D1gaTel Опубликовано 21 января, 2013 Поделиться Опубликовано 21 января, 2013 Всем привет! Сегодня заблочили хостинг, причина: запуск вредоносных Perl скриптов от имени Вашего аккаунта. Дело в том что, я не запускал ничего подобного, следовательно есть дырка где-то. Хостер скинул эти "скрипты", я не шарю в Unix системах(не знаю что именно искать там), по этому просто просканировал папку анивирусом: .xm.help - Win32/Mechbot.NAA троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pidb - вероятно модифицированный Win32/Agent.CEAIJAA троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pidb2 - вероятно модифицированный Win32/Agent.FCKOHVJ троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pidf4 - вероятно модифицированный Win32/Agent.GGAUJPA троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pidh - Linux/HackTool.ProcHider.A приложение .X11-unix.X11-unix.X11-unix.X11-unix.pidj2 - вероятно модифицированный Win32/Agent.HMAHICM троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pids - вероятно модифицированный Win32/Agent.KWXMBPJ троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pidstd - вероятно модифицированный Win32/Agent.LTPSNMI троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pidstd2 - Perl/Shellbot.B троянская программа .X11-unix.X11-unix.X11-unix.X11-unix.pidtty - вероятно модифицированный Win32/Agent.GRRXQOP троянская программа x.xm.help - Win32/Mechbot.NAA троянская программа Далее решил посмотреть старые бэкапы. Обнаружил в папке cgi-bin Обнаружил следующие файлы: cgiecho cgiemail entropybanner.cgi randhtml.cgi Как вообще могли залить скрипты? Не надо только говорить, нуб нехрена не знает, проверь пароли и т.д. - Это всё проверено взлома вообще не может быть. Какие должны быть права (chmod) у IPB? Позже мне скинут полный бэкап, проверю антивирусом, скриптом Ai-bolit и скину отчет сюда. P.S. папку со скриптами могу отправить гл. админу. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Respected Опубликовано 21 января, 2013 Поделиться Опубликовано 21 января, 2013 Просканируй свой форум на сайте sitecheck.sucuri.net/scanner Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
D1gaTel Опубликовано 21 января, 2013 Автор Поделиться Опубликовано 21 января, 2013 Respected, я не смогу просканировать т.к. сайт отключён. Только локально могу что то сделать. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Respected Опубликовано 21 января, 2013 Поделиться Опубликовано 21 января, 2013 Тогда антивирусом, больше никак. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.