Помощник
|
Кто-то встроил скрипт кликандера в мой сайт |
lucky_mw
|
Сообщение
#1
|
||
|
|
||
|
|||
razor1981 |
17.7.2012, 8:52;
Ответить: razor1981
Сообщение
#2
|
|
кто-то получил доступ к админке сайта, меняй пароль на более сложный!
-------------------- |
|
|
ol3gran1 |
17.7.2012, 10:39;
Ответить: ol3gran1
Сообщение
#3
|
|
Если не нашли прямую ссылку в коде, ищите что-то наподобии:
base64_decode(много_различных_символов) Если найдете, расшифруйте строку тут: http://www.opinionat...s/base64decode/ и посмотрите что она в себе содержит. Так же ссылка может находится в БД, в зависимости от CMS. И еще скажите пожалуйста как это делают? Мой пароль взламывают или как? Мне нужно сменить пароли или что в таких случаях надо делать? Способов великое множество... от уязвимостей на вашем сайте или сайтах-соседях на одном сервере, до банальных стиллеров. Кто-то получил доступ к админке сайта, меняй пароль на более сложный! толку 0, с 90% вероятностью могу сказать что где-то на хосте положили шелл. А для правки файлов/доступа к БД через него не нужен никакой пароль. Так же возможно в БД зашита простенькая функция, при которой даже при смене пароля, пароль зашитый в функции будет всегда подходить к админке. Так что, ищите шелл, потом ищите уязвимость, потом ищите ссылку. В общем возможных причин множество... смотрите, ищите... P.S. но пароли стоит поменять P.S.S. На вашем блоге все еще печальней чем я думал. При клике по фотографии на главной, в фоне открывается: http://www.realwritingjobs.com/cb/?hop=compteur
|
|
|
lucky_mw
|
Сообщение
#4
|
|
Да уж...дела не очень..............
А может ли это быть из-за плагина Wibiya, может у него какие дыры, потому что судя по сайтам, что открываются они англоязычные, я думаю? |
|
|
lucky_mw
|
Сообщение
#5
|
|
Может кому-то поможет.
Этот злой код может быть где угодно, я нашла его у себя в Внешний вид - Редактор - Функции темы (js/functions.php) и где-то по средине вот такие 3 кода eval(base64_decode('aWYgKCFlbXB0eSgkX1JFUVVFU1RbInRoZW1lX2xpY2Vuc2UiXSkpIHsgdGhlbWVfdXNhZ2VfbWVz c2FnZSgp OyBleGl0KCk7IH0gZnVuY3Rpb24gdGhlbWVfdXNhZ2VfbWVzc2FnZSgpIHsgaWYgKGVtcHR5KCRfUkVR VUVTVFsidGhlbWVfbGljZW5zZSJd KSkgeyAkdGhlbWVfbGljZW5zZV9mYWxzZSA9IGdldF9ibG9naW5mbygidXJsIikgLiAiL2luZGV4LnBo cD90aGVtZV9saWNlbnNlPXRydWUiOyBlY 2hvICI8bWV0YSBodHRwLWVxdWl2P VwicmVmcmVzaFwiIGNvbnRlbnQ9XCIwO3VybD0kdGhlbWVfbGljZW5zZV9mYWxzZVwiPiI7IGV4aXQoK TsgfSBlbHNlIHsgZWNobyAoIjxwIHN0eW xlPVwicGFkZGluZzoxMHB4OyBtYXJnaW46IDEwcHg7IHRleHQtYWxpZ246Y2VudGVyOyBib3JkZXI6ID JweCBkYXNoZWQgUmVkOyBmb250LWZh bWlseTphcmlhbDsgZm9udC13ZWlnaHQ6Ym9sZDsgYmFja2dyb3VuZDogI2ZmZjsgY29sb3I6ICMwMDA7 XCI+VGhpcyB0aGVtZSBpcyByZWxlYX NlZCBmcmVlIGZvciB1c2Ug dW5kZXIgY3JlYXRpdmUgY29tbW9ucyBsaWNlbmNlLiBBbGwgbGlua3MgaW4gdGhlIGZvb3RlciBzaG91 bGQgcmVtYWluIGludGFjdC4gVGhlc2Ug bGlua3MgYXJlIGFsbCBmYW1pbHkgZnJpZW5kbHkgYW5kIHdpbGwgbm90IGh1cnQgeW91ciBzaXRlIGlu IGFueSB3YXkuIFRoaXMgZ3JlYXQgdGh lbWUgaXMgYnJvdWdodCB0byB5b3UgZm9yIGZyZWUgYnkgdGhlc2Ugc3VwcG9ydGVycy48L3A+Iik7IH0 gfQ==')); и еще чуть ниже eval(base64_decode('ZnVuY3Rpb24gY2hlY2tfdGhlbWVfZm9vdGVyKCkgeyAkdXJpID0gc3RydG9sb3dlcigkX1NFUlZF UlsiUkVRVUVTVF9VUkkiXSk7IGlmKGlzX2FkbWluKCkgfHwgc3Vic3RyX2NvdW50KCR1cmksICJ3 cC1hZG1pbiIpID4gMCB8fCBzdWJzdHJfY291bnQoJHVyaSwgIndwLWxvZ2luIikgPiAwICkgeyAv KiAqLyB9IGVsc2UgeyAkbCA9ICc8YSBocmVmICJodHRwOi8vd3d3LnJhcGlkd2ViLmJpeiIgPkRl c2lnbjwvYT4gYnkgUmFwaWQgV2ViIC0gPGEgaHJlZiAiaHR0cDovL3d3dy5oZW5wYXJ0eXRzaGly dC5jb20iPkhlbiBUc2hpcnRzPC9hPiwgPGEgaHJlZiAiaHR0cDovL3d3dy44YmFsbC5jby51ayI+ VHNoaXJ0czwvYT4gYW5kIDxhIGhyZWYgImh0dHA6Ly9zdGFndHNoaXJ0cy5uZXQiPlN0YWcgVHNo aXJ0czwvYT4nOyAkZiA9IGRpcm5hbWUoX19maWxlX18pIC4gIi9mb290ZXIucGhwIjsgJGZkID0g Zm9wZW4oJGYsICJyIik7ICRjID0gZnJlYWQoJGZkLCBmaWxlc2l6ZSgkZikpOyBmY2xvc2UoJGZk KTsgaWYgKHN0cnBvcygkYywgJGwpID09IDApIHsgdGhlbWVfdXNhZ2VfbWVzc2FnZSgpOyBkaWU7 IH0gfSB9IGNoZWNrX3RoZW1lX2Zvb3RlcigpOw==')); и вот такой mytheme_admin_init(); eval(base64_decode('ZnVuY3Rpb24gY2hlY2tfdGhlbWVfaGVhZGVyKCkgeyBpZiAoIShmdW5jdGlvbl9leGlzdHMoImZ1 bm N0aW9uc19maWxlX2V4aXN0cyIpICYmIGZ1bmN0aW9uX2V4aXN0cygidGhlbWVfZm9vdGVyX3QiKSkpIH sgdGhlbWVfdXNhZ2Vfb WVzc2FnZSgpOyBkaWU7IH0gfQ==')); add_action('admin_menu', 'mytheme_add_admin'); и это только один скрипт, а он был во многих. |
|
|
ol3gran1 |
17.7.2012, 22:46;
Ответить: ol3gran1
Сообщение
#6
|
|
Это ссылки в футере, зашитые создателями темы.
Расшифровка: if (!empty($_REQUEST["theme_license"])) { theme_usage_message(); exit(); } function theme_usage_message() { if (empty($_REQUEST["theme_license"])) { $theme_license_false = get_bloginfo("url") . "/index.php?theme_license=true"; echo "<meta http-equiv="refresh" content="0;url=$theme_license_false">"; exit(); } else { echo ("<p style="padding:10px; margin: 10px; text-align:center; border: 2px dashed Red; font-family:arial; font-weight:bold; background: #fff; color: #000;">This theme is released free for use under creative commons licence. All links in the footer should remain intact. These links are all family friendly and will not hurt your site in any way. This great theme is brought to you for free by these supporters.</p>"); } } function check_theme_footer() { $uri = strtolower($_SERVER["REQUEST_URI"]); if(is_admin() || substr_count($uri, "wp-admin") > 0 || substr_count($uri, "wp-login") > 0 ) { /* */ } else { $l = '<a href "http://www.rapidweb.biz" >Design</a> by Rapid Web - <a href "http://www.henpartytshirt.com">Hen Tshirts</a>, <a href "http://www.8ball.co.uk">Tshirts</a> and <a href "http://stagtshirts.net">Stag Tshirts</a>'; $f = dirname(__file__) . "/footer.php"; $fd = fopen($f, "r"); $c = fread($fd, filesize($f)); fclose($fd); if (strpos($c, $l) == 0) { theme_usage_message(); die; } } } check_theme_footer(); function check_theme_header() { if (!(function_exists("functions_file_exists") && function_exists("theme_footer_t"))) { theme_usage_message(); die; } } Проверьте все установленные плагины на уязвимости тут: http://www.exploit-db.com/search/ |
|
|
lucky_mw
|
Сообщение
#7
|
|
|
Так что же получается я нашла не то, что нужно было?
Я думала это и есть код того самого кликандера, который кто-то мне встроил, ведь раньше его не было. Его и удалила. А в футере да, есть ссылки, но с текстом что нельзя удалять, я читала, что если их удалить, сайт не отображается, поэтому не трогаю их. За ссылочку на уязвимости отдельное спасибо!
|
|
|
||
|
Похожие темы
Тема | Ответов | Автор | Просмотров | Последний ответ | |
---|---|---|---|---|---|
Сайт врача стоматолога/ортодонта. | 4 | alnsam | 1508 | Вчера, 15:02 автор: alnsam |
|
Сайт не индексируется в Google без добавления ссылок в адурилку | 1 | Nekit | 460 | 17.3.2024, 3:25 автор: malamut |
|
Какой сайт пробовать создавать под небольшое ГЕО? | 6 | kapusta1 | 1195 | 15.3.2024, 13:06 автор: OS_ZP_UA |
|
Ваш сайт блокирует Роскомнадзор? | 20 | hollywooduk | 4672 | 13.3.2024, 11:18 автор: hollywooduk |
|
Продам сайт финансовой тематики | 0 | Prok | 636 | 12.3.2024, 18:11 автор: Prok |
Текстовая версия | Сейчас: 19.3.2024, 15:14 |