Хакеры оказались умнее, чем я думал - они еще оставили скрипты с расширением png и jpg в других директориях, подменили .htaccess, сделав эти файлы исполняемыми. К тому же изменили дату создания этих файлов так, чтобы она совпадала со всеми файлами в этой директории. Скрипт, который мне впаривают - WSO shell by oRb, выглядит так:
Хитро, черт - опять лег в 3 ночи, ища остальные дыры. Файлы такие, хотя на других серверах могут и отличаться:
- old.png
- menubottom.jpg
- banner.php
- conf.php
Хотя, сейчас уже бесполезно, в принципе, что-то ломать - SSH перенесен на другой порт, и к тому же доступ к нему жестко привязан в IP моей домашней машины.
И я уже начинаю сомневаться, что ломает один человек. Возможно, это даже распределенная сеть, работающая в полуавтоматическом режиме. Список IP, с которых был доступ к вредоносным файлам:
- 194.96.227.39
- 77.241.44.46
- 217.21.212.232
- 207.210.71.20
Думаю, это еще не конец истории.
Комментариев нет:
Отправить комментарий