вчера гугл заблокировал сайт, назвав его опасным. Действительно, был установлен шелл, конкретно:
/core/classes/gd.class.php, ну и прописывался в index.php
Странное дело, на всех сайтах icms ранее появились пользователи baknina и kotlara, и мне кажеться это связано. Погуглил, эти пользователи встречаются на многих сайтах icms, проверьте свои сайты.
Буду рад, если кто-то отпишется по своим сайтам и подробнее расскажет(если выяснит) откуда растут ноги.
Большое спасибо AtlantisWeb за ликвидацию заразы
пс. пароль на шелл — root, хороший менеджер файлов.
и др странности
#2
15 июня 2012 в 16:39
версия движка какая?
#3
15 июня 2012 в 16:43
1.9
#4
15 июня 2012 в 16:46
пользователей нашел, указанного файла нет… не знаю радоваться или искать дальше
#5
15 июня 2012 в 16:48
Есть такой. Надо бы проверить на предмет.Странное дело, на всех сайтах icms ранее появились пользователи baknina
#6
15 июня 2012 в 16:50
Пользователей удалять?
#7
15 июня 2012 в 17:04
Sotastroy, у меня этот файл который Вы указали называется почему то db.class.php А файла gd.class.php вообще нет… Может что то неверно?
#8
15 июня 2012 в 17:08
у вас нормальный файл, такой у всех есть.
А вот насчет пользователей хочу чтобы еще кто-то прояснил, может и совпадения.
А вот насчет пользователей хочу чтобы еще кто-то прояснил, может и совпадения.
я удалил=)Пользователей удалять?
#9
15 июня 2012 в 17:09
db.class.php у всех он есть
#10
15 июня 2012 в 20:38
#11
16 июня 2012 в 01:41
У меня тоже baknina был, файла gd.class.php нет. Пользователя удалил.