LINUX.ORG.RU

в файлы index.php сама собой добавилась строка


0

0

доброго времени суток!

Недавно случилось событие, которое, мягко говоря, привело меня в замешательство. У нас на сервере (Debian) лежит 50-60 сайтов. И в один прекрасный день у всех этих сайтов в файле index.php в конце файла появилось следующее:

<!-- o65 --><img src="http://vstnews.ru/uploads/stats/s.gif"; border=0 ><!-- c65 -->

то есть, после закрывающего php-шного тега появилась вот такая закомментированная ссылка на какую-то "картинку".

Заметил я это не сразу, а когда начал синхронизировать файлы. Повторюсь: это у всех сайтов.

Я конечно поменял пароли, но это, блин, ОЧЕНЬ странно. Уважаемые, подскажите, пожалуйста, что это может быть? Как предотвращать? Я просто вообще не могу понять, че это такое..

Поздравляю! Вас взломали

anonymous
()

> Я просто вообще не могу понять, че это такое..

Пару лет назад был популярный вирус для totalcmd, который добавлял в конец php-файлов подобное если в нем были сохранены пароли...

Igron ★★★★★
()

Это хакиры. А нигде ничего больше не появлялось?

Есть rkhunter, chrootkit для обнаружения руткитов и прочего говна.

aspell
()

Банально упёрли пароли.

Нефиг их было в тотал коммандере или фаре сохранять.

Deleted
()
Ответ на: комментарий от Deleted

Да, а разобраться помогут, как обычно, логи.

Deleted
()
Ответ на: комментарий от Deleted

>Банально упёрли пароли.

Не обязательно. Могли спокойно на систему бэкдор какой-нить протащить :) Например, если хоть на одном из этих 60 сайтов хоть один кривой sql-скрипт есть :)

KRoN73 ★★★★★
()
Ответ на: комментарий от KRoN73

95% что упёрли пароли на ftp. 5% на всё остальное.

Deleted
()
Ответ на: комментарий от KRoN73

ПРоблема известная.

http://perpetum-mobile.ru/projects/dummy_ftp/

Скрипт этот правда уже несколько раз переписывался, патчился и рефакторился(на сайте устаревшая версия), то до сих пор доступ к фтп - только через него :-) ...

r_asian ★☆☆
()
Ответ на: комментарий от r_asian

>Скрипт этот правда уже несколько раз переписывался а как этот скрипт спасет от доступа и зловредного изменения файлов сайтов? Какая разница, так напрямую меняли, будут через прокси...

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.