2
Stri4 Guest Сообщений: n/a	Логи посмотрите, с какого ип заходили в последние дни на фтп, или спросите саппорт хостинга что-бы проверил, с каких ипов заходили на фтп и в администраторский раздел вашего аккаунта хостинга, и сравните со своим ип, если чужие ипы значит хакер лазиет без вас...