19 мая 2009 в 17:31
Привет всем!
С утра сегодня обнаружил что одни из моих сайтов очень плохо грузится, а вернее практически не грузился, так как задержка загрузки страницы была до 5 минут.
Вот сайт. О сайте: друпал актуальной версии, уберкарт и чуток обычных для такой сборки модулей, выложен в сеть вчера вечером. Он полная недоделка, работы еще с ним невпроворот :(.
В строке состояния огненного лиса была фраза "поиск узла martuz.cn" (шожеэтоподумаля). Первым делом стал шерстить все файлы друпала и модулей - все чисто. база - чисто. Написал саппорту провайдера, говорят - у вас где-то вредоносный код:) Это я и сам понял.. Пошел шукать по гуглю. Троян.
Потом до меня дошло, что единственный файл который я не смотрел это файл settings.php. И каково же было мое удивление когда в верху файла я обнаружил совершенно не друпальский код. К сожалению я не смогу его продемонстрировал, так как моментально его удалил. ну да ладно.
Факт появления кода в файле настроек друпала жутко огорчил. Как же так? каким образом?
Комментарии
1. Увели ФТП доступ у вас.
2. Увели рутовый шелл у хостера.
3. Ломанули какой-то левый скрипт на сервере или даже у вас.
Вариантов уйма.
99% что это первый вариант, чистите комп от вирусов, меняйте пароли на фтп
Угу, скорее всего FTP-доступ стырен. И поскольку это видимо был единственный файл, который вы правили (раз сайт "только выложен") и который был похож на что-то, известное трояну, он его и тогось.
я даж знаю какой троянчикс. ftp не увели, а вот антивирь на машинке держать следует ему. НОРмАЛЬНЫЙ! и не надо говорить вот у меня то то стоит, плохо стоит если сайт лежит.
сегодня весь день чистил весь свой сервер:) код "селился" во всех индекс файлах и в файлах имеющих в своем название "settings" или "config". Согласен - стырили фтп-доступ. тем более что старый добрый cuteFTP на днях отказался работать. сменил её на WinSCP. пароли сменил. посмотрим что буде дальше