Появляется вредоносный скрипт на сайте =(
Страницы: Пред. 1 2
Появляется вредоносный скрипт на сайте =(
Цитата
xschneider пишет:
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Либо в самих скриптах которые выполняет cron?
Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это?
Скачайте самые новые фильмы торент
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Либо в самих скриптах которые выполняет cron?
Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это?
У меня туго с программированием php, такие вещи делаю на уровне интуиции. Если вижу что-либо подозрительное, сперва смотрю в интернете, а только потом удаляю. Лучше открыть все файлы в cron.daily, cron.daily, cron.monthly и посмотреть куда ведут пути.
И еще вопрос, есть ли еще сайты на серваке?
Чебоксары, netbynet.ru ))))
В Питере тоже есть, в одном жилом комплексе
Цитата
Олег Былинкин пишет:
Подскажите как это остановить?
Самому найти можно и есть темы на форуме - айболит и прочее.

Есть услуги тех, кто этим занимается: _http://www.cy-pr.com/forum/f80/t48012/m795575#message795575
Цитата
Coder пишет:
Цитата
Олег Былинкин пишет:
Подскажите как это остановить?
Самому найти можно и есть темы на форуме - айболит и прочее.

Есть услуги тех, кто этим занимается: _http://www.cy-pr.com/forum/f80/t48012/m795575#message795575
ai-bolit тема конечно, особенно эвристика. Меня неоднократно выручал
Изменено: xschneider - 21 Октября 2014 12:18
Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются). 

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения. 
Цитата
Григорий пишет:
Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются).

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения.
У меня php.mail.log и maillog показывал, что это скрипты с помощью sendmail спамили сообщениями по 25-му порту а все потому что sendmail настроен как relay. А само веселье началось 10 октября, мне позвонил знакомый саппортер от провайдера, говорит типа более 500 сообщений в секунду по 25 порту шпарит. tcpdump port 25 и показал что правда... mailq - показал что еще 100500 в очереди... конечно я их убрал из очереди
Изменено: xschneider - 21 Октября 2014 12:25
Цитата
xschneider пишет:
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Либо в самих скриптах которые выполняет cron?
Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это?
У меня туго с программированием php, такие вещи делаю на уровне интуиции. Если вижу что-либо подозрительное, сперва смотрю в интернете, а только потом удаляю. Лучше открыть все файлы в cron.daily, cron.daily, cron.monthly и посмотреть куда ведут пути.
И еще вопрос, есть ли еще сайты на серваке?
Да есть, а они как то влияют? или в них тоже могли влить плохие скрипты?
Цитата
Григорий пишет:
Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются).

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения.
access_log из Apache или в самом сайте?
С именем access_log создает файл только apache. Неудобство в том, что он может быть огромным по количеству строк и размеру. Путь /var/log/httpd/access_log
Изменено: xschneider - 21 Октября 2014 12:58
Цитата
Coder пишет:
Самому найти можно и есть темы на форуме - айболит и прочее.
Вообще старая тема конечно но вдруг кому пригодится ищите в своих папках eval и удаляйте его без сомнений - без этого кусочка вредоносные скрипты и вирусы работать просто не будут
Страницы: Пред. 1 2
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
13:54 Dao.AD: Монетизация и покупка Push/Pops/Inpage и Video трафика! 
14:50 Индексация страниц 
12:36 У кого новостник, дайте пару советов плиз 
13:53 AviTool - мощный инструмент для автоматизации работы с Avito 
17:01 Absence в Армении 
23:19 Ребята подскажите какими сервисами и прогами вы пользуетесь для SEO продвижения? 
14:50 Какую выбрать тему/нишу для сайта? 
21:36 BestX24 - быстрый и безопасный обменник криптовалют и электронных денежных средств 
20:19 Cryptonet.pro - быстрый и надежный обмен электронных валют! 
16:18 swapsfera.com 
14:35 garantcoin.io - быстрый и надёжный сервис обмена криптовалюты GarantCoin 
13:20 GoodsMoney.io 
12:50 SpaceSwap.cc - Быстрый и надежный обменник криптовалют 
12:29 CactusPay.PRO | Умная платёжная система с выводом в USDT TRC-20 
19:42 Топ-5 способов использовать мобильные прокси для бизнеса: подробный обзор 
22:08 Накрутка поисковых подсказок 
05:04 Точные прогнозы на футбол 
14:01 Union Pharm - топовая фарма-партнерка для профессионалов! 
10:59 Ням-ням! - 8 деликатесов, которые когда-то ели только бедные люди 
12:23 150+ хакерских поисковых систем и инструментов 
17:41 Стряхнуть обыденность - об Агасфере