Перейти к содержанию

Запуск Perl скриптов со стороны сервера?!


Рекомендуемые сообщения

Всем привет!
Сегодня заблочили хостинг, причина: запуск вредоносных Perl скриптов от имени Вашего аккаунта.
Дело в том что, я не запускал ничего подобного, следовательно есть дырка где-то.
Хостер скинул эти "скрипты", я не шарю в Unix системах(не знаю что именно искать там), по этому просто просканировал папку анивирусом:



.xm.help - Win32/Mechbot.NAA троянская программа
.X11-unix.X11-unix.X11-unix.X11-unix.pidb - вероятно модифицированный Win32/Agent.CEAIJAA троянская программа
.X11-unix.X11-unix.X11-unix.X11-unix.pidb2 - вероятно модифицированный Win32/Agent.FCKOHVJ троянская программа
.X11-unix.X11-unix.X11-unix.X11-unix.pidf4 - вероятно модифицированный Win32/Agent.GGAUJPA троянская программа
.X11-unix.X11-unix.X11-unix.X11-unix.pidh - Linux/HackTool.ProcHider.A приложение
.X11-unix.X11-unix.X11-unix.X11-unix.pidj2 - вероятно модифицированный Win32/Agent.HMAHICM троянская программа
.X11-unix.X11-unix.X11-unix.X11-unix.pids - вероятно модифицированный Win32/Agent.KWXMBPJ троянская программа
.X11-unix.X11-unix.X11-unix.X11-unix.pidstd - вероятно модифицированный Win32/Agent.LTPSNMI троянская программа
.X11-unix.X11-unix.X11-unix.X11-unix.pidstd2 - Perl/Shellbot.B троянская программа
.X11-unix.X11-unix.X11-unix.X11-unix.pidtty - вероятно модифицированный Win32/Agent.GRRXQOP троянская программа
x.xm.help - Win32/Mechbot.NAA троянская программа 

Далее решил посмотреть старые бэкапы.
Обнаружил в папке cgi-bin
Обнаружил следующие файлы:



cgiecho
cgiemail
entropybanner.cgi
randhtml.cgi

Как вообще могли залить скрипты?
Не надо только говорить, нуб нехрена не знает, проверь пароли и т.д. - Это всё проверено взлома вообще не может быть.
Какие должны быть права (chmod) у IPB?
 
Позже мне скинут полный бэкап, проверю антивирусом, скриптом Ai-bolit и скину отчет сюда.
 
P.S. папку со скриптами могу отправить гл. админу.

Ссылка на комментарий
Поделиться на другие сайты

Просканируй свой форум на сайте sitecheck.sucuri.net/scanner

Ссылка на комментарий
Поделиться на другие сайты

Respected, я не смогу просканировать т.к. сайт отключён.

Только локально могу что то сделать.

Ссылка на комментарий
Поделиться на другие сайты

Тогда антивирусом, больше никак.

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...