| |
|
|
| | Здравствуйте !
Есть большая проблема помогите кто чем может !
Есть несколько сайтов написаных на РНР расположенных на хостинге.
Каждый день, а то и несколкоко раз, на всех сайтах ломаются файлы index.php и index.htm,
Каждый сайт на отдельном аккаунте.
Подскажите может как то скрипты проверить на наличие дырок или что то еще сделать можно ???
Заранее спасибо !
[поправлено модератором] | |
| |
|
|
| |
|
|
| |
для: Fighter
(04.04.2007 в 12:44)
| | | я\ думаю нужно проблему описать поподробнее, а то как то непонятно вовсе. | |
| |
|
|
| |
|
|
| |
для: realkasper
(04.04.2007 в 12:47)
| | | Куда подробнее то??
Каждый день файлы переписываются чем то или кем то, но никак не могу понять кем или чем, а самое главное КАК ??
Пароли все уже меняли а толку 0 ! | |
| |
|
|
| |
|
|
| |
для: Fighter
(04.04.2007 в 12:49)
| | | Пароли менять мало, нужно чистить и свои клиентские машины - возможно они заражены трояном, который их ворует и регулярно сливает...
PS Взлом что из себя представляет - рекламные ссылки? | |
| |
|
|
| |
|
|
| |
для: Fighter
(04.04.2007 в 12:49)
| | | Видимо шел залит, было как то у меня такое.
Вопрос! поверялся ли сервер на наличие лишних скриптов, есть ли на сервере не ваши скрипты, я у сеябя нашел типа shell99.php. Эта зараза была залита по фтп. Я тоже менял пароль но не помогло, так я вычислил что чтото есть лишнее.
Если не секрет кто хостер? | |
| |
|
|
| |
|
|
| |
для: Fighter
(04.04.2007 в 12:44)
| | | Логи анализировали - взлом идёт по FTP или по HTTP? | |
| |
|
|
| |
|
|
| |
для: cheops
(04.04.2007 в 12:53)
| | | Машины все чистили, вирусов нет, лишних файлов на сервере нет, тоже проверяли. Хостер ГолдХост ... Попробую попросить логи.. | |
| |
|
|
| |
|
|
| |
для: Fighter
(04.04.2007 в 14:19)
| | | сайт в студию :) | |
| |
|
|
| |
|
|
| |
для: zavragnov
(04.04.2007 в 16:58)
| | | сайт в архиве... Да взлом представляет собой рекламные ссылки , они записываются в index'овские файлы, иногда вместо всего файла, а иногда вконец файла дописываются
Да, кстати, есть еще 2 сайта, но они без скриптов, весят на том же хостере, там только HTML никаких скриптов ни Явы ни РНР ни CGI ничего кроме HTML как тогда их то ломают...
А рекламные ссылки теже... весят на отделых аккаунтах. Хостер говорит что у них все ок и никаких вирусов нету. | |
| |
|
|
| |
|
|
| |
для: Fighter
(04.04.2007 в 17:12)
| | | ну покопался, немного.
Может я не прав, но я бы проверил переменную на корректность перед запрсом из бызы
<a href=index.php?page=answer&redact=$rows[id]>Редактировать</a>
|
$query=mysql_query("select * from answer where id=$redact") or die("Error : Query is failed.");
|
Но из выше описанного, все симтомы того что залит шелл, либо постоянная утечка пароля,
PS
При просмотре сервера фтп менеджером, кто является владельцем измененного скрипта и файла. | |
| |
|
|
| |
|
|
| |
для: zavragnov
(04.04.2007 в 17:53)
| | | Всем спасибо за ответы, но я уже все это проверял и обдумывал, вот например это пример
>Может я не прав, но я бы проверил переменную на корректность перед запрсом из бызы
>
><a href=index.php?page=answer&redact=$rows[id]>Редактировать</a>
>
|
>
>$query=mysql_query("select * from answer where id=$redact") or die("Error : Query is failed.");
>
|
Переменную на коректность можно и проверить, но КАК получается запись в файл Index.* ????? помоему хоть черты лысого пропеши в эту переменную, через нее же никак в файл ничего не записать, по крайней мере должна быть какая то переменная в которую можно например SMTP заголовок подставить с скрипт с другого сайта соответственно все и перепишет, а в эту переменную мона тока поставить скажем вредную строку которая запорит базу данных, а не перепишет файл. Или должны быть функции в скриптах работающие с файлами в которые подставив строку мона и переписать нужный файл с нужными данными , но таких функций у меня в скриптах нету ! Или я вообще ничего не понимаю ! | |
| |
|
|
| |
|
|
| |
для: Fighter
(04.04.2007 в 18:04)
| | | Установите антивирус другой...Очень большая вероятность, что пароли крадут именно трояны. Хотя бы потому, что трогают только файлы "index*" и, как я понял, регулярно. | |
| |
|
|
| |
|
|
| |
для: Fighter
(04.04.2007 в 14:19)
| | | >Машины все чистили, вирусов нет, лишних файлов на сервере нет, тоже проверяли. Хостер
>ГолдХост ... Попробую попросить логи..
Тем не менее у кого-то из разработчиков сайта сидит троян, который сливает пароли - просите у хостера FTP-логи - если ходят через FTP, откуда-нибудь из штатов - 100% троян сидит где-то. FireWall стоит у всех имеющих доступ к FTP-паролю? Если у кого-то нет - это первый кандидат на переустановку Windows. FireWall должен стоять обязательно у каждого, кто имеет дело с FTP-паролями, за последние два года ситуация вообще шваховая - сейчас сижу в Интернет - машину пытаются каждые три минуты атаковать. | |
| |
|
|
| |
|
|
| |
для: cheops
(05.04.2007 в 01:34)
| | | Всем спасибо, посмотрел логи поставил другой файрвол и антивирус (раньше был касперский и оутпост поставил АВАСТ), и действительно, нашел трояна и видно что пароли перекидывает он, сменил все пароли вчера вечером и сегодня все ок, хотя раньше все сайты бы поломались !!! Спасибо за помощь !!! | |
| |
|
|
