Появился рекламный скрипт в index.php

Главные вкладки

Аватар пользователя Janer Janer 3 сентября 2009 в 5:56

Сегодня захожу на сайт и выдается ошибка parser error: в 40 строчке файла index.php. В этой строке скрипт После его удаления все нормально.

Как защититься от подобных изменений с левой стороны? Что интересно, это произошло на двух разных хостингах при работе с одной машины.

Комментарии

Аватар пользователя RayB RayB 3 сентября 2009 в 7:22

такая же фигня переодически ((
хостер говорит ищите вирус на компе и меняйте пароли... но эт не помогло, причем подобное только на друпальных сайтах.

При первой проверке действительно был найден троянчик, был удален. Но через некоторое время файл index.php опять был изменен. На вирусы проверял тремя разными антивирусами, ничего не нашел.

Аватар пользователя Azerot Azerot 3 сентября 2009 в 8:39

1. Как только подобное произошло меняйте пароли на хостинге на FTP
2. Никогда не используйте галочку "Сохранить пароль" (запомнить пароль) в Windows. Да, руками вводить хлопотно, но зато при заражении вирусом ваш пароль не уйдёт хакерам
3. Если настройки хостинга позволяют - укажите список IP-адресов с которых вы работаете через FTP, чтобы даже имея пароль хакеры просто не могли бы подключиться к серверу
4. Важно! Если ваш хостер использует на виртуальном хостинге работу PHP в режиме mod_php без safe_mode или с safe_mode но без open_basedir - срочно меняйте хостера, ибо это дыра в безопасности, благодаря которой доступ к содержимому ваших сайтов будет не только у вас, но и у других клиентов хостинга. Проверить это можно довольно легко. Установите себе на хостинг r57shell.php и попробуйте просмотреть с его помощью чужие каталоги и файлы. Если у вас это получилось - это оно!

Аватар пользователя RayB RayB 3 сентября 2009 в 8:46

пункты 1 и 2 выполнил сразу по рекомендации хостера, где-то через пару недель ситуация с внедрением постороннего кода повторилась.
по 3 и 4, спасибо за информацию, озадачу хостера.

Аватар пользователя Janer Janer 3 сентября 2009 в 9:26

Поставил права только чтение на файл index.php
Отпишусь если проблема не решится.

Насчет пункта 3 полезно сделать.спс

Аватар пользователя RayB RayB 3 сентября 2009 в 10:02

"Janer" wrote:
Поставил права только чтение на файл index.php
Отпишусь если проблема не решится.

уже пробовал, не помогло. права изменили и код внесли (

Аватар пользователя kosilko kosilko 3 сентября 2009 в 10:08

модераторы блин, почему этот вопрос до сих пор не освещен в FAQ?
Зато есть как работать с CVS... итить, этим тут каждый день интересуются -)))

Аватар пользователя kosilko kosilko 3 сентября 2009 в 10:29

Вебмастер! Помни! Заруби это себе на носу!
Если ты решил заняться изготовлением сайтов, то ты в ответе за тех кого приручил - то бишь, за посетителей.
Если на твоем сайте прописался вирус - то виноват в этом ты.
Если на твоем сайте прописался вирус - то это значит, что большинствой твоих посетителей будут им заражены.
Ты_будешь_в_этом_виноват.
Почему?
Потому что ты хранишь пароле в FTP-менеджере. Потому что ты, пользуясь дырявым/не настроенным браузером точно так-же подхватил этот вирус. А он в свою очередь, будучи у тебя на компе, слил все твои пароли (которые ты хранишь благодаря чЮдо-галочке "сохранять пароль") туда , "в инет". Да да, и от аськи тоже. Читаешь ли ты, вебмастер, жмякая чудо-галочу, подсказку, где написано что хранение паролей небезопасно? А еще вирус посмотрел сохраненные пароли от ФТП, и с твоего-же компа соединился с сервером и модифицировал страницы.
Это сделали не ОНИ. Не хакиры, не инопланетяне. И хостер тут не при чем.

Аватар пользователя RayB RayB 3 сентября 2009 в 10:35

да нету галочки, нету ) вручную пароли вносятся и вирусов нету ни на компе ни на сайте. И обо всем этом я писал выше. Может дело и не в друпале и не в хостере, и это только совпадение что код вносится только на друпальские сайты и только у одного хостера.
Причем не каждый день, а где-то раз в месяц (всего было три подобных случая).

Аватар пользователя RayB RayB 3 сентября 2009 в 10:46

nod32, dr.Web, avg
причем в самый первый раз когда проявилась проблема, дрВеб нашел троян, причем какой-то старый. К сожалению какой именно не помню.
Последний раз код вносился 28 августа. Можно попробовать сейчас проверить комп каким-нить другим антивирусом. Посоветуйте каким.

Аватар пользователя kosilko kosilko 3 сентября 2009 в 10:54

"RayB" wrote:
Можно попробовать сейчас проверить комп каким-нить другим антивирусом. Посоветуйте каким.

такие вещи полностью можно выпилить только с помощью утилит для поиска руткитов, как правило

Аватар пользователя RayB RayB 3 сентября 2009 в 11:15

"Химический Али" wrote:
Вам сюда: http://help.yandex.ru/webmaster/?id=1059440[/quote]
общие слова, да и читал я это все. видимо все-таки какая-то зараза на компе сидит которую поймать не могу. Может она сидеть не на компе, а в локальной сети? В смысле комп подключен к корпоративной сети.
Кстати сайт в панели вебмастера и сам яндекс ни разу не жаловался на сайт. Хотя наверное просто не успевал найти этот код, я регулярно мониторю.

Аватар пользователя BMW BMW 3 сентября 2009 в 12:40

После заражения и получения информации вредоносное ПО имеет свойство удаляться с зараженной машины. Как вам уже многие советовали смените пароли, стараясь не сохранять их в различных менеджерах. Установите фаервол, это позволит при необходимых навыках блокировать работающие трояны\руткиты.

Аватар пользователя igor701 igor701 3 сентября 2009 в 16:47

Запиши DrWEB LiveCD, лучше на гарантированно чистом компе.
Загрузись с этого CD и проверь весь свой комп.
Далее можешь проверять уже любым своим антивирусом.

Поменяй пароли на FTP снова.

Поищи "левый" php-файл на хосте - не из поставки друпала, и не из тех, что ты сам ставил. Возможно, троян закинул этот файл и теперь всё внесение изменений идёт через него. Это может быть файл типа вышеуказанного r57shell.php, скорее всего под другим именем. А может быть просто закладка. В общем, надежнее всего весь код восстановить с резервной копии или переставить заново с нуля.

Аватар пользователя Janer Janer 22 сентября 2009 в 9:47

>>>Поставил права только чтение на файл index.php
Уже прошло более двух недель проблема не появляется. Вирусы не отлавливал.