15 мая 2011 в 19:52
Здраствуйте.
Завелась на сайте такая хворь - в папке public_html/sites/all обнаружил кучу папок и файлов html с какими-то порно сайтами (на 27 мб). Подобная ситуация была когда-то, но тогда фигурировала папка misc/farbtastic. В исходном коде странице -
<body class="sidebars">
<div style="position: absolute; left: -1963px; top: -2988px;">
<a href="http://mysite.ua/misc/farbtastic/index.html">Познакомиться с одиноким отцом сайт знакомств мэйл сайт знакомств для несовершеннолетних</a>
<a href="http://mysite.ua/misc/farbtastic/map3.html">Карта сайта</a>
<a href="http://mysite.ua/misc/farbtastic/map6.html">Карта сайта</a>
<a href="http://dts-t.com.ua/images/install/index.html">Интим знакомства мамба топ молодые galaxy сайт знакомств познакомиться с девушкой боюсь</a>
<a href="http://dts-t.com.ua/images/install/map3.html">Карта сайта</a>
.... и.т.д.
но это скорее всего остатки предыдущей атаки - тогда дополнительный код был обнаружен и в файлах темы. После очисти руками всего долго не появлялось. А вот теперь опять...
Скажите, это где-то дыра в сайте, или это хостинг с вшами?
И как выявить, от куда идет внедрение этого безобразия?
Комментарии
И то и то может быть
Логи, логи, логи
Проблемы с ДНК в логах не отражаются.
говно типа виндоз коммандера сохраняющего пароли + добрый говновирус == пиздец сайту через ваш же фтп.
Украдены пароли на фтп.
Сменить пароль, очистить все компы, где были пароли, от вирусов. Ещё раз сменить пароль.
Утрриуете. ффсё ф песок и не отвликаться на жужжуание какой то херни в изоляторе
Ликбез или повышение грамотности новичков
Виктор Степаньков aka RxB
Вопросы:
1. Как истребить вирусы на сайте
2. Захожу на сайт, антивирус ругается!
3. Гугл повесил табличку, что сайт может нанести
вред вашему компьютеру!
Ответ: Это говорит о том, что вами было словле-
но вредоносное ПО называемое iframe’ мами, т.е.
вы посетили сайт сомнительного или не очень со-
держания, который вычислил уязвимости в вашем
браузере и через него заразил ваш компьютер. Ну
а далее, ваши пароли от FTP ушли к злому хакеру
и ваш сайт заразили, обычно это выражается в
том, что в index’ных файлов, в js-файлах, в CSS,
появляются вставки непонятного javascript-кода,
или же кода вида:
php?refid=lklshfhsf&track=767" frameborder="0"
width="1" height="1"></iframe>
Ну а далее процесс повторяется, посетитель за-
ходит на ваш сайт, его компьютер заражается, на
http://dnlfnkwh.cn стоит «атакующее ПО», а что
произойдёт с заражённым пользователем можно
только гадать. Обычно такие сайты являются по-
средниками и продают так называемые «загруз-
ки», т.е у хакера, владельца http://dnlfnkwh.cn, дру-
гой хакер покупает «10кил загрузок для USA», это
означает, что владелец http://dnlfnkwh.cn продаёт
10000 заражённых американцев, у которых может
быть воруют деньги, может используют для накрут-
ки счётчиков, а может вообще для формирования
botnet’а.
Иногда такое возможно в случае неверно выстав-
ленных форматов ввода, в частности когда анони-
му или авторизованному пользователю предостав-
лен формат ввода «Full HTML», вредоносный код
приводить не буду, поверьте на слово.
Если ваш сайт всё-таки проайфреймили, то поря-
док действий такой:
1. Очистить и больше не оставлять, сохраненные
пароли в FTP-менеджерах и браузере
2. Поменять пароли на фтп с ЗАВЕДОМО ЧИ-
СТОГО компьютера
3. Вычистить вредоносный код с php-файлов,
для начала перезалить тему и index.php, в особо
тяжёлых случаях перезалить дистрибутив движка
и модулей.
Вот тебе ссылка http://magazine.drupalogy.ru/files/magazines/Drupalogy_Magazine_00.pdf.
Да, было дело, писал я эту статью
Интеллектуальную работу надо уважать )))) Подправил немного шапку, т.е. добавил автора и название статьи.