Linkfeed вирус? взлом?

[Духовность™]

Linkfeed вирус? взлом?

Обнаружил в html-коде сайта какой-то бредовый html, в самом верху страницы. Не понял в чем дело.
Открыл index.php, там include error.php, а в errpr.php код:

<? eval(gzinflate(base64_decode('DZfHEsS2EUR/xTd.............+T8='))); ?>

запустил и получил:

Warning: require_once(Z:/home/test/www/xxx/......../31f724c74ebdf380c819e81834a7720218d95506/linkfeed.php) [function.require-once]: failed to open stream: No such file or directory in Z:\home\test\www\index.php(1) : eval()'d code(1) : eval()'d code(1) : eva...... on line 4

Fatal error: require_once() [function.require]: Failed opening required 'Z:/home/test/www/xxx/......../31f724c74ebdf380c819e81834a7720218d95506/linkfeed.php' (include_path='.;/usr/local/php5/PEAR') in Z:\home\test\www\index.php(1) : eval()'d code(1) : eval........ : eval()'d code on line 4

Посмотрел в Z:/home/test/www/xxx/..../31f724c74ebdf380c819e81834a7720218d9550631f724c74ebdf380c819e81834a7720218d95506 а там два файла - код на PHP системы Linkfeed и linkfeed.links.db

Linkfeed, насколько я понимаю, это биржа ссылок. Но я не устанавливал эту биржу. И пароль от FTP я РЕГУЛЯРНО меняю. И не храню его в FTP клиенте. И пароль только у меня есть.

Подскажите, кто встречался с подобным? Что это может быть?

 

[silent9]

может у хостера есть какая-то уязвимость, которой воспользовались

 

[Духовность™]

Я вот думаю, может через upload файлов могли взломать? сайт 2002 года и уже не помню что там делал, говнокод наверняка.

Кстати, а как можно посмотреть список последних изменений файлов?

 

[Активист]

triumvirat
> список последних изменений файлов?
man find

> И пароль от FTP я РЕГУЛЯРНО меняю
...
> сайт 2002 года и уже не помню что там делал

Поздравляю, у вас троянчег)

 

[Духовность™]

Активист
Ну я в том смысле что не помню как обеззараживал. Посмотрел сейчас загрузку изображений - есть проверка на getImageSize. Добавил engine off в uploads. А куда ещё копать?

-~{}~ 21.09.10 12:02:

Вот я обнаружил изображение пользователя датированное сегодняшним днем. Как посмотреть, может ли там внутри быть вредоносный код?

 

[Активист]

triumvirat
> вредоносный код
в изображении может иметь смысл только если
- Он обрабатывается через PHP (отредактирован .htaccess)
- Есть уязвимость File Include

А вообще, на моей памяти, я не встречал ни одного "дешевого сайта", который бы ломали ради бирж целенаправлено (ибо доло и не выгодно), обычно биржевики покупают пачками FTP доступы угнаные через трояны.

 

[Духовность™]

О писец. В директории одной куча скриптов. Один из которых - файловый менеджер.
Вот эта куйня: http://yandex.ru/yandsearch?clid=129669&yasoft=barff&text=!C99madShell+v.+2.1+madnet+edition+ADVANCED!&lr=213

 

[440hz]

я такое доолго вычищал. словил как то. заражается 1 сайт, а потом если рядом есть другие тоже заражаются. ставят файловые менеждеры и лупят.

вычищал примерно пол года. читал логи.

потом написал себе скриптик который раз в час присылает мне на мыло измененные файлы. так и отловил все говно.

hosting# cat /etc/hourly.local
#!/bin/sh

#
# MONITORING WWW FOLDER
#

find /usr/www -ctime -2h
find /usr/www -mtime -2h

#
#
#

 

[silent9]

ктото шелл залил, может и через соседей
кстати в картинку тоже можно шелл запихнуть, все заголовки будут как у обычной картинки а в конце шелл

 

[Dreammaker]

Думаю, стоит написать в линкфид - пусть забанят аккаунт.

 

[fixxxer]

В свете опубликованной недавно 0day local privilege escalation уязвимости в линуксовом ядре, вполне может быть и взлом хостера.

Но вероятность того что у тебя троян тоже нельзя никак исключать.