Проблема на хостинге: iframe inject
 

Хотелось бы попросить многоуважаемую публику помочь мне в решении следующей проблемы. После обновления vbulletin с линейки 3.6 на 3.8 наш форум стал выдавать нас следующую ошибку:

Parse error: syntax error, unexpected T_STRING in /usr/home/forum.psifactor.ru/htdocs/index.php on line 482

После проверки кода мы обнаружли что наши файлы были атакованы каким то трояном вставляющим в index.php код следующего содержания:

Причем вставляет он это не только в index.php, но и в login.php и главный файл админки.

Мы проверили всё что можно и убедились что скорее всего данный троян сидит гдето на хостинге, однако доказать это провайдеру не представляется возможным.

В связи с этим хотелось бы спросить может ли ктото объяснить как нам защитить файлы нашего форума. Заранее спасибо за помощь.

а можно узнать, откуда такая уверенность???
в первую очередь, привет товарищам что пароли фтп хранят где ни попадя. в тотал командере, например. хотя последние его бета-версии (7.5) умеют вроде нормально шифровать. и не он один хранит пароли в таком виде что первый же залетный троян вскрывает их на раз-два.

вопрос не по разделу, vb здесь совершенно не причем, переношу в безопасность.

Да, кстати, chmod ugo-w на все php файлы спасет по идее. но троя всеже искать надо, это не метод..

Не факт!
Тебе правильно подсказали. скорее всего у вас украли пароль от фтп.
1) меняйте срочно все пароли!!!!(фтп, панель управления хостингом )
2) проверяйте компа на вирусы и желательно в безопасном режиме.

Компы мы уже проверяли...также как и все файлы скрипта...пароль тоже меняли...

Вопрос можно ли както изменить сам код файлов чтобы запретить прописывание туда кода трояна?

я написал же. chmod ugo-w -R *.php
но это не выход, ребята.

VB кстати белый, иль левый? если левый версию говори, скину список файлов с белого. может еще туда кто скрипт левый подсунул.

VB нуленный...скачен с vbsupport где до этого не наблюдалось проблемых версий...Версия форум 3.8.3.
За файлы огромнейшее спасибо. Адрес почты:

ну да, там по идее хорошо смотрят за этим делом.

нууу, сам движок я сливать не собираюсь :p
а список файлов файлов я и здесь положить могу, ничего криминального в этом нет. хотя повторяю, на vbsupport народ толковый, думаю давно бы уж просекли если чего не так бы было. значит проблема на вашей стороне ©

Ещё раз спасибо. Я уже просил на vbsupport помощи. Они меня послали к хостеру и удалили тему. Проблема в том что доказать чтото хостеру нереально. Потому я и ищу альтернативные варианты защиты.
Вот по списку пройдусь теперь. Можно ли сделать чтото ещё?

есть лечение болезни симптоматическое, а есть лечение полное. вот то что ты ищешь - это есть симптоматическое. и я его уже дважды написал.

первое что нужно сделать, это как уже сказали - поменять пароли фтп, ssh, панели, и нигде их не сохранять (карандаш и бумагу еще никто не отменял). пароли ставить ацкие. типа oeh6IgE_+B^tosX7771b. для всяческих веб панелей юзать firefox, а не насквозь дырявый ИЕ. Следующее что нужно сделать - это не спешить их раздавать если они еще кому-то нужны. и в это время, когда все изменено, смотреть - появится ли снова этот инжект. если нет - начать выдавать поочереди. в первую очередь себе. всмысле сохранить в электронном виде. после кого появится - брать биту и идти к нему в гости, компутер починять.
а еще не лишним было бы написать что за хостинг (дед, вдс, web)

Когдато мы его получили на sub.ru. За советы огромное спасибо.

так. если тут и дальше будут испытывать мои телепатические способности, я последую примеру вбсуппорт, честное слово. сколько я еще должен инфу вытягивать??

что за хостинг? Меня не интересует кто его предоставляет, меня интересует техническая информация: dedicated/VDS/Web-hosting? Ось (UNIX/Windows)? :vacuum:

HOTMAN,
Ещё раз смотрите свои компы.
Потом заберите форум на локальную тачку, и проверьте на тему левого кода.
Если есть доступ по ssh то clamav проверьте, если там у вас где-то шел висит он его найдет и скажет об этом.
Чудес не бывает. Хостер просто даёт место, а вся бойда происходит из под конкретного пользователя. тобиш из под вашего акка.

в аналогичной ситуации когда я обнаружил код iframe inject в файлах своего сайта я тупо пересобрал руками форум + моды к нему из оригинальных дистрибутивов от авторов и залинковал конфиги на старую базу. таким образом у меня была 100% гарантия что сайт чист. не вижу смысла искать изменения, цена пропущенной дыры - повторный взлом сайта.

на тему хостера... 95% что виноваты вы сами и только 5% что действительно был взломан хостер.(не все конторы достаточно чистоплотны в этом вопросе).
"Мы проверили всё что можно... " вопрос в том чем вы проверяли. например NOD32 вобще антивирем называть сложно. используйте нормальные антивири, ужесточите политику безопасности на рабочих местах операторов и админа сайта.

99% случаев подобных это троян на пк. Ему неважно какой у вас пароль. При соединении он переписывает файл и отправлет такой как ему нужно.
Тотал в этом случае вообще дырявый. Советую сменить пароль и использовать фтп программы которые имеют более высокое качество шифрования пасов (это на случай если троят не будет найден).

Есть путь гораздо проще, избавляет от кучи проблем - пора завязывать с виндой. Особенно веб-программерам и админам.

Выход реальный но мало кто согласится

Можно подумать что на каторгу загоняют... :biggrin:
Многие работают в Линуксе и нужды в винде не имеют вообще.

Для, вас, для меня может и так.
Но если человек утром контру ганяет а вечером сайт делает, ему не удобно