Появляется вредоносный скрипт на сайте =(
Страницы: 1 2 След.
Появляется вредоносный скрипт на сайте =(
Всем привет, есть сайт money-new.ru так вот вчера начал появляться сторонний скрипт на сайте а именно в header.php и в двух папках css и js появляются сторонние скрипты!!!
Подскажите как это остановить?
header.php вызывается практически на всех страницах сайта, вот думаю если изменить его название то это поможет? Или взломщик имеет доступ ко всем php на моём сайте?
Скачайте самые новые фильмы торент
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Цитата
xschneider пишет:
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Нет не вордпресс.. Там своя система, не CMS но да появляются скрипты типа images.js и css.php
А в самом header.php появляется <script>тут какая то хрень</script>
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Нет не вордпресс.. Там своя система, не CMS но да появляются скрипты типа images.js и css.php
А в самом header.php появляется <script>тут какая то хрень</script>
Да, извините, я ляпнул, не глянув на сайт. Просто недавно на вордпрессе словил вирус - там создавались php-файлы с почти рандомным названием и зашифрованным кодом внутри. Как я решил проблему (мне легче, так как сервак стоит дома свой). Я остановил сайт, а именно  /var/www/название сайта переименовал /var/www/название сайта_stop. Я тогда сразу заметил в шаблонном header.php спрятанный скрипт. Проверял для начала сайт ai-bolit антивирусником, хотя его врядли так можно назвать, просто поиск скриптов, похожих по сигнатуре на вирусы. А потом вручную искал через ssh по именам файлов (имена файлов мне выдал ai-bolit и вручную кое-что нашел). Все удалялось вручную. У меня были примерные имена файлов такие: article.php, title.php, config.php, renovation.php, login.php, session.php,  utf.php,dirs.php,inc.php,include.php,cache.php,page.php,user.php,general.php, global.php, system.php,    start.php,     db.php,      defines.php,    model.php,   view.php,    css.php,info.php.Очень советую использовать ai-bolit скрипт. Он бесплатный и скачать его можно по адресу http://revisium.com/ai/  
Цитата
xschneider пишет:
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Нет не вордпресс.. Там своя система, не CMS но да появляются скрипты типа images.js и css.php
А в самом header.php появляется <script>тут какая то хрень</script>
Да, извините, я ляпнул, не глянув на сайт. Просто недавно на вордпрессе словил вирус - там создавались php-файлы с почти рандомным названием и зашифрованным кодом внутри. Как я решил проблему (мне легче, так как сервак стоит дома свой). Я остановил сайт, а именно /var/www/название сайта переименовал /var/www/название сайта_stop. Я тогда сразу заметил в шаблонном header.php спрятанный скрипт. Проверял для начала сайт ai-bolit антивирусником, хотя его врядли так можно назвать, просто поиск скриптов, похожих по сигнатуре на вирусы. А потом вручную искал через ssh по именам файлов (имена файлов мне выдал ai-bolit и вручную кое-что нашел). Все удалялось вручную. У меня были примерные имена файлов такие: article.php, title.php, config.php, renovation.php, login.php, session.php, utf.php,dirs.php,inc.php,include.php,cache.php,page.php,user.php,general.php, global.php, system.php, start.php, db.php, defines.php, model.php, view.php, css.php,info.php.Очень советую использовать ai-bolit скрипт. Он бесплатный и скачать его можно по адресу http://revisium.com/ai/
У меня тоже свой сервер дома. Но вы не совсем поняли, я очистил от вируса ещё вчера. Всё было нормально, но утром сного появился только уже с другими файлами и другим кодом... Сейчас всё очистил, но боюсь повторения! Вот суть вопроса состоит в том, как защитить себя? Это иньекция или кто то получил доступ к файлу? Если иньекция то можно же просто изменить название с header.php на что то другое и по логике взломщик не сможет определить новое название? Или я не в том направлении думаю)
Тогда такой вопрос: есть вероятность того, что кто-то подобрал пароль от админки или доступа к серверу? Может быть с самого начала в подключаемых js-скриптах сидел бэкдор?
Ищите код который расставляет эти скрипты, сверяйте содержание каждого файла с оригиналом.
Обычно ломают, запихивают код, и он расставляет скрипты в определенное время после удаления.
Открой свой магазин за 5 минут, их товары, их обслуживание, с тебя только клиенты >>> РЕГИСТРАЦИЯ <<<
Скрин выплат по запросу.
Рефералам помощь.
Цитата
xschneider пишет:
Тогда такой вопрос: есть вероятность того, что кто-то подобрал пароль от админки или доступа к серверу? Может быть с самого начала в подключаемых js-скриптах сидел бэкдор?
У меня стоит блок на доступ к фтп всем кроме моего второго пк, точнее никто из инета не сможет войти на фтп только по локалке и только один ip
Цитата
Алексей SP пишет:
Ищите код который расставляет эти скрипты, сверяйте содержание каждого файла с оригиналом.
Обычно ломают, запихивают код, и он расставляет скрипты в определенное время после удаления.
В принципе, согласен. Если в одном из файлов вредоносный код остался, он может, допустим при заходе на сайт-при обработке этого скрипта, создавать заново файлы и раскидывать их по папкам
Цитата
Алексей SP пишет:
Ищите код который расставляет эти скрипты, сверяйте содержание каждого файла с оригиналом.
Обычно ломают, запихивают код, и он расставляет скрипты в определенное время после удаления.
А как код может приблизительно выглядеть? И в каком расширении файла он залазеет? в php? Скорее всего в кроновский скрипт могли внести да? потому что без крона как он будет выполняться в определённое время?
Бывает, что, если есть возможность заливать картинки или аватары, а скрипт заливки (какой-нибудь upload.php не защищен), то можно залить картинку с вредоносным кодом.
Цитата
xschneider пишет:
Бывает, что, если есть возможность заливать картинки или аватары, а скрипт заливки (какой-нибудь upload.php не защищен), то можно залить картинку с вредоносным кодом.
Кстати да, надо посмотреть) Это один из вариантов!
[COLOR=#005187]Troj/JsRedir-OY[/COLOR] Вот сам вирус.
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Извините, не помню как смотреть через консоль.... crontab -l или нет..(((
Цитата
xschneider пишет:
Извините, не помню как смотреть через консоль.... crontab -l или нет..(((
Да, вроде так, но у меня на серваке перестала работать такая команда, поэтому я смотрю в /etc/cron*
Страницы: 1 2 След.
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
19:29 Dao.AD: Монетизация и покупка Push/Pops/Inpage и Video трафика! 
17:29 Как продвигать сайт с неуникальным контентом 
14:50 Индексация страниц 
12:36 У кого новостник, дайте пару советов плиз 
13:53 AviTool - мощный инструмент для автоматизации работы с Avito 
17:01 Absence в Армении 
23:19 Ребята подскажите какими сервисами и прогами вы пользуетесь для SEO продвижения? 
23:25 Обменник криптовалюты OnlyCrypto 
19:18 Размещение статей, ссылок и постовых на качественных ресурсах 
16:32 Продажа аккаунтов HH.RU 
15:14 Новый белый офер на медицину! 
13:22 Linken Sphere – браузер-антидетект нового поколения 
04:12 Просто $0.04/IP 9PROXY.COM Резидентные прокси Неограниченная пропускная способность Уникальная политика замены Без чёрного списка 
22:29 InOut-Exchange.com - обменник 24/7, которому доверяют 
22:06 Добро пожаловать в цифровой мир... 
19:42 Топ-5 способов использовать мобильные прокси для бизнеса: подробный обзор 
22:08 Накрутка поисковых подсказок 
05:04 Точные прогнозы на футбол 
14:01 Union Pharm - топовая фарма-партнерка для профессионалов! 
10:59 Ням-ням! - 8 деликатесов, которые когда-то ели только бедные люди 
12:23 150+ хакерских поисковых систем и инструментов