Javascript-вирус?

Пообщался с хостером. Выяснилось, что с 20:00 до 03:00 вчера никаких изменений посредством ФТП и входа через SSH не производилось.

А это говорит только о том, что орудует shell, который и предстоит найти.

Ну что, друзья-пострадавшие, кому-нибудь удалось обнаружить ноги этой заразы? Если shell, то завтра может появиться аккурат то же самое.

А как отличить команды шеллу от обычных команд?

У меня на ДЛЕ 9.5 были заражены стандартные скрипты из папки /engine/classes/js

Заменил их на новые из официального дистрибутива, все пропало. До этого ставил нуленый двиг, проверьте, может и у вас то же самое.

Ну, грубо говоря, в access логах появляются запросы к каким то файлам, которых раньше не было. Либо самих файлов, либо таких запросов.

А можно ли снять права записи для всех файлов js?

P.S. вредоносный код нашел только в файлах js, еще где-нибудь мог прописаться?

да

Да

10 символов

А смысл? Сегодня js, завтра css, послезавтра html, через год mp3

Нужно более глобально проблему решать

смысл есть, т.к. глобально проблему не решить.

дырки, вирусы будут всегда, по-крайней мере пока используется фон Неймановская архитектура

любая защита - это всегда комплекс мер

Присоединяюсь к проблеме все аналогично произошло 27 числа... все ЖС скрипт были изменены и в конце было добавлено вредоносный код...

Как такое может быть? Столько людей а проблема такая глобальная... ппц

Я уверен что у всех разный хостинг... Кроме ДЛЕ я так понял даже самописы заразились..

Так где тогда собственно искать дыру? Ах да на хосте жумла не заразилась, только сайты на ДЛЕ.

Ага посмотрел еще и ВП заразился...

Использую TinyMCE, editarea, EXTJS из JS, и Smarty из PHP в самописной системе.

заражение в 27.02.2012 13:10:00 (волной почти все используемые js файлы в системе, не используемые не тронуты)

Лечится заменой оригинальными файлами.

Входили скорее всего через SHELL, одна попытка, т.к. везде дата изменения одинаковая. Пользователь ftp (думаю для отвода глаз).