- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
У меня в свое время в похожей ситуации шелл нашелся по фрагментам обфусицированного кода. Хоть один файл обнаружите - уже легче будет. И вредоносные файлы имели одну шаблонную особенность: они назывались так, как папки и файлы на том же уровне, с небольшой разницей в 1-2 символа. Причем время изменения файлов было замасикровано под дату установки cms (3-4 года назад). Кстати, айболит тогда нашел на сайте множество конструкций, которые также используются в шеллах, включая base64 и т.д., но сам шелл не нашел. Так что надежды на него мало.
Я сомневаюсь в подборе пароля FTP. Каким образом злоумышленник мог это сделать?
никто пароли не подбирает, их тырят вирусами с компов работающих на винде, которые "защищены" псевдоантивирусами типа нода32.
никто пароли не подбирает, их тырят вирусами с компов работающих на винде, которые "защищены" псевдоантивирусами типа нода32.
иногда и подбирают, но обычно тырят, а причем тут nod32? - и касперский также может пропустить заразу, многое зависит от аккуратности владельца компа
Сайты находились на 10-и разных серверах и на всех этот скрипт внедрили.
Скорее всего взломали компьютер и зашли в FileZilla.
Одно из вариантов решения.
Так как скрипт автоматически встраивается только в index.php
В .htaccess или nginx прописать индексный файл не index.php, а например my.php и тогда никакой внедренный код не страшен.
В .htaccess или nginx прописать индексный файл не index.php, а например my.php и тогда никакой внедренный код не страшен.
А не правильнее было бы уже ограничить права на запись?
А не правильнее было бы уже ограничить права на запись?
А толку, если акк ФТП уведён, а копм заражён и сливает пассы с файлзиллы? ;)
ТС, лечить ПК надо, менять пасс на ФТП + смотреть на новые\изменённые файлы. Мб в них бекдор поселили.
Ида, закреплённый в разделе топик - это не спроста. Осиль хотя бы первые 3 страницы.
Очень рекомендую анализировать логи доступа, а именно по POST запросам. 🍿