Здравствуйте! очень нуждаюсь в вашей помощи...я ламер в этом деле в отличии от вас...у меня сайт EBPO.com.ua работат на движке Geeklog...сегодня пришло сообщение от хостинг провайдера: Код (Text): Здравствуйте. Ваш сайт был заблокирован в связи с тем, что через уязвимость в Ваших скриптах на сервер было залито потенциально опасное ПО, а именно перловый веб-сервер, который мог использоваться как прокси. Аккаунт будет разблокирован только после того как Вы разберетесь с даной проблемой и устраните подобную возможность в будущем. [root@ekonom2 tmp]# ll | grep ebpocom total 2328 drwxr-xr-x 3 ebpocom ebpocom 4096 Jan 21 18:06 .c drwxr-xr-x 3 ebpocom ebpocom 4096 Jan 21 18:06 .co [root@ekonom2 tmp]# top uebpocom top - 07:51:14 up 5 days, 17:42, 1 user, load average: 0.49, 0.67, 0.59 Tasks: 155 total, 1 running, 152 sleeping, 0 stopped, 2 zombie Cpu(s): 8.5% us, 3.7% sy, 0.0% ni, 86.4% id, 1.3% wa, 0.0% hi, 0.2% si Mem: 4038580k total, 3794076k used, 244504k free, 186212k buffers Swap: 2048276k total, 1308k used, 2046968k free, 2675976k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 18170 ebpocom 15 0 2052 1148 740 S 0 0.0 0:14.49 /usr/sbin/httpd [root@ekonom2 tmp]# cd /proc/18170/ [root@ekonom2 18170]# ll total 0 dr-xr-xr-x 2 ebpocom ebpocom 0 Feb 7 07:51 attr -r-------- 1 ebpocom ebpocom 0 Feb 7 07:51 auxv -r--r--r-- 1 ebpocom ebpocom 0 Feb 7 05:25 cmdline lrwxrwxrwx 1 ebpocom ebpocom 0 Feb 7 07:51 cwd -> /home/ebpocom/public_html/plugins/spamx/templates/ -r-------- 1 ebpocom ebpocom 0 Feb 7 07:51 environ lrwxrwxrwx 1 ebpocom ebpocom 0 Feb 7 06:15 exe -> /home/ebpocom/public_html/plugins/spamx/templates/ /hpd dr-x------ 2 ebpocom ebpocom 0 Feb 7 07:51 fd -rw-r--r-- 1 ebpocom ebpocom 0 Feb 7 07:51 loginuid -r--r--r-- 1 ebpocom ebpocom 0 Feb 7 07:51 maps -rw------- 1 ebpocom ebpocom 0 Feb 7 07:51 mem -r--r--r-- 1 ebpocom ebpocom 0 Feb 7 07:51 mounts -r-------- 1 ebpocom ebpocom 0 Feb 7 07:51 mountstats lrwxrwxrwx 1 ebpocom ebpocom 0 Feb 7 07:51 root -> / -r--r--r-- 1 ebpocom ebpocom 0 Feb 7 05:18 stat -r--r--r-- 1 ebpocom ebpocom 0 Feb 7 06:15 statm -r--r--r-- 1 ebpocom ebpocom 0 Feb 7 05:18 status dr-xr-xr-x 3 ebpocom ebpocom 0 Feb 7 07:51 task -r--r--r-- 1 ebpocom ebpocom 0 Feb 7 07:51 wchan помогите пожалуйста что мне делать? или хотя бы где эти скрипты находятся? или посоветуйте чтото...спасибо большое
zmxn Правило №1: Никогда не ставить сторонних скриптов, не протестировав их всеми возможными способами (может в нем backdoor сидит) Правило №2: Фильтровать все входящие данные от пользователя (не доверять ничему!). У меня, к примеру, фильтруются POST/GET/Session/Cookie. Немного загружает, но это себя оправдывает. =) И действительно, поищите .pl скрипты. А еще неплохо бы найти и iframe (любят они его пихать везде где только можно. Траффик гоняют )
zmxn http://www.yandex.ru/yandsearch?text=Geeklog Почитайте статьи. Если сами не справитесь, залейте куда-нибудь файлы, которые указаны в статьях, и дайте сюда ссылку на эти файлы с указанием (вырезкой из статьи), как взламывалось. Мы попробуем поправить.
DarkElf =) Это уже для извращения. А вообще, из-за античата (тусуюсь там иногда), становлюсь мнительным... После того, как они начали сетовать на то, что дыр в коде становится все меньше, решили они ломать сам РНР. Продвижения какие-то были. В частности с функцией unset и еще чего-то там =) Не помню точно.