- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Всем привет. Возникла интересная задачка: имеется сервер CentOS и несколько пользователей. У одного из пользователей в каждом файле JS появляются Iframe вставки. Причем, если их удалить через SSH при помощи find + sed или просто через SFTP/FTP отредактировать, то через 5-10 минут опять появляется эта вставка.
1) Сменил пароли
2) На всякий случай компьютер проверил антивирусом
3) Период выполнения всем задачам из Cron'a поставил 1 год (через ISPmanager)
Но проблема так и осталась не решеной. Изначально я подумал, что сервак порутали. Но непонятно осталось почему только с 1 пользователем такая мистика? Где еще можно поковырять?
Где еще можно поковырять?
Логично в файлах покопать.
Льют через дыру в сайте
В логах веб сервера смотрите, скорее всего там будет ответ на ваши вопросы, причем логи смотреть надо по всем vhosts которые в системе принадлежат скомпрометированному акаунту.
joomla ???
примерно такое
???
если да:
- смотрите папку/подпапки images туда скорее всего залит index.php с вирусным скриптом (около 1кБ)
- когда правите js ставьте на них 444, временно поможет
- потом смотрите остальные папки на сайте (а потом и другие сайты тоже), там где не было скорее всего тоже залит index.php
дырка /ru/forum/762978
P.S. могу помочь очистить, обращайтесь...
joomla ???
примерно такое
???
если да:
- смотрите папку/подпапки images туда скорее всего залит index.php с вирусным скриптом (около 1кБ)
- когда правите js ставьте на них 444, временно поможет
- потом смотрите остальные папки на сайте (а потом и другие сайты тоже), там где не было скорее всего тоже залит index.php
дырка /ru/forum/762978
P.S. могу помочь очистить, обращайтесь...
Да, действительно, один из сайтоиков на джумоле работал. Файл нашел. Спасибо большое.
Обновление редактора можно взять тут
В общем
1) удалил этот говно-сайт
2) удалил зараженные файлы php
3) Удалил файлы jse
4) удалил все iframe вставки в js файлах
Всем спасибо за помощь. Хотя правда остался вопрос. С каких это перепугов появляются jse файлы...
у меня на сайтах тоже такое появляется внизу - это как я понял со стороны хостинга идет подключение и в них там проверка на наличие флеш плеера и такие технические
Проверяйте все папки. У меня на одном из сайтов не помогла чистка только папки images
Вирусные файлы были почти в каждой папке и куча файлов были изменены.
Я просто все удалил, востановил чистый бекап, и уже в нем удалил нафиг редактор JCE
Вот скрипт проверки уязвимостей и шеллов ,вирусов http://revisium.com/ai/