Ломанули

Мой FTP ломанули и подсадили туда какого-то вируса.

Блог WP выдавал ошибки типа:

Fatal error: Cannot redeclare gfby0() (previously declared in /home/uxxxxx/crazy-russianru/www/wp-settings.php(1) : eval()’d code:1) in /home/uxxxxx/crazy-russianru/www/wp-includes/functions.php(1) : eval()’d code on line 1

А сам вредоносный код размещался в фалах index.php, config.php, function.php… Код выглядел примерно так:

<?php eval(base64_decode(‘aWY.тут куча шифров.KTs=’)); ?>

В папках images создавались папки с рандомным названием из 3-х символов.

IP, который заходил на фтп: 212.227.127.135
кто знает как пробить его, можно в комменты.

Сейчас занимаюсь чисткой остальных сайтов.

Поделиться ссылкой:
Добавить в facebook
Добавить в ЖЖ
Понравилось? Подписывайся на новые выпуски статей о заработке в сети интернет!
Подписаться по e-mail:
  или через RSS RSS   или twitter Twitter

15 комментариев

  • вот людям делать нечего лутше полезное что-нибуть сделали бы для себя или людей.

    Thumb up Thumb down 0

    [Ответить]

  • OrgName: RIPE Network Coordination Centre
    OrgID: RIPE
    Address: P.O. Box 10096
    City: Amsterdam
    StateProv:
    PostalCode: 1001EB
    Country: NL

    ReferralServer: whois://whois.ripe.net:43

    NetRange: 212.0.0.0 — 212.255.255.255
    CIDR: 212.0.0.0/8
    NetName: RIPE-NCC-212
    NetHandle: NET-212-0-0-0-1
    Parent:
    NetType: Allocated to RIPE NCC
    NameServer: NS-PRI.RIPE.NET
    NameServer: NS3.NIC.FR
    NameServer: SUNIC.SUNET.SE
    NameServer: SNS-PB.ISC.ORG
    NameServer: SEC1.APNIC.NET
    NameServer: SEC3.APNIC.NET
    NameServer: TINNIE.ARIN.NET
    Comment: These addresses have been further assigned to users in
    Comment: the RIPE NCC region. Contact information can be found in
    Comment: the RIPE database at http://www.ripe.net/whois
    RegDate: 1997-11-14
    Updated: 2009-03-25

    ***
    Толку-то от этой инфы?)

    Thumb up Thumb down 0

    [Ответить]

  • у меня тоже такая же хрень была когда то ,только видать тогда хост ломанули…

    Thumb up Thumb down 0

    [Ответить]

  • Признайтесь честно — хранили в тотал командере пароль к фтп?

    Thumb up Thumb down 0

    [Ответить]

  • Я тоталом не пользуюсь. FlashFXP, ну пароль там естесственно сохранен был.. По долгу работы приходится по 15 раз в день на фтп лазить и каждый раз вводить не айс ( Че делать?

    Thumb up Thumb down 0

    [Ответить]

  • для начала не сохранять пас. лучше запомнить его. ну и поставить фаервол.

    Thumb up Thumb down 0

    [Ответить]

  • Я закрываю файлы, которые не изменяются. Ставлю на них права 444. Вроде не было после этого iframe в файлах. Недавно обнаружил. В папке с шаблоном два подозрительных файла php. Теперь думаю, не закрыть ли ещё и папки ? Сейчас 755 стоит. Ставить 555 ?

    Thumb up Thumb down 0

    [Ответить]

  • можно поставить только на папки чмоды поскольку если запрещенно изменение папки то и файлы тоже нельзя изменить которые в ней

    Thumb up Thumb down 0

    [Ответить]

  • Да фаервол и антивир с последними базами всегда. У меня на винте валялся старый тотал командер в котором я сохранил пасс как раз от того хостинга, который ломанули. Походу оттуда и взяли..

    Thumb up Thumb down 0

    [Ответить]

  • Из антивирусов сейчас один из лучших Каспер, а из фаерволов Аутпост.
    пасы лучше не хранить. записуйте в блокнот и тягайте с собой. я так делаю.

    Thumb up Thumb down 0

    [Ответить]

  • пофигу антивирусы и т.п. Захотят сбрутить украдут.
    у меня фаер и антивирь обновляются напостой, + в винде работаю не под админом — таки асю смогли упереть. А значит если зохтят смогу скейлогить пас или сбрутить.

    Thumb up Thumb down 0

    [Ответить]

  • у меня каспер 2010 и аутпост с постоянными обновлениями.. так что выход один — пасс в секретное место! :)

    Thumb up Thumb down 0

    [Ответить]

  • не все брутом взломаешь. если пас из 16 символов включая цифры, спецсимволы и литералы в разном регистре то взлом брутом почти невозможен.
    а вирусы обходят антивирь и фаервол то тут скорее вы виноваты -разрешать все подряд нельзя.

    Thumb up Thumb down 0

    [Ответить]

  • Если не ломает руками вбивать пароли, то храните их в картинках — gif или jpg файл.

    Thumb up Thumb down 0

    [Ответить]

  • 2 Андрей: угу, чтобы наверняка стянули пасы.

    Thumb up Thumb down 0

    [Ответить]

Есть что сказать?