Posted 21 января, 201311 yr comment_19355 Всем привет! Сегодня заблочили хостинг, причина: запуск вредоносных Perl скриптов от имени Вашего аккаунта. Дело в том что, я не запускал ничего подобного, следовательно есть дырка где-то. Хостер скинул эти "скрипты", я не шарю в Unix системах(не знаю что именно искать там), по этому просто просканировал папку анивирусом: .xm.help - Win32/Mechbot.NAA троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pidb - вероятно модифицированный Win32/Agent.CEAIJAA троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pidb2 - вероятно модифицированный Win32/Agent.FCKOHVJ троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pidf4 - вероятно модифицированный Win32/Agent.GGAUJPA троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pidh - Linux/HackTool.ProcHider.A приложение .X11-unix.X11-unix.X11-unix.X11-unix.pidj2 - вероятно модифицированный Win32/Agent.HMAHICM троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pids - вероятно модифицированный Win32/Agent.KWXMBPJ троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pidstd - вероятно модифицированный Win32/Agent.LTPSNMI троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pidstd2 - Perl/Shellbot.B троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pidtty - вероятно модифицированный Win32/Agent.GRRXQOP троянская программа x.xm.help - Win32/Mechbot.NAA троянская программа Далее решил посмотреть старые бэкапы. Обнаружил в папке cgi-bin Обнаружил следующие файлы: cgiecho cgiemail entropybanner.cgi randhtml.cgi Как вообще могли залить скрипты? Не надо только говорить, нуб нехрена не знает, проверь пароли и т.д. - Это всё проверено взлома вообще не может быть. Какие должны быть права (chmod) у IPB? Позже мне скинут полный бэкап, проверю антивирусом, скриптом Ai-bolit и скину отчет сюда. P.S. папку со скриптами могу отправить гл. админу.
21 января, 201311 yr Author comment_19361 Respected, я не смогу просканировать т.к. сайт отключён. Только локально могу что то сделать.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.