למישהו יש פיתרון למכה הזו

[lib24]

לפי מה שהבנתי המון שרתים בתקופה האחרונה נידבקו בזה

הסקריפט שמתווסף לאתרים הוא שותל את עצמו בכל מקום החרא הקטן הואמגיע אפילו לדפי שגיאה כמו ה 501 סתם לדוגמא הוא מגיע לתקייה private_html שבכלל לא קשורה הוא שותל את עצמו בכל חור...

מה יכל להיות הבעיה ויש פיתרון איך להסיר את זה גוגל חסם לי את כל האתרים ...

אני לא רוצה לפרמט יש פיתרון אחר לעניין?

[Dvirs.Net]

לי אישית זה קרה דרך FLASHFXP.

ברגע שעברתי ל-FileZilla הכל נפתר (אחרי שמתקנים את הקבצים שנפגמו בשרת כמובן).

[elialum]

זה לא קשור לשרת.

במחשב לקוח יש וירוס ששולף ססמאות FTP של חשבונות שמוגדרים במחשב (תוכנות FTP למניהם).
באמצעות הפרטים האלו הם מריצים סקריפט שנכנס באופן אוטומטי ומוסיף לכל סוף קובץ את הקוד הזדוני.

פעולת מנע ראשונה היא להחליף ססמאות FTP ולבדוק *טוב* את המחשב שלך מוירוסים.

לגבי אתרים שנפגעו, צריך פשוט לעבור על החשבונות ולהתחיל לנקות. אני מאמין שאפשר לעשות משהו אוטומטי עם PREG, אבל לא ניסיתי.

הנה נסיון כזה לפרוץ לאחד החשבונות אצלנו מהיום -

קוד:

Time:     Tue Jun 22 06:35:41 2010 +0300
IP:       distributed ftpd attack on account [xxxxxx]
Failures: 10
Interval: 300 seconds
Blocked:  Yes

Log entries:

Jun 22 06:35:22 israel01 pure-ftpd: (?@174.36.217.226) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:35:35 israel01 pure-ftpd: (?@94.73.131.138) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:34:49 israel01 pure-ftpd: (?@74.55.142.202) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:34:22 israel01 pure-ftpd: (?@70.32.46.180) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:35:15 israel01 pure-ftpd: (?@68.168.212.6) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:35:09 israel01 pure-ftpd: (?@88.208.238.100) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:34:56 israel01 pure-ftpd: (?@74.208.43.175) [WARNING] Authentication failed for user [xxxxxx] 
Jun 22 06:35:00 israel01 pure-ftpd: (?@68.233.4.27) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:34:34 israel01 pure-ftpd: (?@87.106.14.44) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:34:28 israel01 pure-ftpd: (?@68.168.212.6) [WARNING] Authentication failed for user [xxxxxx]

IP Addresses Blocked:

174.36.217.226 (US/United States/174.36.217.226-static.reverse.softlayer.com)
94.73.131.138 (TR/Turkey/94-73-131-138.cizgi.net.tr)
74.55.142.202 (US/United States/progrese.net) 70.32.46.180 (US/United States/70.32.46.180.rdns.ubiquityservers.com)
68.168.212.6 (US/United States/68-168-212-6.ip.static.interserver.net)
88.208.238.100 (GB/United Kingdom/server88-208-238-100.live-servers.net)
74.208.43.175 (US/United States/s15374238.onlinehome-server.com)
68.233.4.27 (US/United States/bladensburg.networkredux.net)
87.106.14.44 (DE/Germany/s15222115.onlinehome-server.info)

[lib24]

יש איזה דרך מהירה לחפש את הסקריפט דרך ROOT למשל
נניח שזה מתחיל במילה script וכו וכו אי אפשר להריץ לרוט קוד ולהגיד לו חפש את הקוד הזה?

[InterServ]

אם הבנתי אותך נכון זה קרה לי גם התווסף לי סקריפט לדף שפותחים לחשבון חדש בשרת,
פשוט נכנסתי דרך ה FTP וערכתי את הדף שמקבלים עם פתיחת אחסון וזה לא הופיע יותר...


בברכה,
ירדן בן לולו
אינטרסרב - פתרונות אינטרנט ותקשורת

[lib24]

אכן מדובר בוירוס שנכנס דרך המחשב העניין הוא אם יש אפשרות לחפש את קוד בתוך כל הקבצים בשרת דרך SSH שיהיה פשוט יותר מהר לערוך ולדעת איפה זה נמצא

למרות שכבר הסרתי הכל ובנתיים זה נראה טוב זה לא חוזר אבל שוב האם ישנה דרך טובה לחפש את זה דרך SSH זה פשוט חוסך בזמן