Исходное сообщение
"Загадочная инфекция поражает web-сайты на Linux/Apache" Отправлено Аноним, 25-Янв-08 14:13
Да. В прошлый раз нас тоже коснулось... Но там юзеры хостинга сами были виноваты -- вирус у них пароли тырил. А тут (если верить cPanel) заходят по рутом по ssh. Значит спертые пароли рута. Выход для незараженных -- менять пароли и переводить ssh на нестандартный порт (если червь, я думаю он не будет сканить порты и искать ssh на всех портах) Про выявление. мне кажется правильная строка: tcpdump -nAs 2048 src port 80 | grep "'[a-zA-Z]\{5\}\.js'" покуда название файла состоит из рандомных 5 символов. первая кавычка пропущена в новости и в конце два лишних символа Про лечение. На cPanel написано, что надо загрузиться с CD и поменять несколько зараженных файлов на исходные: /sbin/ifconfig /sbin/fsck /sbin/route /bin/basename /bin/cat /bin/mount /bin/touch

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Да. В прошлый раз нас тоже коснулось... Но там юзеры хостинга сами > были виноваты -- вирус у них пароли тырил. > А тут (если верить cPanel) заходят по рутом по ssh. Значит спертые > пароли рута. Выход для незараженных -- менять пароли и переводить ssh > на нестандартный порт (если червь, я думаю он не будет сканить > порты и искать ssh на всех портах) > Про выявление. мне кажется правильная строка: > tcpdump -nAs 2048 src port 80 | grep "'[a-zA-Z]\{5\}\.js'" > покуда название файла состоит из рандомных 5 символов. первая кавычка пропущена в > новости и в конце два лишних символа > Про лечение. На cPanel написано, что надо загрузиться с CD и поменять > несколько зараженных файлов на исходные: > /sbin/ifconfig > /sbin/fsck > /sbin/route > /bin/basename > /bin/cat > /bin/mount > /bin/touch
	Введите код, изображенный на картинке: