Има ли вирус в този сайт или няма
- Автор rak
- Начална дата
cToKaTa
Member
От: Има ли вирус в този сайт или няма
http://www.tareeinternet.com/scripts/decrypt.php
В този сайт можеш да декриптираш точно това , което ти трябва - направих го - вирус е !
http://www.tareeinternet.com/scripts/decrypt.php
В този сайт можеш да декриптираш точно това , което ти трябва - направих го - вирус е !
От: Има ли вирус в този сайт или няма
Най-модерно е в момента сайтовете на уърдпрес да се пробиват или през js папката на уърдпрес или през "любимият" ми плъгин на готините теми thimthumb. Има редица теми за защита на системните папки на уърдпрес, дори самият аз подготвям една инсталация с вградени защити, че не ми се прави едно и също всеки път.
Всъщност не е вирус, а брандиране на безплатна тема: p a s t e b i n.com/MPzmEqiv
Най-модерно е в момента сайтовете на уърдпрес да се пробиват или през js папката на уърдпрес или през "любимият" ми плъгин на готините теми thimthumb. Има редица теми за защита на системните папки на уърдпрес, дори самият аз подготвям една инсталация с вградени защити, че не ми се прави едно и също всеки път.
rak
Active Member
От: От: Има ли вирус в този сайт или няма
Темата не е безплатна, платих я преди няколко седмици.
nasko_f
New Member
От: Има ли вирус в този сайт или няма
За по голяма защита можеш да погледнеш тук http://www.predpriemach.com/showthread.php?t=34306
След това си пусни cloudflare. И wp-config.php папката я премести извън public_html папката.
За по голяма защита можеш да погледнеш тук http://www.predpriemach.com/showthread.php?t=34306
След това си пусни cloudflare. И wp-config.php папката я премести извън public_html папката.
nasko_f
New Member
От: Има ли вирус в този сайт или няма
Нищо не декриптира! Може ли да видя твоя резултат, от декриптирането?
А ето и още един пропищял от същия скрипт: http://sinhvienit.net/@forum/threads/203349-van-de-vi-virus-or-malware/
На виетнамски е но с преводача може да се разбере г/д.
Нищо не декриптира! Може ли да видя твоя резултат, от декриптирането?
А ето и още един пропищял от същия скрипт: http://sinhvienit.net/@forum/threads/203349-van-de-vi-virus-or-malware/
На виетнамски е но с преводача може да се разбере г/д.
Последно редактирано:
s1yf0x
Well-Known Member
От: Има ли вирус в този сайт или няма
Недей да губиш време с преинсталации на всевъзможни антивирусни програми, а провери как се е появил този код в header.php тъй като е вирус. Изобщо всичко между такъв тип етикети #c3284d# и #/c3284d# е вирус. Самите етикети са различни - т.е. цифрите са различни но в масовия случай са "c" 4 цифри и "d". Използват се от perl скриптове за маркиране на заразени файлове. Скрипта прави проверка дали тези етикети ги има и ако има такива подминава файла, но ако ги няма значи файла не е заразен и му лепва някой base64_decode
Недей да губиш време с преинсталации на всевъзможни антивирусни програми, а провери как се е появил този код в header.php тъй като е вирус. Изобщо всичко между такъв тип етикети #c3284d# и #/c3284d# е вирус. Самите етикети са различни - т.е. цифрите са различни но в масовия случай са "c" 4 цифри и "d". Използват се от perl скриптове за маркиране на заразени файлове. Скрипта прави проверка дали тези етикети ги има и ако има такива подминава файла, но ако ги няма значи файла не е заразен и му лепва някой base64_decode
s1yf0x
Well-Known Member
От: Има ли вирус в този сайт или няма
Ако намерите такъв файл в сайта си, с подобни етикети може админите на хостинга да го проверят с командата stat и да извадят GET/POST заявките от сайтовете в акаутна от датата и часа на Change атрибута или да се проверят FTP логовете по това време.
Ако намерите такъв файл в сайта си, с подобни етикети може админите на хостинга да го проверят с командата stat и да извадят GET/POST заявките от сайтовете в акаутна от датата и часа на Change атрибута или да се проверят FTP логовете по това време.
ktomov
Premium
Re: От: Има ли вирус в този сайт или няма
Чисто теоретично, какъв е шанса дупката да не е в самата инсталация, а да го отнасят голяма част от клиентите на хостинга заради техен проблем?
Чисто теоретично, какъв е шанса дупката да не е в самата инсталация, а да го отнасят голяма част от клиентите на хостинга заради техен проблем?
s1yf0x
Well-Known Member
От: Re: От: Има ли вирус в този сайт или няма
Не е теоритично, имало е и такива случаи. КАчва се php shell на един акаунт и после чрез followsymlink exploit-а на cPanel се пляска по всички акаунти на сървъра. Затова и хостинг доставчиците започнаха да засичат първо php shell-овете и да ги блокират още при първата заявка, а вместо Options FollowSymlink препоръчват използването на SymLinksIfOwnerMatch . Някой хостинг доставчици използват и различна linux дистрибуция от стандартните RHEL, което допълнително отежнява работата на атакуващия.
Чисто теоретично, какъв е шанса дупката да не е в самата инсталация, а да го отнасят голяма част от клиентите на хостинга заради техен проблем?
Не е теоритично, имало е и такива случаи. КАчва се php shell на един акаунт и после чрез followsymlink exploit-а на cPanel се пляска по всички акаунти на сървъра. Затова и хостинг доставчиците започнаха да засичат първо php shell-овете и да ги блокират още при първата заявка, а вместо Options FollowSymlink препоръчват използването на SymLinksIfOwnerMatch . Някой хостинг доставчици използват и различна linux дистрибуция от стандартните RHEL, което допълнително отежнява работата на атакуващия.
SEO_megamaster
New Member
От: Има ли вирус в този сайт или няма
като спец ви гарантирам че няма аз го проверих с над 30 противовирусни програми и нито една не издаде и стон
като спец ви гарантирам че няма аз го проверих с над 30 противовирусни програми и нито една не издаде и стон
rak
Active Member
От: Има ли вирус в този сайт или няма
Сега е чист, надявам се, че няма повече да се заразява. Благодаря на всички, които се включиха. Чудна работа, това нещо го засичаше единствено аваст, нищо друго не реагира. В същия хостинг, в същата директория имам два други wp сайта при тях никакви проблеми, явно тоя сайт е попаднал в някакъв хакерски списък и постоянно го атакуват в последните месеци.
Сега е чист, надявам се, че няма повече да се заразява. Благодаря на всички, които се включиха. Чудна работа, това нещо го засичаше единствено аваст, нищо друго не реагира. В същия хостинг, в същата директория имам два други wp сайта при тях никакви проблеми, явно тоя сайт е попаднал в някакъв хакерски списък и постоянно го атакуват в последните месеци.
contra
Well-Known Member
От: Има ли вирус в този сайт или няма
Търси уеб хакове с антивирусни програми...
Глупав.
Търси уеб хакове с антивирусни програми...
nasko_f
New Member
От: Има ли вирус в този сайт или няма
Спец на какво? Казаха вече че зловредния скрипт е махнат. Какво проверяваш с тея антивирусни?
Спец на какво? Казаха вече че зловредния скрипт е махнат. Какво проверяваш с тея антивирусни?
ktomov
Premium
Re: От: Има ли вирус в този сайт или няма
Не те знам от де го взе тоя код и кво си декриптирал, ама я се пробвай да декриптираш зловредния код по-горе в този тул http://www.tareeinternet.com/scripts/decrypt.php като замениш echo и с eval.
Не те знам от де го взе тоя код и кво си декриптирал, ама я се пробвай да декриптираш зловредния код по-горе в този тул http://www.tareeinternet.com/scripts/decrypt.php като замениш echo и с eval.
nasko_f
New Member
От: Re: От: Има ли вирус в този сайт или няма
Мда, предходната програма за декодиране ми е изкарала съдържанието на ифрейм инжекцията директно. Ето го кода, не е точно вирус, но създава iframe с произволно съдържание. Мога да дам съвети за предпазване от js инжекции и писане в js папката на wordpress. Ето я гадината:
Мда, предходната програма за декодиране ми е изкарала съдържанието на ифрейм инжекцията директно. Ето го кода, не е точно вирус, но създава iframe с произволно съдържание. Мога да дам съвети за предпазване от js инжекции и писане в js папката на wordpress. Ето я гадината:
nasko_f
New Member
От: От: Re: От: Има ли вирус в този сайт или няма
Аваст го е засичала за вирус понеже е декриптирала кода, и е засякла този сайт h t t p://onmouseup.info/stats.php Само тя ли декриптира base64? Явно върши добре работа.
Аваст го е засичала за вирус понеже е декриптирала кода, и е засякла този сайт h t t p://onmouseup.info/stats.php Само тя ли декриптира base64? Явно върши добре работа.
rak
Active Member
От: От: Re: От: Има ли вирус в този сайт или няма
Само Аваст реагира. Махнах го тогава и сложих Нортън интернет секюрити - не реагира въобще.
Само Аваст реагира. Махнах го тогава и сложих Нортън интернет секюрити - не реагира въобще.