18 ноября 2014 в 23:41
Ситуация следующая: буквально день назад заметил такую вещь - при входе с мобильника на свой сайт, меня редиректом кидало на какой-то говносайт, где мне предлагалось что-то скачать. Конечно я качать не стал. Более того, начал разбираться, что за лажа такая. Нашел в htaccess и в index.php ссылки на тот сайт, на который срабатывал редирект. Эти оба файлика вылечил, удалив ненужный вредоносный код.
Скажите, как вообще туда попал этот код? Каким образом произошла запись в htaccess, который доступен только для чтения? И кто такой фигнёй занимается?
Комментарии
слабый пароль ftp?
Т.е. внести изменения в файл можно только, открыв его напрямую? Какие ещё есть варианты?
Ftp - вирусы на компьютере подключаемого,
Каким образом произошла запись в htaccess, который доступен только для чтения? - Сняли ограничение,записали,поставили опять
Надо пройтись по группам и датам обновления файлов и тогда станет ясно какой процесс это совершил. Фтп или пхп
Каким образом определить процесс? Смотреть на get или post, или в логе я ничего не увижу?
$ ls -la
total 40
drwxr-xr-x 25 user user 680 2011-08-17 18:07 .
drwxr-xr-x 3 root root 60 2011-08-17 16:19 ..
-rw-r--r-- 1 user user 220 2011-08-17 16:19 .bash_logout
-rw-r--r-- 1 user user 3353 2011-08-17 16:19 .bashrc
drwx------ 7 user user 220 2011-08-17 17:58 .cache
drwx------ 9 user user 220 2011-08-17 18:02 .config
drwx------ 3 user user 60 2011-08-17 16:19 .dbus
drwxr-xr-x 2 user user 80 2011-08-17 16:52 Desktop
drwxr-xr-x 2 user user 40 2011-08-17 16:52 Documents
drwxr-xr-x 2 user user 40 2011-08-17 16:52 Downloads
-rw------- 1 user user 16 2011-08-17 16:20 .esd_auth
drwxr-xr-x 2 user user 100 2011-08-17 17:56 .fontconfig
drwx------ 4 user user 80 2011-08-17 16:52 .gconf
Тут видно группу и права и дату изменения-создания. Отсортируйте по дате изменения сопоставте данные логическим путем. Посмотрите логи сервера фтп и увидети откуда и как что проникло
Не могли бы вы поподробнее объяснить, первый раз столкнулся. Тут, это где?
PS Опять произошло изменение в htaccess и index php, причем смотрю на дату изменения, а она старая т.е. та, которая осталась от меня, когда я последний раз удалял запись.