ロボット-ウイルスコードインジェクターがサイトを台無しにし始めた

以前は、原則として、iframeをサイトコードに追加するだけでした。 「検索と破棄」メソッド、つまり、ファイルにテキストを含めて削除するための単純な検索によって処理されたもの。



この1週間で、悪意のあるロボットの動作にいくつかの不穏な変化が発生しました。 最初に、cmsファイルの1つ（一般的な有料の国内ファイル）で、レイアウト出力の原因となる行が消えていることがわかりました。 最初にそれが事故だと思ったとき、またはアクセスした人が偶然にそれを見つけたときにそれを削除したのは、ロボットが特定のcmsファイル（それに対して設定された）から行を削除するよう訓練されたと思ったときです。



しかし、さらに興味深い事実が明らかになりました。 レイアウトを表示する行は、自作のcms-keで削除されたため、扇動の可能性が排除されました。



まとめ 新世代のロボットは、PHPコードを分析し（他の言語については知りません）、レイアウト出力を認識する行を削除します。 私の場合、行は異なるcmsから削除されました。



eval （ "echo \" $ Template-> header \ ";"）;

eval（ "echo \" "。$ template_header。" \ ";"）;



そのようなこと。

UPD ：私はこれがそのようなスキームに従って起こっていることを書くのを忘れていました。

トロイの木馬は、コンピューターからftpアクセスデータを盗みます。これは、ほとんどの場合、トータルコマンダーに保存されます。 また、彼らはFARから盗むと聞きましたが、真実かどうかはわかりません。 サーバーに送信します。 また、サーバーは、一部のブラウザーで脆弱性が発見された後、利用可能なすべてのサイトでiframeを表示し、ユーザーにエクスプロイトを強制します。



私が見る最も簡単な解決策は、ホスティングホスティングを通じてftpへのアクセスを制限することです。 IP、地域ごと。 しかし、私が知る限り、これはそうではありません。 FTPのパスワードを保存しないでくださいhemoです。 テキストファイルから毎回引き出して......