Меня ломают. Как сделать защиту

На нескольких моих сайтах постоянно в конец файла index.php постоянно дописывают в конец какой-то код - то ссылки, то яваскрипт, то iframe

Что это за тип уязвимости и как защитится от такого взлома

 

это у вас на ПК вирус скорее всего, и вирь достает ваши пассы из ваших фтп менеджеров и пишет всё что не попадя

1. вычистить машины, с которых вы пользуетесь ФТП от вирусов
2. поменять пароли на фтп
3. никак руководство к действию, а как совет: не сохраняйте пароль в фтп менеджере, что там у вас, тотал командер или что-то подобное.

 

Я такого никогда не делал. Все пароли хранятся в текст. файлах. В тотал командере хранится только логин и имя хоста. Пароль постоянно спрашивает и я его копирую в окошко.

 

Создайте тему о проверке сайта на уязвимости в данном разделе. Помогут.

 

Nicca
ещё раз повторюсь, поменяйте пароли и проверьтесь на спид в первую очередь.
ну а потом можно выложить и сайтец, посмотреть что там у вас, может действительно забираются через дырки.

а что дописывают тебе в концы? jQuery какой-нить закодированный?

 

или шелл залили,или хостинг сам его прописует.

 

нет был в скрытом слое 8 ссылок на чужие сайты.
Просто я вот думаю что если бы ломанули фтп то там у меня где-то 10 сайтов и такая байда была на каждом из них или что-то в этом роде

 

а как свой сайт можно просканировать на предмет шела? Или только руками?

 

Вы писали: На нескольких моих сайтах постоянно в конец файла index.php постоянно дописывают в конец какой-то код

ключевая фраза: на нескольких
не игнорируйте мои советы. + давайте сайт в проверку уязвимостей. Будем крутить

 

Ну на одном сайте - это типичный ГС. Да и давненько это было.
А вот для белого проекта.. было полной неожиданностью А я -то думаю почему пузомерки нулевые + яндекс не индексирует..?
Тему создал в разделе что Вы писали, но что-то модераторы ее пока не утвердили..

 

Смотрите дату редактирования файла и ищите в логах доступа записи за это время (+- несколько минут). Если повезет (дата редактирования файла настоящая), то один экземпляр скрипта вычислите. Далее ищете в логах другие записи по IP, с которых работали с этим скриптом, наверняка будет ещё несколько копий скрипта. Удаляете все скрипты и внимательно следите за логами.
Чтобы найти "все" шелы на сервере:

find /home \( -regex '.*\.php$' -o -regex '.*\.cgi$' \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru|phpremoteview|directmail|bash_history|brute *force"

в одну строку.

 

Я файл перезаписал когда исправлял..

А это где писать?

 

п.с. я скачал полный бэкап файлов с сервера. Можно как-нибудь этот поиск приспособить под обычный виндосовкий поиск файлов?

 

А какая будет запись в логах когда происходит запись в файл? У меня есть все логи я могу по ним вычислить..

 

Вот нашел в логах странную запись Она постоянно повторяется:
[Wed May 27 10:42:57 2009] [error] [client 83.151.7.107] SoftException in Application.cpp:249: File "/путь к сайту/public_html/friends.php" is writeable by group
[Wed May 27 10:42:57 2009] [error] [client 83.151.7.107] Premature end of script headers: friends.php

Что это была за ошибка?

 

Т.е. файл friends.php записываемый для группы.Это происходит, если php-скрипт имеет права 664

 

тоесть получается что в него кто-то хотел записать не из группы?

 

кто то залил шелл ,хотел запустить он выдал ему n Application.cpp:249: File "/путь к сайту/public_html/friends.php" is writeable by group
дальше я думаю злоумышленик отредактировал любой родной файл , вписав в него шелл.

 

либо через веб шелл в графе Команды,либо в системной консоли ).