В каком-то из сторонних модулей вредоносный код

-sanek-, думаешь реферер за собой потянул?

Думаю да.

Вобщем напал на мой сайт вчера доссер-вымогатель и что-то мне подсказывает, что это связано с этой темой. Это вобще первый раз за всю мою деятельность. Ну, и пока адрес сайта в анкете не был указан, такие попрошайки меня не посещали. А тут видимо стал приближаться к разгадке. Сделал несколько снимков и копировал некоторый текст, если кто хочет ознакомится с его ай.пи дайте знать. Не думаю, что он оказался на сайте случайно. А кто его знает.

zumak (15.07.2012/10:57)
Я вот думаю что пенелька тут не причем… тут варианта два, либо граб, либо код какого нить счетчика.
Вообщем имеет место быть хсс через внедрение кода.

А мне вот интересно как ты при помощи xss запишешь код в пхп файл или htaccess. Открой тайну.

~XeOn~, Спомощью активной xss можно и файлы изменить, и шелл спокойно залить.

У меня пока всё отлично работает, так как после зачистки ещё ничего не ставил. И хакер не даёт ничем заниматься собственно. А код я думаю уже прописан и срабатывает по условию, а потом и происходит добавление в файл. Это конечно мои домыслы пока, надеюсь ошибочные.

Может у вас в каком нибудь модуле sql инъекция? Взломщик получает права супервайзера, затем заливает шелл через активную xss в счётчиках и прописывает код

elkol (17.07.2012/04:19)
Может у вас в каком нибудь модуле sql инъекция? Взломщик получает права супервайзера, затем заливает шелл через активную xss в счётчиках и прописывает код

Это типо каждого индивидуально посещать? И если он имел бы доступ, то продолжал бы и дальше. Только вот никто уже не пишет о повторяющихся событиях. Значит записи прекратились, то есть нет модуля, нет и записи. Как то так.

Собственно имея доступ можно и расплодить записи по всему сайту. Правильно?

VIZIT (17.07.2012/04:41)
Собственно имея доступ можно и расплодить записи по всему сайту. Правильно?

Зачем по всему сайту? Достаточно в ядре как было и будет по всему сайту