Есть сайт, сделанный на своей cms.
В один прекрасный день в него залазит вирус..
После чего получилось несколько отредактированных файлов, который так или иначе инклюдятся к indexу, в конце файлов был дописан код который выводит JS.. чё делает этот ЖС мне не понятно ибо это набор букв и цифр)
Вопрос один, как это могло произойти? Это может быть моим косяком, т.е. моя цмс настолько убогая, что через неё получили доступ к файловой системе? Или всё таки фтп ломанули?
нашёл вот такого подобия логи..
205.209.142.43 - - [14/Jul/2009:16:21:43 +0400] "GET / HTTP/1.0" 200 8036 "-" "Java/1.6.0_13"
205.209.142.43 - - [14/Jul/2009:16:21:56 +0400] "GET / HTTP/1.0" 200 2377 "-" "Java/1.6.0_13"
205.209.142.43 - - [14/Jul/2009:16:21:57 +0400] "GET /en HTTP/1.0" 301 804 "-" "Java/1.6.0_13"
205.209.142.43 - - [14/Jul/2009:16:21:58 +0400] "GET /about_us HTTP/1.0" 200 8036 "-" "Java/1.6.0_13"
205.209.142.43 - - [14/Jul/2009:16:21:59 +0400] "GET /contacts HTTP/1.0" 200 7695 "-" "Java/1.6.0_13"
205.209.142.43 - - [14/Jul/2009:16:21:59 +0400] "GET /dealer HTTP/1.0" 200 8063 "-" "Java/1.6.0_13"
205.209.142.43 - - [14/Jul/2009:16:22:00 +0400] "GET /en/ HTTP/1.0" 200 7976 "-" "Java/1.6.0_13"
205.209.142.43 - - [14/Jul/2009:16:22:00 +0400] "GET /index.html HTTP/1.0" 200 2377 "-" "Java/1.6.0_13"
205.209.142.43 - - [14/Jul/2009:16:22:01 +0400] "GET /ru HTTP/1.0" 301 804 "-" "Java/1.6.0_13"
205.209.142.43 - - [14/Jul/2009:16:22:01 +0400] "GET /eng HTTP/1.0" 302 - "-" "Java/1.6.0_13"
205.209.142.43 - - [14/Jul/2009:16:22:01 +0400] "GET /eng HTTP/1.0" 302 - "-" "Java/1.6.0_13"
http://z-mode.net.ru/went26.rar
та папка в который лежат эти скрипты, после чего сайт в шоке.