Как вредоносный код попал на сайт

Уважаемые коллеги,
помогите, пожалуйста, разобраться вот в такой ситуации:
Есть шаред-хостинг, на нём крутится очень простой сайт на php. Пользователи, только зареганные, кстати, могут добавлять некоторую инфу о себе, инфа эта хранится в базе, и, конечно же, выводится на нужных страницах.
База совершенно чистая (то есть нет никаких посторонних данных). Но владелец сайта обеспокоился тем, что при заходе НОД32 орал о трояне. В коде страниц (всех) появился какой-то iframe. Причём попадал на страницы он из файлов с JS. В конец каждого js файла дописалась какая-та пакостная функция, которая собственно и выводила iframe.
Вычистил всё из js файликов, сменили все пароли — от админки, от ftp — хотя последним никто и не пользуется… Через пару недель — та же напасть.

Два вопроса:
1. Как можно по-простому узнать, кто безобразничает.
2. Как?! Как в js файлы попала зараза?

Заранее спасибо!
  • Вопрос задан
  • 4340 просмотров
Пригласить эксперта
Ответы на вопрос 10
@Chii
Пароли сменили, но себе-то о них сообщить не забыли…

Всего три варианта:
1) Дырка в php скриптах (или в правах доступа), позволяющая писать на сервер что-либо. (маловероятно)
2) Дырка в хостинге, позволяющая писать что-либо соседям (средне вероятно)
3) Дярка у кого-то с админским доступом к сайту (наверняка)

А выяснять в чём конеретно дырка — задача администратора ресурса.
Ответ написан
@mmjurov
Сталкивался с подобным случаем. Нашел эксплоит в /var/tmp, обычный скрипт, который через уязвимость в ОС получал рутовый доступ и изменял все js файлы, которые нашел в docroot. Если после смены паролей вирус снова появился, значит либо у вас на хостинге сидит эксплоит, либо на компе, через который работаете с файловой структурой хостинга.
Ответ написан
TrueDrago
@TrueDrago
У нас вчера на тестовом домене произошла та же самая фигня.
Судя по логам, по фтп просто всем js файлам в конец дописали вирусняк. Т.к. был скомпроментирован только пароль юзера, имеющего доступ к 1 домену, только там это и произошло… Пароль был только у того юзера, так что всё довольно таки очевидно)
Ответ написан
@Niemand
Очень похоже на вирус, который ходит по фтп и вешает в конце определенных файлов свои хвосты. Просто сменить пароли недостаточно, сначала его нужно отловить. Вирь этот только на моей памяти обходил Аваст, Комодо, Нортон и Нод32. Попробуйте установить пробник каспера — моему приятелю недавно помогло. Когда выловите, тогда меняйте пароли и чистите сам сайт. А вообще не рекомендуется хранить пароли сохраненными в ФТП-программах. Особенно подвержены Total Commander и Filezilla.
Ответ написан
Комментировать
@odmin4eg
Самые по популярности

1 утекли пароли с фтп Тотал Фар и т.п.
2 залили на соседний сайт шелл или вредоносный вирус, а вэбсервер не настроен на изоляцию проектов
3 на второй залили путём подбора пароля в админку какойнить популярной ЦМС.
4 на вашем сайте что-то не проверяется и можно заинклудить внешний код или загрузили вам вредоносный скрипт
Ответ написан
Комментировать
opium
@opium
Просто люблю качественно работать
99 процентов случаев украден пароль к ftp трояном на компе разработчика, админа или просто человека который имеет доступ к сайту, смотрите в первую очередь логи фтп.
ещё один процент это дырки в старых движках
очень редко бывает целенаправленный взлом
недавно встретился на шаред хостинге godaddy с поломанным сервером, блочу все доступы на сайте все равно прописывают вирус, хостер наглухо отказывается давать ftp логи, по логам апача взлома через админку нет, движок вордпресса последний, все пароли поменяны, все файлы перезалиты с чистой копии. Вывод сломан хостер.
Ответ написан
Комментировать
ayurganov
@ayurganov
что говорят логи? access.log?
Ответ написан
@1x1
Недавно по просьбе коллег разбирал подобную ситуацию. Во время первого взлома (утёкший пароль от фтп) кроме правки скриптов в недра цмс-ки добавили вебшелл, через который потом и ломали повторно. Примечательно, что вебшелл добавили за день до правки скриптов и с другого IP.
Ответ написан
Комментировать
А вы не задумываетесь о том, что в первый и второй раз вирус мог попасть разными путями? Первое попадание — скорее всего стыренный из FTP клиента пароль.
По нему произошло соединение. И после этого не ресурс был засунут php-шелл для дальнейшей работы. Из уже данного шелла скорее всего и были «исправлены» ваши js-файлы.
Вы сменили пароли, вычистили js-ы, а изменения в PHP вы посмотрели?
Вам теперь нужно не только вылечить компы (скорее всего там сидит вирус), но и копать ваш собственный сайт на предмет внедрённых туда «доработок»…
Ответ написан
@egorinsk
1) Украли сохраненный в тотал коммандере или подобной софтине пароль от ФТП
2) В сриптах есть уязвимость и через нее вставляется вирус
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы