Честно говоря у меня сайт сломали первый раз и я хочу, что бы мне подсказали как это произошло и что нужно делать сделать для устранения причины. Зашел на свой сайт и с удивлением и возмущением обнаружил вот это (это не мой сайт просто нашел в гугле для примера). На скорую руку обнаружил, что заменили index.php в корневой директории.
Сервер centos 5.3 + apache-2.2.3-22 Сайт на движке joomla 1.5.14
Права были такие(может зря но на форуме joomla на index.php для пользователя apache видел такие же):
Так может не сервер был взломан, а твой компьютер? так большинство взломов происходит. А файлы на сервере уже под легитимным пользователем перезаписываются.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
Нет мой компьютер не имеет прямого доступа к серверу, тоесть физичеки не реально записать файлы. Но то что это вирус атаковал почти уверен, так как сайт не раскручен и врядли его могли заказать.
Нарыл еще немного инфы. Есть предпольжение, что уязвимость в компоненте agora forum. Время создания подмененного файла 02:49, вот что происходило на сервере:
Та же самая фигня.С сайтом слава богу ниче не случилось.Проверка компа каспером на вирусы выявила в архиве с бэкапом сайта вот такух хню - Обнаружено: Backdoor.PHP.C99Shell.bv - в папке components/com_agora/img/members/0/ Предполагаю что файл был загружен давненько поскольку как только узнал об этой уязвимости в компоненте агора запретил загружать php файлы.Там в админке в доступных для загрузки пользователем расширениях файлов эта возможность почему то была по умолчанию .