Перейти к содержимому

Реферальная программа Мегаплана


Кто-то встроил скрипт кликандера в мой сайт

#1 lucky

lucky
  • Пользователь
  • 15 сообщений
  • Репутация: 0
0

Отправлено 17 Июль 2012 - 00:26

Здравствуйте.
Помогите пожалуйста с проблемой.
В мой сайт как-то встроили кликандер. Зашла на свою главную страницу, щелкнула куда-то куда прежде много раз щелкала и тут вылезло у меня окно "за кадром" вот с такой ссылкой - _http://www.surveyspaid.com/?hop=compteur я так понимаю, compteur это логин партнерский, искала искала нигде не нашла эту ссылку, может не там смотрю.

Прям напасть какая-то то в футере мне что-то припишут на одном моем сайте, ладно удалила. Футер я знаю где и все нашла там. А тут эти окошки мне вообще никак не нужны.

И еще скажите пожалуйста как это делают? Мой пароль взламывают или как? Мне нужно сменить пароли или что в таких случаях надо делать?

 

 

  • 0

#2 razzor

razzor
  • Пользователь
  • 489 сообщений
  • Репутация: 57

Отправлено 17 Июль 2012 - 07:52

кто-то получил доступ к админке сайта, меняй пароль на более сложный!
  • 0

#3 ol3gran1

ol3gran1
  • Пользователь
  • 51 сообщений
  • Репутация: 16

Отправлено 17 Июль 2012 - 09:39

Если не нашли прямую ссылку в коде, ищите что-то наподобии:
base64_decode(много_различных_символов)
Если найдете, расшифруйте строку тут: http://www.opinionat...s/base64decode/ и посмотрите что она в себе содержит.
Так же ссылка может находится в БД, в зависимости от CMS.

И еще скажите пожалуйста как это делают? Мой пароль взламывают или как? Мне нужно сменить пароли или что в таких случаях надо делать?

Способов великое множество... от уязвимостей на вашем сайте или сайтах-соседях на одном сервере, до банальных стиллеров.

Кто-то получил доступ к админке сайта, меняй пароль на более сложный!

толку 0, с 90% вероятностью могу сказать что где-то на хосте положили шелл. А для правки файлов/доступа к БД через него не нужен никакой пароль.
Так же возможно в БД зашита простенькая функция, при которой даже при смене пароля, пароль зашитый в функции будет всегда подходить к админке.

Так что, ищите шелл, потом ищите уязвимость, потом ищите ссылку.

В общем возможных причин множество... смотрите, ищите...

P.S. но пароли стоит поменять

P.S.S. На вашем блоге все еще печальней чем я думал. При клике по фотографии на главной, в фоне открывается:
http://www.realwritingjobs.com/cb/?hop=compteur

  • 0

#4 lucky

lucky
    Topic Starter
  • Пользователь
  • 15 сообщений
  • Репутация: 0

Отправлено 17 Июль 2012 - 16:48

Да уж...дела не очень..............

А может ли это быть из-за плагина Wibiya, может у него какие дыры, потому что судя по сайтам, что открываются они англоязычные, я думаю?
  • 0

#5 lucky

lucky
    Topic Starter
  • Пользователь
  • 15 сообщений
  • Репутация: 0

Отправлено 17 Июль 2012 - 17:45

Может кому-то поможет.
Этот злой код может быть где угодно, я нашла его у себя в Внешний вид - Редактор - Функции темы (js/functions.php) и где-то по средине вот такие 3 кода


eval(base64_decode('aWYgKCFlbXB0eSgkX1JFUVVFU1RbInRoZW1lX2xpY2Vuc2UiXSkpIHsgdGhlbWVfdXNhZ2VfbWVzc2FnZSgp
OyBleGl0KCk7IH0gZnVuY3Rpb24gdGhlbWVfdXNhZ2VfbWVzc2FnZSgpIHsgaWYgKGVtcHR5KCRfUkVRVUVTVFsidGhlbWVfbGljZW5zZSJd
KSkgeyAkdGhlbWVfbGljZW5zZV9mYWxzZSA9IGdldF9ibG9naW5mbygidXJsIikgLiAiL2luZGV4LnBocD90aGVtZV9saWNlbnNlPXRydWUiOyBlY
2hvICI8bWV0YSBodHRwLWVxdWl2P
VwicmVmcmVzaFwiIGNvbnRlbnQ9XCIwO3VybD0kdGhlbWVfbGljZW5zZV9mYWxzZVwiPiI7IGV4aXQoKTsgfSBlbHNlIHsgZWNobyAoIjxwIHN0eW
xlPVwicGFkZGluZzoxMHB4OyBtYXJnaW46IDEwcHg7IHRleHQtYWxpZ246Y2VudGVyOyBib3JkZXI6IDJweCBkYXNoZWQgUmVkOyBmb250LWZh
bWlseTphcmlhbDsgZm9udC13ZWlnaHQ6Ym9sZDsgYmFja2dyb3VuZDogI2ZmZjsgY29sb3I6ICMwMDA7XCI+VGhpcyB0aGVtZSBpcyByZWxlYX
NlZCBmcmVlIGZvciB1c2Ug
dW5kZXIgY3JlYXRpdmUgY29tbW9ucyBsaWNlbmNlLiBBbGwgbGlua3MgaW4gdGhlIGZvb3RlciBzaG91bGQgcmVtYWluIGludGFjdC4gVGhlc2Ug
bGlua3MgYXJlIGFsbCBmYW1pbHkgZnJpZW5kbHkgYW5kIHdpbGwgbm90IGh1cnQgeW91ciBzaXRlIGluIGFueSB3YXkuIFRoaXMgZ3JlYXQgdGh
lbWUgaXMgYnJvdWdodCB0byB5b3UgZm9yIGZyZWUgYnkgdGhlc2Ugc3VwcG9ydGVycy48L3A+Iik7IH0gfQ=='));
и еще чуть ниже


eval(base64_decode('ZnVuY3Rpb24gY2hlY2tfdGhlbWVfZm9vdGVyKCkgeyAkdXJpID0gc3RydG9sb3dlcigkX1NFUlZF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'));

и вот такой


mytheme_admin_init();
eval(base64_decode('ZnVuY3Rpb24gY2hlY2tfdGhlbWVfaGVhZGVyKCkgeyBpZiAoIShmdW5jdGlvbl9leGlzdHMoImZ1bm
N0aW9uc19maWxlX2V4aXN0cyIpICYmIGZ1bmN0aW9uX2V4aXN0cygidGhlbWVfZm9vdGVyX3QiKSkpIHsgdGhlbWVfdXNhZ2Vfb
WVzc2FnZSgpOyBkaWU7IH0gfQ=='));
add_action('admin_menu', 'mytheme_add_admin');


и это только один скрипт, а он был во многих.
  • 0

#6 ol3gran1

ol3gran1
  • Пользователь
  • 51 сообщений
  • Репутация: 16

Отправлено 17 Июль 2012 - 21:46

Это ссылки в футере, зашитые создателями темы.
Расшифровка:
if (!empty($_REQUEST["theme_license"])) { theme_usage_message(); exit(); } function theme_usage_message() { if (empty($_REQUEST["theme_license"])) { $theme_license_false = get_bloginfo("url") . "/index.php?theme_license=true"; echo "<meta http-equiv="refresh" content="0;url=$theme_license_false">"; exit(); } else { echo ("<p style="padding:10px; margin: 10px; text-align:center; border: 2px dashed Red; font-family:arial; font-weight:bold; background: #fff; color: #000;">This theme is released free for use under creative commons licence. All links in the footer should remain intact. These links are all family friendly and will not hurt your site in any way. This great theme is brought to you for free by these supporters.</p>"); } }

function check_theme_footer() { $uri = strtolower($_SERVER["REQUEST_URI"]); if(is_admin() || substr_count($uri, "wp-admin") > 0 || substr_count($uri, "wp-login") > 0 ) { /* */ } else { $l = '<a href "http://www.rapidweb.biz" >Design</a> by Rapid Web - <a href "http://www.henpartytshirt.com">Hen Tshirts</a>, <a href "http://www.8ball.co.uk">Tshirts</a> and <a href "http://stagtshirts.net">Stag Tshirts</a>'; $f = dirname(__file__) . "/footer.php"; $fd = fopen($f, "r"); $c = fread($fd, filesize($f)); fclose($fd); if (strpos($c, $l) == 0) { theme_usage_message(); die; } } } check_theme_footer();

function check_theme_header() { if (!(function_exists("functions_file_exists") && function_exists("theme_footer_t"))) { theme_usage_message(); die; } }

Проверьте все установленные плагины на уязвимости тут: http://www.exploit-db.com/search/
  • 0

#7 lucky

lucky
    Topic Starter
  • Пользователь
  • 15 сообщений
  • Репутация: 0

Отправлено 18 Июль 2012 - 14:03

Так что же получается я нашла не то, что нужно было?
Я думала это и есть код того самого кликандера, который кто-то мне встроил, ведь раньше его не было. Его и удалила.
А в футере да, есть ссылки, но с текстом что нельзя удалять, я читала, что если их удалить, сайт не отображается, поэтому не трогаю их.

За ссылочку на уязвимости отдельное спасибо! :D
  • 0


Оформление форума – IPBSkins.ru