- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Лазил по сайтам своим, все на одном серваке. Нашел какойто код. Помогите расшифровать, пожалуйста. Код на всех сайтах ((
Залил сюда
https://dropmefiles.com/dI4yi
Пожалуйста, помогите понять в чем дело. Удаляю - снова все на местах. Запускаю айболита - только это и находит.
Заранее спасибо.
Ну взломали ваш сайт и заливается шел этот. Вот и всё. Смысл его расшифровывать? Вам надо убирать как он появляется.
Какой движок у вас? WP наверное да?
Вопрос шелл ли это. Он появляется раз в 10 минут (код) - Пробую запустить - никак. не открывается. Удаляю - снова на месте. Ставлю права 0000 - и опять тут как тут. иногда сутки не появляется и опять. интересно что за код - может это часть какогото механизма.
Это часть вируса. От него надо избавляться и искать кто его создаёт. Проверять кроны, проверять все файлы и весь движок.
Кронов нет. файлы айболитом проверял. Только это нашел. Возможно тут либо часть кода, и эта часть использует еще чтото. Расшифровать ника не получается. Знать бы что за криптор - можно было бы найти декодер.
Расшифровать ника не получается. Знать бы что за криптор - можно было бы найти декодер.
Там расшифровка по ключу, так что не расшифруете. Очевидно что ничего хорошего в нем не закодировано.
Там расшифровка по ключу, так что не расшифруете. Очевидно что ничего хорошего в нем не закодировано.
а КЛЮЧ - не эта часть кода - ('5167221'.'7221');}
Т.е. вообще без вариантов?
100 раз удалял - находил всякий чужой код. Этот вообще никак не поддается. Вручную все файлы смотреть - понадобится несколько лет )))
а КЛЮЧ - не эта часть кода - ('5167221'.'7221');}
Т.е. вообще без вариантов?
Нет, ключ это некое значение принимаемое от пользователя - $k=$_GET['key'].
Ничего вам особо дешифровка не поможет если вы его удаляете и он появляется вновь. Очевидно есть бэкдор в другом месте.
ищите по base64_decode, eval - ничего подозрительного - то - $_POST, $_GET, $_REQUEST
Дыра на сайте позволяет создать файл через скрипт - через стандартный file_put_contents - конечно, запись скорее всего через eval(base64_decode.
запретите создание файлов для всех файлов и папок (0600) + установить запрет на исполнение php в папках uploads, которым необходимо открыть доступ на запись
Вы серьёзно считаете, что айболит может всё найти? :)
Вы серьёзно считаете, что айболит может всё найти? :)
Кроны нет. Но base_64 - eval и 100500 всяких кодов находит. Но если код подгружен хрен знает куда. То конечно не вариант.
Интересно. почему все уверенны, что это шелл. Может какой генератор доров - которые еще не проиндексились. а может и шелло разливалка какая.
Эту мразоту определенно надо выгнать. А если это не шелл. то вообще надо искать где шелл то тогда. Ftp сменил. Все пароли сменил.
Папки все с правильными правами.