Пришло письмо от хоста: На Вашей учётной записи были обнаружены несанкционированные действия, вследствие этого Вам ограничен доступ в панель управления хостингом Plesk. Вам необходимо: 1. Проверить компьютер с которого осуществляется доступ в панель управления на наличие вредоносного ПО 2. Проверить папку на предмет наличия вредоносных скриптов(Доступ ftp/ssh) 3. Сообщить службе технической технической поддержки о проделанной работе. 4. Сменить пароль, следующим образом: ссылка Первым делом меняю пароль ( на почте, и от панели управления+ фтп) Захожу по фтп на своих сайтов( 3 штуки) в папках cgi-bin на двух сайтах только пустые папки administrator а на 1 сайте,(с которым в основном работаю (за день письма от хоста я обновлял Joomla с 1.6.3. до 2.5 + устанавил jComments новый, все скачивал с ОфСайтов)) помимо папки administrator были папки , termoplenka.net , test в папке тест был файл test.cgi , который мб и не вредоносный ( не разбираюсь) содержание которого: #!/usr/bin/perl Код (PHP): print <<HTML; Content-type: text/html <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <title></title> <meta http-equiv="Content-Type" content="text/html"> <link rel="stylesheet" type="text/css" href="../../css/style.css"> </head> <body> <table cellspacing="0" cellpadding="0" border="0"> <tr class="subhead" align="Left"><th>Name</th><th>Value</th></tr> HTML my $class; foreach (sort keys %ENV) { next unless /^HTTP_|^REQUEST_/; $class = ($class ne 'normal')? 'normal': 'alt'; print <<HTML; <tr class="$class"><td valign="top">$_</td><td>$ENV{$_}</td></tr> HTML } print <<HTML; </table> </body> </html> HTML первым делом удалил его. Уточнил у суппорта хостинга , он сообщил, что на всех трех доменах в папке cgi-bin был вредоносный код. Но у меня на других сайтах там вообще пусто, а по логам через Plesk panel последний раз эти каталоги редактировать в прошлом году. на домене termolenka.net уточнить когда были изменения не могу, т.к. удалил 1 папку, и теперь последние изменения числятся сегодняшним днем. Из того что сделал: проверил сайт доктором вебом на вирусы : нету. Поменял пароли от БД,Почты, plesk panel, ftp, от каталога termoplenka/administrator, от админки Joomla. НА моем ПК установлен фаервол+антивирус от Нода. Вирусов не найдено. + проверил Доктором вебом. поковырялся в старых резервных копиях, файлу test.cgi как минимум пару недель Посоветуйте как действовать дальше.
Пришло письмо от саппорта: Здравствуйте. Спасибо за сообщение. Под вашим логином была по предпринята попытка подбора пароля к вашей учетной записи. Мы были вынуждены среагировать на данный инцидент. К счастью, если в папке cgi-bin Вы не обнаружили скрипты, это означает, что попытка заливки скриптов была не удачной. Ниже приведена статистика заходов в панель под Вашу учетную запись, если некоторые ip адреса вызывают сомнения, рекомендуем Вам срочно изменить пароль в панели Plesk.
