X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

Открыть тему
Тема закрыта
> Кто-то встроил скрипт кликандера в мой сайт
lucky_mw
lucky_mw
Topic Starter сообщение 17.7.2012, 1:26; Ответить: lucky_mw
Сообщение #1


Здравствуйте.
Помогите пожалуйста с проблемой.
В мой сайт как-то встроили кликандер. Зашла на свою главную страницу, щелкнула куда-то куда прежде много раз щелкала и тут вылезло у меня окно "за кадром" вот с такой ссылкой - _http://www.surveyspaid.com/?hop=compteur я так понимаю, compteur это логин партнерский, искала искала нигде не нашла эту ссылку, может не там смотрю.

Прям напасть какая-то то в футере мне что-то припишут на одном моем сайте, ладно удалила. Футер я знаю где и все нашла там. А тут эти окошки мне вообще никак не нужны.

И еще скажите пожалуйста как это делают? Мой пароль взламывают или как? Мне нужно сменить пароли или что в таких случаях надо делать?
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
razor1981
razor1981
сообщение 17.7.2012, 8:52; Ответить: razor1981
Сообщение #2


кто-то получил доступ к админке сайта, меняй пароль на более сложный!


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ol3gran1
ol3gran1
сообщение 17.7.2012, 10:39; Ответить: ol3gran1
Сообщение #3


Если не нашли прямую ссылку в коде, ищите что-то наподобии:
base64_decode(много_различных_символов)

Если найдете, расшифруйте строку тут: http://www.opinionat...s/base64decode/ и посмотрите что она в себе содержит.
Так же ссылка может находится в БД, в зависимости от CMS.

И еще скажите пожалуйста как это делают? Мой пароль взламывают или как? Мне нужно сменить пароли или что в таких случаях надо делать?

Способов великое множество... от уязвимостей на вашем сайте или сайтах-соседях на одном сервере, до банальных стиллеров.

Кто-то получил доступ к админке сайта, меняй пароль на более сложный!

толку 0, с 90% вероятностью могу сказать что где-то на хосте положили шелл. А для правки файлов/доступа к БД через него не нужен никакой пароль.
Так же возможно в БД зашита простенькая функция, при которой даже при смене пароля, пароль зашитый в функции будет всегда подходить к админке.

Так что, ищите шелл, потом ищите уязвимость, потом ищите ссылку.

В общем возможных причин множество... смотрите, ищите...

P.S. но пароли стоит поменять

P.S.S. На вашем блоге все еще печальней чем я думал. При клике по фотографии на главной, в фоне открывается:
http://www.realwritingjobs.com/cb/?hop=compteur
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
lucky_mw
lucky_mw
Topic Starter сообщение 17.7.2012, 17:48; Ответить: lucky_mw
Сообщение #4


Да уж...дела не очень..............

А может ли это быть из-за плагина Wibiya, может у него какие дыры, потому что судя по сайтам, что открываются они англоязычные, я думаю?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
lucky_mw
lucky_mw
Topic Starter сообщение 17.7.2012, 18:45; Ответить: lucky_mw
Сообщение #5


Может кому-то поможет.
Этот злой код может быть где угодно, я нашла его у себя в Внешний вид - Редактор - Функции темы (js/functions.php) и где-то по средине вот такие 3 кода


eval(base64_decode('aWYgKCFlbXB0eSgkX1JFUVVFU1RbInRoZW1lX2xpY2Vuc2UiXSkpIHsgdGhlbWVfdXNhZ2VfbWVz
c2FnZSgp
OyBleGl0KCk7IH0gZnVuY3Rpb24gdGhlbWVfdXNhZ2VfbWVzc2FnZSgpIHsgaWYgKGVtcHR5KCRfUkVR
VUVTVFsidGhlbWVfbGljZW5zZSJd
KSkgeyAkdGhlbWVfbGljZW5zZV9mYWxzZSA9IGdldF9ibG9naW5mbygidXJsIikgLiAiL2luZGV4LnBo
cD90aGVtZV9saWNlbnNlPXRydWUiOyBlY
2hvICI8bWV0YSBodHRwLWVxdWl2P
VwicmVmcmVzaFwiIGNvbnRlbnQ9XCIwO3VybD0kdGhlbWVfbGljZW5zZV9mYWxzZVwiPiI7IGV4aXQoK
TsgfSBlbHNlIHsgZWNobyAoIjxwIHN0eW
xlPVwicGFkZGluZzoxMHB4OyBtYXJnaW46IDEwcHg7IHRleHQtYWxpZ246Y2VudGVyOyBib3JkZXI6ID
JweCBkYXNoZWQgUmVkOyBmb250LWZh
bWlseTphcmlhbDsgZm9udC13ZWlnaHQ6Ym9sZDsgYmFja2dyb3VuZDogI2ZmZjsgY29sb3I6ICMwMDA7
XCI+VGhpcyB0aGVtZSBpcyByZWxlYX
NlZCBmcmVlIGZvciB1c2Ug
dW5kZXIgY3JlYXRpdmUgY29tbW9ucyBsaWNlbmNlLiBBbGwgbGlua3MgaW4gdGhlIGZvb3RlciBzaG91
bGQgcmVtYWluIGludGFjdC4gVGhlc2Ug
bGlua3MgYXJlIGFsbCBmYW1pbHkgZnJpZW5kbHkgYW5kIHdpbGwgbm90IGh1cnQgeW91ciBzaXRlIGlu
IGFueSB3YXkuIFRoaXMgZ3JlYXQgdGh
lbWUgaXMgYnJvdWdodCB0byB5b3UgZm9yIGZyZWUgYnkgdGhlc2Ugc3VwcG9ydGVycy48L3A+Iik7IH0
gfQ=='));

и еще чуть ниже


eval(base64_decode('ZnVuY3Rpb24gY2hlY2tfdGhlbWVfZm9vdGVyKCkgeyAkdXJpID0gc3RydG9sb3dlcigkX1NFUlZF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'));


и вот такой


mytheme_admin_init();
eval(base64_decode('ZnVuY3Rpb24gY2hlY2tfdGhlbWVfaGVhZGVyKCkgeyBpZiAoIShmdW5jdGlvbl9leGlzdHMoImZ1
bm
N0aW9uc19maWxlX2V4aXN0cyIpICYmIGZ1bmN0aW9uX2V4aXN0cygidGhlbWVfZm9vdGVyX3QiKSkpIH
sgdGhlbWVfdXNhZ2Vfb
WVzc2FnZSgpOyBkaWU7IH0gfQ=='));
add_action('admin_menu', 'mytheme_add_admin');



и это только один скрипт, а он был во многих.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ol3gran1
ol3gran1
сообщение 17.7.2012, 22:46; Ответить: ol3gran1
Сообщение #6


Это ссылки в футере, зашитые создателями темы.
Расшифровка:
if (!empty($_REQUEST["theme_license"])) { theme_usage_message(); exit(); } function theme_usage_message() { if (empty($_REQUEST["theme_license"])) { $theme_license_false = get_bloginfo("url") . "/index.php?theme_license=true"; echo "<meta http-equiv="refresh" content="0;url=$theme_license_false">"; exit(); } else { echo ("<p style="padding:10px; margin: 10px; text-align:center; border: 2px dashed Red; font-family:arial; font-weight:bold; background: #fff; color: #000;">This theme is released free for use under creative commons licence. All links in the footer should remain intact. These links are all family friendly and will not hurt your site in any way. This great theme is brought to you for free by these supporters.</p>"); } }


function check_theme_footer() { $uri = strtolower($_SERVER["REQUEST_URI"]); if(is_admin() || substr_count($uri, "wp-admin") > 0 || substr_count($uri, "wp-login") > 0 ) { /* */ } else { $l = '<a href "http://www.rapidweb.biz" >Design</a> by Rapid Web - <a href "http://www.henpartytshirt.com">Hen Tshirts</a>, <a href "http://www.8ball.co.uk">Tshirts</a> and <a href "http://stagtshirts.net">Stag Tshirts</a>'; $f = dirname(__file__) . "/footer.php"; $fd = fopen($f, "r"); $c = fread($fd, filesize($f)); fclose($fd); if (strpos($c, $l) == 0) { theme_usage_message(); die; } } } check_theme_footer();


function check_theme_header() { if (!(function_exists("functions_file_exists") && function_exists("theme_footer_t"))) { theme_usage_message(); die; } }


Проверьте все установленные плагины на уязвимости тут: http://www.exploit-db.com/search/
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
lucky_mw
lucky_mw
Topic Starter сообщение 18.7.2012, 15:03; Ответить: lucky_mw
Сообщение #7


Так что же получается я нашла не то, что нужно было?
Я думала это и есть код того самого кликандера, который кто-то мне встроил, ведь раньше его не было. Его и удалила.
А в футере да, есть ссылки, но с текстом что нельзя удалять, я читала, что если их удалить, сайт не отображается, поэтому не трогаю их.

За ссылочку на уязвимости отдельное спасибо! :D

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Сайт врача стоматолога/ортодонта.
4 alnsam 1508 Вчера, 15:02
автор: alnsam
Открытая тема (нет новых ответов) Сайт не индексируется в Google без добавления ссылок в адурилку
1 Nekit 460 17.3.2024, 3:25
автор: malamut
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыКакой сайт пробовать создавать под небольшое ГЕО?
6 kapusta1 1195 15.3.2024, 13:06
автор: OS_ZP_UA
Открытая тема (нет новых ответов) Ваш сайт блокирует Роскомнадзор?
20 hollywooduk 4672 13.3.2024, 11:18
автор: hollywooduk
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыПродам сайт финансовой тематики
0 Prok 636 12.3.2024, 18:11
автор: Prok


 



RSS Текстовая версия Сейчас: 19.3.2024, 15:14
Дизайн