Постоянно ломают сайт
Кто нибудь знает реально действенный метод борьбы с iframe. Ну задолбали уже честное слово. В последнее время поменял пароли на фтп, поставил права на все файлы index, config, main, на сайте в 444, на компе стоит лицензионный KIS 2010, работаю с сайтом преимущественно из под ubuntu. Но вот недавно буквально на 5 минут изменил права index."*" и config."*" на 644 чтобы поставить модуль статистики avadim'a и сразу же за эти 5 минут напихали во все индексные файлы iframe. Они постоянно что ли проверяют можно ли мне нагадить или как? Пароли ни в браузерах ни в фтп клиентах не сохраняю. Как противостоять этим пидорам люди? Помогите побороть пожалуйста. Хостинг hc.ru. Спасибо.
31 комментарий
и там уже смотри что тебе больше подойдет. Я вообще не большой спец по этой части.
Не понял что за запрос такой и сам сайт stenos.ru тоже какой то подозрительный.
Пока буду врубать защиту по IP с использованием .ftpaccess,
Что все это значит народ? Смею заметить, что моего IP среди этих нету. IP у меня не динамический, т.к. выхожу с городской локальной сети. И обращения идут только к index.php, index.html и main.php
Так что проверь как следует комп на наличие вирусов и троянов, а после и сервер пошерсти. Бывали случаи что и из-за дырявого хостинга подобное бывало на всех сайта одного сервера.
у раннего тотала была уязвимость стягивания сохраненных паролей, ща вроде исправились
Кстати, yuri25, как у тебя с регистрглобалс? ;-)
это
vist? :-)
Но с другой стороны, не каждый может стойко перенести молчаливое минусование. Многие расстраиваются, просят прокомментировать отрицательные оценки. Я часто такое наблюдаю и глубоко убеждён, что повода к печали нет, когда в интернете кто-то неправ.
Это я к тому, что тема-то важная, а тут, вместо ее обсуждения, кормление тролля идет. Меньше внимания стоит обращать на них. Тролли без внимания хиреют.
Провел посильную деминусацию :-)
*
Причем такое напихано и в другие файлы, например в classes/modules/sys_database/Database.class.php
Люди как думаете что это за хрень? Может все таки глюк у хостера? Слишком уж много всего поменялось, да и нафик меня кому то взламывать… было бы что ломать:(. Устал я, наверное придется менять hc.ru
Если ломанули то получается что и блокировка по IP не сработала, х.з. не знаю что уже и думать. Посоветуйте что нибудь пожалуйста.
Скорее всего взламывать никому не понадобилось, школота нашла дыру, решила залить шелл на будущее… и так поприкалываться.
Я бы так сделал:
1) меняю фтп-пароль
2) чищу index.php (другие можно не трогать)
3) через какое-то время считываю фтп-логи и проверяю — есть зараза?
Выполняю последовательно все эти три шага сначала на родном компе, потом на другом (при возможности — еще и на третьем). И самое главное — пока выполняются все три пункта на одном компе, ни в коем случае не выходить на сайт по фтп с какого-то другого компа.
Затем сравниваю результаты. Если, например, при работе с моего компа зараза появляется, а при работе с других — нет, то все ясно — троян на конкретной машине, и Касперский — мастдай.
Возможно, все дело закончится сменой пароля. Это будет означать, что твой пароль давно уплыл налево и юзается ботами для внесения инфекции в индексные файлы.
Если окажется, что меняя пароли на разных машинах, и не видя в логах несанкционированного доступа по фтп, все равно засечешь изменения файлов, то искать проблему надо внутри. Сначала скурпулезно пройтись абсолютно по всем файлам и все вычистить (если сайт молодой, то проще, наверное, будет убить его и заново залить) — зараза может быть самовоспроизводящейся. А потом уже — рвать на себе тельник и наезжать на хостера. Или попросту съежать.
Буду чистить и думать что делать дальше. Avadim, а подскажи если я буду работать с сайтом только из под Linux, а из windows просто выходить в сеть — этим можно исключить свой компьютер на заразу или нет?
Вывод через echo (base64_decode(....) показал это:
Насколько я понял этот файл и есть шелл, но как и кто его закинул туда? Конечно могли и пароли стырить. Посмотрел логи фтп, там естественно несколько строк с обращением именно к этому файлу, например:
Также в логах куча обращений к другим файлам, например:
Я так толком и не понял, что означают эти записи, наверное то что кто то с IP адреса 67.210.109.185 имеет доступ по фтп к файлам также как и я, ибо знает логин и пароль.
По этому IP в браузере открывается сайт насколько я понял сайт какого то забугорного хостинга. Вот такие дела ребята:( Если кто разбирается в логах и вообще в вопросах безопасности буду очень благодарен если поможет мне разобраться с логами. Может моя ошибка была в том, что я закинул ftpaccess в папку public_html, а нужно было в корень аккаунта? И еще такой вопрос, если я запретил доступ с других IP кроме своего, то в логах и не должно быть вообще других IP кроме моего так? Я прошу прощения что продолжаю ветку, но вдруг инфа пригодится еще когда нибудь, ну и так для общего развития. Так что прошу не считать за флуд.
Про gifimg.php — это широкие ворота для входа на твой сайт. Можно передавать любые команды и они будут выполняться. Варианты, как зараза могла попасть на сайт — читай выше. И пока не вычистишь абсолютно ВСЕ файлы, она будет жить и распространяться. Кстати, не забывай о регулярном дампе БД, а сразу после очистки первым делом меняй пароли к ней.