זה לא קשור לשרת.
במחשב לקוח יש וירוס ששולף ססמאות FTP של חשבונות שמוגדרים במחשב (תוכנות FTP למניהם).
באמצעות הפרטים האלו הם מריצים סקריפט שנכנס באופן אוטומטי ומוסיף לכל סוף קובץ את הקוד הזדוני.
פעולת מנע ראשונה היא להחליף ססמאות FTP ולבדוק *טוב* את המחשב שלך מוירוסים.
לגבי אתרים שנפגעו, צריך פשוט לעבור על החשבונות ולהתחיל לנקות. אני מאמין שאפשר לעשות משהו אוטומטי עם PREG, אבל לא ניסיתי.
הנה נסיון כזה לפרוץ לאחד החשבונות אצלנו מהיום -
קוד:
Time: Tue Jun 22 06:35:41 2010 +0300
IP: distributed ftpd attack on account [xxxxxx]
Failures: 10
Interval: 300 seconds
Blocked: Yes
Log entries:
Jun 22 06:35:22 israel01 pure-ftpd: (?@174.36.217.226) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:35:35 israel01 pure-ftpd: (?@94.73.131.138) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:34:49 israel01 pure-ftpd: (?@74.55.142.202) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:34:22 israel01 pure-ftpd: (?@70.32.46.180) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:35:15 israel01 pure-ftpd: (?@68.168.212.6) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:35:09 israel01 pure-ftpd: (?@88.208.238.100) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:34:56 israel01 pure-ftpd: (?@74.208.43.175) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:35:00 israel01 pure-ftpd: (?@68.233.4.27) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:34:34 israel01 pure-ftpd: (?@87.106.14.44) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:34:28 israel01 pure-ftpd: (?@68.168.212.6) [WARNING] Authentication failed for user [xxxxxx]
IP Addresses Blocked:
174.36.217.226 (US/United States/174.36.217.226-static.reverse.softlayer.com)
94.73.131.138 (TR/Turkey/94-73-131-138.cizgi.net.tr)
74.55.142.202 (US/United States/progrese.net) 70.32.46.180 (US/United States/70.32.46.180.rdns.ubiquityservers.com)
68.168.212.6 (US/United States/68-168-212-6.ip.static.interserver.net)
88.208.238.100 (GB/United Kingdom/server88-208-238-100.live-servers.net)
74.208.43.175 (US/United States/s15374238.onlinehome-server.com)
68.233.4.27 (US/United States/bladensburg.networkredux.net)
87.106.14.44 (DE/Germany/s15222115.onlinehome-server.info)