Сегодня захожу на сайт и выдается ошибка parser error: в 40 строчке файла index.php. В этой строке скрипт После его удаления все нормально.
Как защититься от подобных изменений с левой стороны? Что интересно, это произошло на двух разных хостингах при работе с одной машины.
Комментарии
такая же фигня переодически ((
хостер говорит ищите вирус на компе и меняйте пароли... но эт не помогло, причем подобное только на друпальных сайтах.
При первой проверке действительно был найден троянчик, был удален. Но через некоторое время файл index.php опять был изменен. На вирусы проверял тремя разными антивирусами, ничего не нашел.
1. Как только подобное произошло меняйте пароли на хостинге на FTP
2. Никогда не используйте галочку "Сохранить пароль" (запомнить пароль) в Windows. Да, руками вводить хлопотно, но зато при заражении вирусом ваш пароль не уйдёт хакерам
3. Если настройки хостинга позволяют - укажите список IP-адресов с которых вы работаете через FTP, чтобы даже имея пароль хакеры просто не могли бы подключиться к серверу
4. Важно! Если ваш хостер использует на виртуальном хостинге работу PHP в режиме mod_php без safe_mode или с safe_mode но без open_basedir - срочно меняйте хостера, ибо это дыра в безопасности, благодаря которой доступ к содержимому ваших сайтов будет не только у вас, но и у других клиентов хостинга. Проверить это можно довольно легко. Установите себе на хостинг r57shell.php и попробуйте просмотреть с его помощью чужие каталоги и файлы. Если у вас это получилось - это оно!
пункты 1 и 2 выполнил сразу по рекомендации хостера, где-то через пару недель ситуация с внедрением постороннего кода повторилась.
по 3 и 4, спасибо за информацию, озадачу хостера.
Со стороны Друпала вы ничего не сделаете. Он ни при чем.
Поставил права только чтение на файл index.php
Отпишусь если проблема не решится.
Насчет пункта 3 полезно сделать.спс
уже пробовал, не помогло. права изменили и код внесли (
модераторы блин, почему этот вопрос до сих пор не освещен в FAQ?
Зато есть как работать с CVS... итить, этим тут каждый день интересуются -)))
Вебмастер! Помни! Заруби это себе на носу!
Если ты решил заняться изготовлением сайтов, то ты в ответе за тех кого приручил - то бишь, за посетителей.
Если на твоем сайте прописался вирус - то виноват в этом ты.
Если на твоем сайте прописался вирус - то это значит, что большинствой твоих посетителей будут им заражены.
Ты_будешь_в_этом_виноват.
Почему?
Потому что ты хранишь пароле в FTP-менеджере. Потому что ты, пользуясь дырявым/не настроенным браузером точно так-же подхватил этот вирус. А он в свою очередь, будучи у тебя на компе, слил все твои пароли (которые ты хранишь благодаря чЮдо-галочке "сохранять пароль") туда , "в инет". Да да, и от аськи тоже. Читаешь ли ты, вебмастер, жмякая чудо-галочу, подсказку, где написано что хранение паролей небезопасно? А еще вирус посмотрел сохраненные пароли от ФТП, и с твоего-же компа соединился с сервером и модифицировал страницы.
Это сделали не ОНИ. Не хакиры, не инопланетяне. И хостер тут не при чем.
да нету галочки, нету ) вручную пароли вносятся и вирусов нету ни на компе ни на сайте. И обо всем этом я писал выше. Может дело и не в друпале и не в хостере, и это только совпадение что код вносится только на друпальские сайты и только у одного хостера.
Причем не каждый день, а где-то раз в месяц (всего было три подобных случая).
Чем проверяли?
AVZ, Sysyinternals, RkUnhooker, HiJackThis, Gmer?
Или вы на Касперского положились?
nod32, dr.Web, avg
причем в самый первый раз когда проявилась проблема, дрВеб нашел троян, причем какой-то старый. К сожалению какой именно не помню.
Последний раз код вносился 28 августа. Можно попробовать сейчас проверить комп каким-нить другим антивирусом. Посоветуйте каким.
Вам сюда: http://help.yandex.ru/webmaster/?id=1059440
такие вещи полностью можно выпилить только с помощью утилит для поиска руткитов, как правило
Загрузи касперского Интернет Секюрити и проверь.
После заражения и получения информации вредоносное ПО имеет свойство удаляться с зараженной машины. Как вам уже многие советовали смените пароли, стараясь не сохранять их в различных менеджерах. Установите фаервол, это позволит при необходимых навыках блокировать работающие трояны\руткиты.
Добавлю
И создать пользователя на компе, а не заходить админом.
Спасибо за советы
Запиши DrWEB LiveCD, лучше на гарантированно чистом компе.
Загрузись с этого CD и проверь весь свой комп.
Далее можешь проверять уже любым своим антивирусом.
Поменяй пароли на FTP снова.
Поищи "левый" php-файл на хосте - не из поставки друпала, и не из тех, что ты сам ставил. Возможно, троян закинул этот файл и теперь всё внесение изменений идёт через него. Это может быть файл типа вышеуказанного r57shell.php, скорее всего под другим именем. А может быть просто закладка. В общем, надежнее всего весь код восстановить с резервной копии или переставить заново с нуля.
>>>Поставил права только чтение на файл index.php
Уже прошло более двух недель проблема не появляется. Вирусы не отлавливал.
Но бубен далеко не откладывай.