Но чего-то у меня не получилось повторить этот подвиг, перепробовал те же самые запросы к тому же сайту — ноль результата.
Хорошо — подумал я, — оставим это пока. Посмотрим как внимательнее на домен yourerating.com, а именно — глянем whois и морду сайта. Как и следовало ожидать, на морде ничего нету. Хуиз же показал, что домен зарегистрирован на Vladimir Fedorov (feodorovv_vla29@gmail.com) из Москвы. Скорее всего, мыло и имя фейковые. Но на всякий случай пробив по мылу в поисковиках не помешает. Яндекс ничего не дал, а аот в гугле я наткнулся на интересную страничку блога: http://blog.sucuri.net/2011/03/malware-week-0133-0331-0242-0033-javadisplay-and-more.html
На странице черным по белому (или черным по серому) написано — мол такая фигня, сайты инфицированы, так же вшит джаваскрипт, а владелец домена — господин Володька Федоров. Автор статейки упоминает о том, что его сайты были на джумле. Но у меня то не джумла, а самописный скрипт, в котором нет дыр (скорее всего), а значит уязвимость на стороне сервера. Вероятно в phpMyAdmin, но не факт…
Как оказалось, не у меня одного проблемы: http://forum.searchengines.ru/showthread.php?t=649491
Ребята грешат на тотал коммандер, но я то им не пользуюсь… Хотя в filezilla все пароли храню =)
Так что еще один вариант взлома — все таки не уязвимость сервера, а тупо кража паролей от FTP. Пора переходить на sFTP с ключами и привязкой к айпишнику.
А пока я поставил антивирус clamav, вот по этому мануалу: http://centos.moy.su/news/ustanovka_clamav_na_centos/2010-06-02-31
Чтобы узнать архитектуру своей операционки, в командной строке достаточно набрать uname -a
Антивирус проверил все файлы — ничего не нашел.
P.S. Так и не удалось выяснить где была дыра — то ли у меня пароли увели, то ли уязвимость в сервере нашли.
В любом случае, сделал все что мог. Спасибо LEXASOFT — настроил мне на сервере sFTP по ключу и удалил с сайтов «подарочек».
Просмотреть статью...spanspanspan
No comments:
Post a Comment