Взломали сайты

Как хоть выглядит это дело?

Может есть у кого скрипт, который находит шеллы? Буду благодарен.

Погуглите по: с99 shell, с100 shell, r57 shell, Shell 42 - они все валяются в открытом доступе, скачайте, посмотрите

---------- Добавлено 05.04.2012 в 12:10 ----------

Тут кто-то ссылку на айболита скидывал, поищите. Но он не всё находит, например WSO он не видит

Вон, нашёл его на cy-pr.com

UPD: SeVlad подсказал ссылку сайт разработчика

Вместо того, чтобы перечислять всех известных вашему разуму хостеров, CMS'ок и фтп менеджеров, указали бы всего три пункта:

1. Название службы ftp на сервере.

2. Операционка и общий конфиг сервера.

3. Наличие пострадавших на макосях\линях (имеется в виду домашняя операционка, а не серверная).

Остальные вбросы вида

не имеют смысла, потому что лечить надо не симптомы, а причину. Думать нужно, в первую очередь, о решении, а не о задаче.

Согласен, но я очень сильно сомневаюсь, что вот прямо сегодня мы здесь коллективно возьмём и найдём причину. А сайты продолжают ломать, и закрыть фтп это хоть какое то временное решение в случае с дописыванием в JS

По вашим первым пунктам также скажу, что без разницы какой ftp сервер и операционка на сервере, единственное сервера с виндой не попадались. А вот по поводу домашней операционки мне тоже интересно.

Про себя скажу что стоит винда XP, правда с включённым автообновлением, стоит Kaspersky Internet Security 2012, 2 недели назад специально сохранил в Файлзилле и в Тотале пароли от двух тестовых сайтов, но до сегодняшнего дня их никто так и не вытащил. По сайтам с вируснёй лажу ежедневно.

Думается мне, что это увели пароли с компьютеров, которые пользовались ftp-программами, так что стоит начать с проверки именно их различными антивирусами.

Затем забыть о внесении паролей в учетные записи ftp-хостов в этих программах.

Помогает блокировка доступа к ftp с определенных ip, но если ip плавающий, то это несколько неудобно, зато безопаснее.

Если исходить из того, что увели таки пароли от ftp, то банальное восстановление из бекапа и смена паролей должны помочь.

Ребята, мы где-то подцепили эту заразу. У меня на рабочем компьютере (Вин7) обнаружился вирус, который не определяется по вирусным базам касперского, но примечательно то, что из всей той лабуды там в названии JS.

В данный момент мне удалось восстановить сервер с сайтами клиентов. Доступ по фтп полностью закрыл. Но предстоит еще узнать, вдруг уязвимостей поналепили.

Для себя я решил - полностью пересаживаюсь на MacOS. В данный момент все действия совершаю со своего макбука. То, насколько уязвима винда даже с касперским самой крутой комплектации... Как он мог не заметить что что-то вклинивается в процесс файлзиллы и тырит пароли?

Причина точно в вирусе на данном компьютере потому что сайты специально разнесены по разным аккам и никак не могут пересекаться друг с другом.

Больше нигде не было этих данных

Про код в js: он там зашифрованый и понять что именно он делает у меня нет возможности. Но если зайти на сайт то вирусы лезут со всех дыр.

Аха. http://habrahabr.ru/post/141421/

Если руки сами знаете, то тут уже ничего не поможет.

Мозг уязвим, остальное лишь железячка.

Кстати крутую компиляцию нужно НАСТРАИВАТЬ. У вас хоть пароль то был поставлен на изменение настроек в нём?

Конкретнее

Конкретнее некуда, по его логике винда гавно. Он же написал.