Перейти к публикации
Дедовский городской форум
InSpEkToRzzz

Trojan-clicker.js.agent.h

Рекомендованные сообщения

собственно на одном из хостингов у всей площадке, которая содержит пять сайтов, были изменены файлы index.php, login.php и еще некоторые в одно и тоже время сегодня ночью в 03:53.

 

В код страниц был вставлен скрипт:

post-523-1194544539.jpg

---

каспер выдает при открытии страницы на редактирование сообщение о Trojan-Clicker.JS.Agent.h и благополучно удаляет.

есть ли у кого сведенья о том откуда эта "гадость" и каким образом были изменены все index'сы на всей площадке?!

ну и может, у кого тоже самое произошло! названия хоста в целях антирекламы называть не буду.

Изменено пользователем InSpEkToRzzz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так нашли ответ: как произошло заражение файлов?

 

Я от многих слышал что у них в скриптах появлялись вирусы, но ни кто не мог толком объяснить каким образом их туда вставили.

Повторялась ли ситуация после удаления этих кликеров???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
есть ли у кого сведенья о том откуда эта "гадость" и каким образом были изменены все index'сы на всей площадке?!

Гадость от меня(Банить меня не нужно,ибо Я несу защиту в массы)

А по поводу индексов; Мож тебе ещё исходники "Каспера" дать?

Красовки не пробывал ломать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

.....тут чисто практический интерес..... Вопрос даже не в том: ?как кто то смог сделать инклюдинг в скрипт, который, защищён от записи?!! А вопрос в том: Где та "лазейка", которая позволила это сделать? Скорее даже не "лазейка", а упущение вебмастера. Важно же подстраховаться от повторения ситуёвины

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Так нашли ответ: как произошло заражение файлов?
По логам с хоста, стало известно, что: в это время зашли с определенного IP на фтп и запустили прогу.

 

Повторялась ли ситуация после удаления этих кликеров???
после удаления, смены пароля - НЕТ

 

Кроссовки не пробовал ломать?
нет

 

В качестве аватара загружается файл типа shell.php, а дальше уже все зависит от того, какие права на какие директории стоят.
возможно, но не в моем случае. Изменено пользователем InSpEkToRzzz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Чудес не бывает. Если код изменен, значит, к нему был доступ, то есть в сайте дыра.

Что чудес не бывает это факт. В моем случае все было очень банально, был сперт пароль для доступа к фтп (с компьютера одного из сотрудников, который имел доступ к площадке; на её компе чего только не было, проверялось нодом и Spybot'ом).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

×
×
  • Создать...