Недавно мой коллега, с кем мы делали один проект на сайте ЕЕ, сказал, что в индексном файле index.php в корневом каталоге прописан вредоносный код и подгружается какой то вирус. Тоесть файл изменен, в него были внесены изменения еще раз подчеркиваю.

Буквально позавчера мне сообщили что на одном из моих крупных сайтов также гуляет вирус. Заглянул, увидел, что в файле index.php прописано в самом низу

также был обнаружен файл index.htm с аналогичным содержанием

Возвращаясь к случаю с коллегой, он задавал вопрос хостеру и тот по логам посмотрел что доступ был по ФТП. В общем интересно, что же может такое происходить?

ни на одном своем сайте такого не нашел, по информации в интернете внедрение происходит посредством доступа по фтп - тупо дописывают, а если нет, создают index файлы с вредоносным кодом. От CMS зависимости не обнаружено.
P.s. меняй пароли на ftp и проверь свой комп на трояны.
И для полноты картины конечно лучше писать хостеров, версии EE (если ты думаешь, что с этим связано) и т.п..

окей, буду разбираться, вполне возможно что из-за меня сайты хватанули вируса.
Но опять таки не понимаю, в этом может быть замешан SmartFTP?

mrtt - 01 Август 2008 11:53 A.M.

окей, буду разбираться, вполне возможно что из-за меня сайты хватанули вируса.
Но опять таки не понимаю, в этом может быть замешан SmartFTP?

есть трояны которые сразу из всех програм высилают пароли (SmartFTP, TotalComander, Opera, Qip….. и тд.)
у меня уже прывычка не сохранять пароли в программах, многие уже напамять знаю)))

опять не знаю как, но обнаружил на другом сайте измененный index.php
Прикрепляю его к сообщению, может кто глянет и скажет, что хотел злоумышленник. Вижу счетчик хотел поставить кто то.

не счетчик - редирект на сайта фейкового антивируса-трояна.
Способ заражения - либо через провайдера, либо у тебя опять пароль украли (ну или после прошлого раза не все пароли поменял).
Судя по инфе в нете - хит  прошлого месяца. поздно ты чего-то заметил....

может хостинг ломанули

блин *опа какая то

в каждом файле index.php который лежит на ка ждом каталоге на один уровень от корневого, включая корневой каталог, добавлено в конце следующее (см. прикрепленный файл)

Стоит у меня антивирусник, не видит никаких вирусов, все файлы (я храню локальную копию сайта) не затронуты, как можно проникать в эти файлы, что нужно ставить в настройках?

Пример вируса: http://eeclub.ru/virus_example.rar

ну я же говорю, может через соседние сайты на хостинге ломают, попробуйте для теста еще там другой движок поставить, друпал например

да нет времени ставить различные движки там

требуй у хостера провести расследование - ссылки те же самые - на фиктивный антивир.
Какие настройки интересуют?

ну может как то листинг каталогов запретить, потому что не во всех каталогах такая зараза, такое впечатление что избирательно

ну и еще пусть хостер скажет с каких айпи было подключение по ФТП

дело осложняется, т.к. у хостера я на “птичьих” правах (

блин неужели smart ftp мой любимый имеет дырки?

mrtt - 29 Август 2008 06:31 P.M.

дело осложняется, т.к. у хостера я на “птичьих” правах (

Так может тебя хостер ... ну того... ломает???

p.s. Без отчета хостера ты так долго сможешь гадать откуда идет утечка. По характеру распространения данного трояна с большей долей вероятности, что идет проникновение напрямик, либо с твоими паролями, или через хостера.
На смарт я бы не грешил (вроде он у тебя к тому же покупной?). Либо твои пароли каким-то образом снифят, либо (на что я бы ставил в случае спора), как сказал будулай - у тебя хостер дырявый. Можешь попытаться определить ресурсы, которые с тобой висят на одном хостинге(по ip) и навести справки у их владельцев.