форум общения русскоязычных пользователей CMS Текстпаттерн
Вы не зашли.
за эту неделю хакнули уже второй сайт клиентов .
меняются индексные и библиотечные файлы (*.php) - дописывается какой-то код. Тхп 4.0.4 и 4.0.6
Кто нибудь сталкивался?
Неактивен
Обновляться надо. Если хорошо поискать, то можно найти многое. http://www.dsecrg.ru/pages/vul/show.php?id=18
Неактивен
угу, активизировались чего сканы...
Неактивен
блин, новый сайт 4.0.8 тоже скрипт дописали.
Есть мысль что на сервер новый скрипт дописывают, который дает доступ, но выловить его в куче файлов... svn поставить и инсталяцию сохранить...
любым идеям буду рад, у меня их уже нет
Неактивен
Уверены, что проблема не в разбазаривании паролей доступа, к фтп, например?
А отыскать скрипт - попробуйти логи веб-сервера посмотреть.
Неактивен
Проверяйте локальную машину на предмет вирусов и троянов загружаясь с внешнего носителя.
Для кучи файлов есть md5sum и архив правильных файлов.
Неактивен
ioannes написал:
блин, новый сайт 4.0.8 тоже скрипт дописали.
Есть мысль что на сервер новый скрипт дописывают, который дает доступ, но выловить его в куче файлов... svn поставить и инсталяцию сохранить...
любым идеям буду рад, у меня их уже нет
хостинг шаред? если да, то есть большая вероятность, что через соседей. ну или хостинг ломанули, впрочем это одно и тоже.
что еще внешнее используется? форум, визуальный редактор и т.д.
вычищали все полностью? права на файлы и папки ставили нормальные, а не 777 на все...
для контроля можно использовать подсчет MD5 для всех файлов и последующую сверку файлов с контр.суммами.
Неактивен
шаред, конечно.
подозрение вызывает, что на разных хостингах проблемы возникли. на реплее и РБК. на том сайте, кот. 4.0.8 (brigada63.ru) - ничего лишнего не стояло, на других phpBB. опять же не в нем проблема.
о разбазаривании паролей - все фтп доступы в totlal commander'e храняться - может какая хрень их оттуда читает и куда нибудь шлет... nod32 ее не видит...
Неактивен
на ТХП тоже подозрений мало - на сайте папка ТХП называется не textpattern, по другому...
Неактивен
Беда!!!! в INDEXные файлы дописывают код <iframe> а сегодня скрипт с тоянцем....
Что делать???
Неактивен
Если у вас Windows и вы заходите по ftp через Total Commander, например, то чиститься от вирусов (хотя гарантии никакой), перестать пользоваться для ftp "тоталом" или тем средством, которым пользовались, сменить пароли доступа к серверу и надеяться, что этого достаточно для устранения проблемы.
Отредактированно BrokenBrake (08-08-2009 00:55:47)
Неактивен
про Total Commander полностью согласен - скорее всего в нем проблема - но он удобнее, в сравнении с тем же WinSCP
Достаточно просто никогда не сохранять в Total Commander пароли от ftp
и после смены пароля на ftp - обязательно почистить все файлы на сервере, а лучше залить новый ТхП
Неактивен
Пароли в тотале не сохраняю, на машине стоит каспер интернет секьюрити, дополнительно проверял, доктором вэбом, и AVZ.
Буквально с вечера перезалил все файли на сервере, поудалял много ненужного и со спокоуной душой лег спать, следующий день вечером на работе захожу на сайт, а там Trojan-Downloader.JS.Iframe.as
Вобщем вот такая вот штука. Хостер естественно божится, что у него все путем, это мол у вас скрипты дырявые.
Неактивен
я для верности на 4.0.8 сайт пересобрал на локальной машине с 0, только базу импортнул, а на серваке сначала все удалил - дырки могут в любой пхп файл записаться
плюс пароль на фтп менять обязательно
Неактивен
ТС, какой итог? Решили проблему? Выяснили, каким путём загружались вирусы?
Неактивен
как писалось на некот. форумах - причина в тотал коммандере
а от проблемы избавился
Неактивен
В этом году сталкивался с такими же проблемами (хоть тотал коммандер не использую) — заражались файлы как *.php, так и *.html. TxP на этих сайтах не стоял. После "лечения", на следующий день файлы снова оказывались заражёнными (экспериментировал). Проблема исчезала начисто сменой пароля на ftp.
Неактивен
Olegus t.Gl. написал:
В этом году сталкивался с такими же проблемами (хоть тотал коммандер не использую) — заражались файлы как *.php, так и *.html. TxP на этих сайтах не стоял. После "лечения", на следующий день файлы снова оказывались заражёнными (экспериментировал). Проблема исчезала начисто сменой пароля на ftp.
Где-то троянчик подхватили
Неактивен
the_ghost написал:
Где-то троянчик подхватили
Факт.
Неактивен