Кто то добавляет скрипт биржи

S
На сайте с 04.02.2007
Offline
337
svv
816

На сайте футер подгружается из отдельного PHP (down.php) и кто то постоянно аккуратно добавляет туда код линкобиржи. Я его удаляю - через несколько дней снова на месте. Изменил пароль к FTP, все-равно появляется. Оставил файл down.php на месте, сделал new_down.php и уже его стал подгружать вниз - от старого отстали, меняют новый, что говорит о том, что делает каждый раз человек. Самое забавное, что в CuteFTP дата изменения всегда моя, т.е. внесение изменений остаётся как бы незамеченным.

Как справиться с напастью?

Бумеранг777
На сайте с 08.02.2009
Offline
660
#1

разделом ошибся. шелл наверно залит.

Бурж хостинг ( https://vk.cc/8kDAui ) - Разрешён адалт. Секс по телефону ( https://vk.cc/6u7YCX ) - Мужской трафик конвертит на ура. Адалт дейтинг ( https://vk.cc/bZlb2J ) - Смарлинк с высоким EPM
S
На сайте с 04.02.2007
Offline
337
svv
#2
Бумеранг777:
разделом ошибся. шелл наверно залит.

Раздел не смог корректно выбрать. Надеюсь, админ подправит.

Кто такой шелл и как его запретить?

OPTIMER
На сайте с 05.01.2006
Offline
492
#3

svv, хостеру писали?

Откат делали?

оО Раскрутка сайтов без абон. платы, единоразово от 100.000 руб.
Arsh
На сайте с 21.03.2007
Offline
199
#4
svv:
Кто такой шелл

Ну, такой шелл.

mendel
На сайте с 06.03.2008
Offline
232
#5

Шелл это некий скрипт залитый через дырку в сайте. Через него хакер ходит к вам на хостинг как к себе домой.

Еще есть бекдор (черный ход), это когда программу для входа не заливают, а только небольшое изменение чтобы было проще взломать даже если вы закроете основную дыру через которую залезли. Ну и собственно сама дыра через которую залезли - ее тоже было бы неплохо закрыть :).

Как лечить уязвимости слишком специфичный вопрос, мы ничего не знаем о сайте.

Универсальный совет - пройтись антивирусом (который знает веб.зоопарк) и обновить всё на сайте до актуальных версий.

Шутку любишь над Фомой, так люби и над собой. (с) народ. Бесплатные списки читабельных(!) свободных доменов (http://burzhu.net/showthread.php?t=2976) (5L.com) Сайты, All inclusive. 5* (/ru/forum/962215)
S
На сайте с 04.02.2007
Offline
337
svv
#6
OPTIMER:
svv, хостеру писали?
Откат делали?

Хостеру писал. Ответ не удивил: меняйте пароли, обновляйтесь до последней версии, обратитесь к специалистам. Откат смысла делать нет - файл почистил и пока без ссылок. Сайт самописный, к тому же довольно простой -> head/foot, а посередине PHP, который сопоставляет запрос и инклюдит нужный html. В первый раз залили очень давно - я не заметил, за что получил АГС.

mendel
На сайте с 06.03.2008
Offline
232
#7
svv:
инклюдит нужный html

Это первое что в глаза бросается.

А еще у вас наверняка есть форма обратной связи.

Обычно этого достаточно.

Ну и соседи по хостингу (обычно свой акк, но у многих хостеров можно и от соседей получить).

sergv
На сайте с 13.04.2006
Offline
429
#8

А в логах что? Изучали?

https://REGHOME.ru - регистрация и продление доменов от 169₽ в российских и международных зонах по честным ценам без звездочек. (R01, WebNames, UK2). Принимаем Ю-Money, Visa, MasterCard, Мир
S
На сайте с 04.02.2007
Offline
337
svv
#9

Включил сегодня эти логи, посмотрим.

В принципе, mendel написал умную вещь насчет антивируса, поставил один такой и выловил несколько скриптов трастлинка, один из которых запускался как раз несколько дней назад. Пока удалил - наблюдаю.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий