Помощь Посторонний код в файле index.php

[komyak]

стоит только исправить/очистить файл от его кода, проходит секунда - две и этот код возвращается!

1. Любой программёр напишет за 2 минуты скрипт. Смотри логи доступа к файлам(спроси у хостера как) и увидишь как изменяется.

П.С. Объясните пожалуйста как его вредоносный код появляется в файлах и при этом не меняется дата последнего редактирования???

для этого даже не нужны рутовские права. Функциями пыхи за 1 секунду поменяешь на любую дату.

Что делать- 1.собирай на локалке новый сайт(если ставил моды или хаки) или сноси все и загружай заново, а доступы к бд руками пропишешь.
2.Меняй все пасы-фтп, панель, админка.
3.Если шаб из паблика, то ищи в коде или в картинках левый код.
4.Если хостер не подскажет с логами, то посылай его **х.. и ищи нового.
5.На сайт могли попасть через соседей, если так то вариант 4, т.е. Говорим хостеру чтоб шел **х.. Но не думаю что он сознается.
6. Если никакой вариант не поможет- копим денежку на аудит сайта или учим пыху.
Других вариантов быть не может- ИМХО

 

[Wattot]

index.php очистил в туже минуту как нашел. Проверил папки на фтп на наличие посторонних файлов - файлов нет... А вот проверять код всех файлов не по силам ....

в total commandere есть функция искать куски текста по всем файлам в указанной папке

 

[Гульмира]

правой кнопкой клик->Найти->поставить галочку С текстом->Начать поиск

 

[extrimportal]

У меня похожий вирус был. Только он, в каждый файл с присудствием в имени слов "index" "config" дописывал в конце ссылки левые. Ток там чуть другая история была - он пароли на компе как то от фтп спи*дил, и все файлы подряд заразил. Помогла только смена фтп клиента и всех паролей. Если у вас Фтпшники без шифрования ну их фтопку!!!

 

[zasranec_vva]

я решал такую проблему проверкой базы данных) и переустановку двига
смена пассов на все)
в крайнем случае смена хостера

 

[3aaaaa3]

на днях обноружил закачаные шелы в папку сапы на трех сайтах, как они могли туда пролезть, и почему именно через сапу?

 

[SourCream]

В папку сапы обычно есть доступ ))) разрешено на запись ))))
У меня в DLE даже если оно будет мегодырявое и ни одного багфикса нифига не зальешь.... На все папки права 555 на все php и остальные 444 на папку uploads и где нужна запись стоят тупо 777 но есть .htaccess который никуда не двинешь и не удалишь без рут прав ))) А он запретит тебе запускать какой либо скрипт... просто выдаст как текст )) будь то php pl cgi и тп )
з.ы. меня тоже не так давно порутали и встроили 2 кода... 1 был в index.php другой в engine/classes/темпклас.php или какойто там класс в классах... Хостер свой ) Но я багфиксы забыл поставить ) Код сразу заметил и снес буквально через час после замены... Расставил права и все хорошо ))))

 

[yavasilek]

В папку сапы обычно есть доступ ))) разрешено на запись ))))
У меня в DLE даже если оно будет мегодырявое и ни одного багфикса нифига не зальешь.... На все папки права 555 на все php и остальные 444 на папку uploads и где нужна запись стоят тупо 777 но есть .htaccess который никуда не двинешь и не удалишь без рут прав ))) А он запретит тебе запускать какой либо скрипт... просто выдаст как текст )) будь то php pl cgi и тп )
з.ы. меня тоже не так давно порутали и встроили 2 кода... 1 был в index.php другой в engine/classes/темпклас.php или какойто там класс в классах... Хостер свой ) Но я багфиксы забыл поставить ) Код сразу заметил и снес буквально через час после замены... Расставил права и все хорошо ))))

у папки сапы, как правило имя - хрен подбирешь, скорей пароли к фтп, и залили в укромное место))

 

[SourCream]

Возможно и такое ))) Вот если сольезе двиг даже без скина и картинок.. Скажете что примерно найти... Если злобный код есть то найду...