Witam. Pisałem sobie skrypt i wrzuciłem na serwer do katalogu subdomeny. Przez kilka dni nie zaglądałem na stronę, aż pewnego dnia wchodzę, a tam na dole strony taki tekst:
#17da00# if(empty($ajnm)) { $ajnm = " "; echo $ajnm; } #/17da00# (wklepując to w google widać, że sporo osób ma ten problem)
Po kliknięciu w link ze stopki która prowadzi do głównej domeny, która była zwykłym plikiem index.html (bez javascriptów itp, statyczna strona html+css), strona nie pokazywała się normalnie tylko przyciemniona, a nad nią okienko z informacją, że trzeba zainstalować wtyczkę vio player. Na serwerze miałem 2 domeny i z obiema stało się to samo. Włączyłem filezille i zauważyłem, że wszystkie pliki były edytowane tego dnia kilka godzin wcześniej, a przez ostatnie dni ja nic nie robiłem, ani nawet nie włączałem filezilli. W skrypcie nie było żadnych javascriptów, sam kod php który pobierał dane z bazy. Żadnych skryptów z odbieraniem danych przez POST. Jedynie identyfikator był przekazywany przez GET, a przed zapytaniem był sprawdzany funkcją is_numeric. Mój system to Windows 7, ESET SS chodzi cały czas. Przeskanowałem dzisiaj komputer programem Malwarebytes Anti-Malware i znalazł PUP.Optional.OpenCandy w 3 plikach z tempu i pokazał trojana(?) w pliku exe, który sam kiedyś kompilowałem jak uczyłem się C++, był to program, który tylko coś liczył i printfował.
Macie może jakąś radę jak uniknąć tego typu ataków w przyszłości?