Форум на Kuban.ru - Вредоносный код на сайте: как оценить ущерб?

Форум на Kuban.ru (http://forums.kuban.ru/)

- - Вредоносный код на сайте: как оценить ущерб? (http://forums.kuban.ru/f1030/vredonosnyj_kod_na_sajte_kak_ocenit-_usherb-3225162.html)

Вредоносный код на сайте: как оценить ущерб?

Привет всем!
Вчера Яндекс.вебмастер сообщил, что у нас на сайтах обнаружен вредоносный код.
Пошли — и действительно: весёлый JavaScript с неким php-файлом в атрибуте src, и ещё пара скриптов, перенаправляющих на левые сайты всех, кто заходит с мобильных телефонов (некоторые пользователи наши на это попали).
Сегодня смотрю — опять фигня, хотя вчера удалил.
Посмотрел в папке lib, а там лежит некий файл tem.php.
Расшифровав его (gzinflate() + base64_decode()), я понял, что это нечто вроде шелла, считывающего конфиг сервера и позволяющего сдампить БД и, видимо, сделать что-то ещё.
Хостимся у GoDaddy, а они помогать по факту отказываются: логи ftp предоставили, конечно, но там ничего нет.
Внимание, вопросы: как оценить ущерб? Как определить, всё ли удалено? Как понять, сдампили уже нашу БД или нет и откуда это сделали (хотели сделать)? Откуда вообще появился вредонос?
В общем, все ответы по этому делу интересуют.
Спасибо!

variable function стопудезно ипользовалась. =))

По теме - никак.
очень похоже, что вы сами заюзали какой-то левый шаблон для разных джумл.

И скорее всего лили вас на смспират, раз мобильники пренаправляли.

А по факту, чтоб посмотреть как попали то логи, но не ftp, лажа это всё про фтп, ну а далее примерный алгоритм посмотрите тут: [url]https://rdot.org/forum/showthread.php?t=677[/url]

Ну и:

"Внимание, вопросы:"
[em]как оценить ущерб?[/em] - ?! это вам виднее.
[em]Как определить, всё ли удалено?[/em] - тщательный аудит кода, впрочем ссылку я вам привёл, что могут ещё и в базу данных бэкдор залить.
[em]Как понять, сдампили уже нашу БД или нет и откуда это сделали (хотели сделать)?[/em] - да сдампили скорее всего, хотя всё зависит от сайта и кол-ва пользователей, если вас там 5-10 человек, то как бы и [filolog]нах[/filolog] дампить.
[em] Откуда вообще появился вредонос?[/em] - взлом сайта или угон данных с вашего компа, проникновение, заливка шела и тд...

А вообще что за сайт, какой движок использовался?.

Собственно шел могли залить через любую уязвимость, будь-то php инклуд или sql иньекцияб ftp обычно не причем (99% случаев). По поводу слива базы, это вопрос к Вам, имеется ли что-то ценное в ней? (даза email, номера кридиток и.т.д). Если нет, то думаю врятли. Мое мнение, злаумышлиники использовали скрипт для получения моб. трафика с вашего сайта и не более. Если Вы юзаите Free CMS, мой вам совет, с остарожностью отнаситесь к левым модулям, в осномном в них и находят дыры.