Перейти к содержимому

MOAB

Помогите найти вирус


  • Войдите, чтобы ответить
Сообщений в теме: 16

#1 Piratseo

Piratseo

    Продвинутый

  • Участник
  • PipPipPip
  • 276 сообщений
11

Отправлено 14 Июнь 2014 - 22:30

Добрый день. Помогите пожалуйста на сайте http://www.postroimdomik.com/ найти вирус

Хотел сайт добавить сюда directadvert.ru а мне написали что не примут сайт потому что на сайте вирус. Установил себе плагин Theme Authenticity Checker (TAC)

Плагин нашел вот такое


Encrypted Code Found!
http://www.postroimdomik.com/wp-admin/theme-editor.php?file=/themes/sahifa/timthumb.php&theme=Sahifa&dir=theme wp-content/themes/sahifa/timthumb.php

Line 219: "base64 encoded red image that says 'no hotlin..."
Line 221: "base64_decode("R0lGODlhUAAMAIAAAP8AAP///yH5BA..."
http://www.postroimdomik.com/wp-admin/theme-editor.php?file=/themes/sahifa/footer%20-%20%D0%BA%D0%BE%D0%BF%D0%B8%D1%8F.php&theme=Sahifa&dir=theme wp-content/themes/sahifa/footer - копия.php

Line 25: "base64_decode($xml);?>..."
http://www.postroimdomik.com/wp-admin/theme-editor.php?file=/themes/sahifa/footer.php&theme=Sahifa&dir=theme wp-content/themes/sahifa/footer.php

Line 25: "base64_decode($xml);?>..."



Открыл файл timthumb.php

Нашел эту строку
if(BLOCK_EXTERNAL_LEECHERS && array_key_exists('HTTP_REFERER', $_SERVER) && (! preg_match('/^https?:\/\/(?:www\.)?' . $this->myHost . '(?:$|\/)/i', $_SERVER['HTTP_REFERER']))){
// base64 encoded red image that says 'no hotlinkers'
// nothing to worry about! :)
$imgData = base64_decode("R0lGODlhUAAMAIAAAP8AAP///yH5BAAHAP8ALAAAAABQAAwAAAJpjI+py+0Po5y0OgAMjjv01YUZ\nOGplhWXfNa6JCLnWkXplrcBmW+spbwvaVr/cDyg7IoFC2KbYVC2NQ5MQ4ZNao9Ynzjl9ScNYpneb\nDULB3RP6JuPuaGfuuV4fumf8PuvqFyhYtjdoeFgAADs=");

Это вирус???

#2 No Name

No Name

    No Rank

  • Основатель
  • PipPipPipPipPip
  • 2 688 сообщений
1 529
  • ИзДефолтситевск

Отправлено 14 Июнь 2014 - 23:34

Картинка какая-то.
Clever never made no one rich, it doesn't appeal to the teenage market.

#3 Piratseo

Piratseo

    Продвинутый

  • Участник
  • PipPipPip
  • 276 сообщений
11

TC Отправлено 14 Июнь 2014 - 23:35

Просмотр сообщенияNo Name (14 Июнь 2014 - 23:34) писал:

Картинка какая-то.

Как ее найти?

#4 No Name

No Name

    No Rank

  • Основатель
  • PipPipPipPipPip
  • 2 688 сообщений
1 529
  • ИзДефолтситевск

Отправлено 14 Июнь 2014 - 23:47

Нет, этим кодом картинка закодирована. Вот эта.

Прикрепленные файлы

  • Прикрепленный файл  base64.gif   149байт   24 Количество загрузок:

Clever never made no one rich, it doesn't appeal to the teenage market.

#5 Piratseo

Piratseo

    Продвинутый

  • Участник
  • PipPipPip
  • 276 сообщений
11

TC Отправлено 15 Июнь 2014 - 00:02

Так как же этот вирус найти ?!

#6 No Name

No Name

    No Rank

  • Основатель
  • PipPipPipPipPip
  • 2 688 сообщений
1 529
  • ИзДефолтситевск

Отправлено 15 Июнь 2014 - 00:17

Ну не факт, что он там есть.
Clever never made no one rich, it doesn't appeal to the teenage market.

#7 =kvv=

=kvv=

    Клетус "Делрой" Спаклер

  • Редактор DMOZ
  • PipPipPip
  • 456 сообщений
253

Отправлено 15 Июнь 2014 - 07:53

В оригинальном timthumb.php не нашел этого фрагмента кода.

base64_decode

Есть сайт с тИЦ и Pr? Продавай ссылки, получай деньги. Нет тИЦ, но есть посещаемость? Тогда тебе сюда.

#8 Fitsh

Fitsh

    Юзер

  • Участник
  • PipPipPipPipPip
  • 1 733 сообщений
1 393

Отправлено 15 Июнь 2014 - 09:24

Откатывать бекап, вот как

#9 Piratseo

Piratseo

    Продвинутый

  • Участник
  • PipPipPip
  • 276 сообщений
11

TC Отправлено 15 Июнь 2014 - 20:57

не поможет..Я так понял что вирус на сайте появился давно, а бекапы только несть за дней 5 (((

Просмотр сообщения=kvv= (15 Июнь 2014 - 07:53) писал:

В оригинальном timthumb.php не нашел этого фрагмента кода.

base64_decode


А где оригинальный файл взяли?

#10 Fitsh

Fitsh

    Юзер

  • Участник
  • PipPipPipPipPip
  • 1 733 сообщений
1 393

Отправлено 15 Июнь 2014 - 21:08

Тогда выкуривать и быть готовым, что от 500-3000 файлов могут быть запросто заражены

#11 Piratseo

Piratseo

    Продвинутый

  • Участник
  • PipPipPip
  • 276 сообщений
11

TC Отправлено 15 Июнь 2014 - 21:48

Просмотр сообщенияFitsh (15 Июнь 2014 - 21:08) писал:

Тогда выкуривать и быть готовым, что от 500-3000 файлов могут быть запросто заражены

скачать весь сайт на комп и антивирусом его?

#12 Fitsh

Fitsh

    Юзер

  • Участник
  • PipPipPipPipPip
  • 1 733 сообщений
1 393

Отправлено 15 Июнь 2014 - 21:57

Не поможет.
Антивирус только сайт доломает.

Тут либо к специалистам, либо как-то заново инсталлировать сайт как-то

#13 Piratseo

Piratseo

    Продвинутый

  • Участник
  • PipPipPip
  • 276 сообщений
11

TC Отправлено 15 Июнь 2014 - 22:43

А если взять все картинки которые есть на сайте и антивирусов их ?

#14 Larme

Larme

    Бывалый

  • Участник
  • PipPip
  • 76 сообщений
84

Отправлено 15 Июнь 2014 - 23:57

а может вытащить базу, поставить на локалку, поставить на локалку чистый движок и шкуру с сайта, и ковырять, потом перезалить?
чаще всего зловреды находятся в шкуре, от туда и размножаются.

#15 Serg_pnz

Serg_pnz

    Hanswurst

  • Старая гвардия
  • PipPipPipPipPip
  • 2 098 сообщений
1 734
  • Из*** гонец? Гонец из Пензы?... Нет – реальный гонец!

Отправлено 16 Июнь 2014 - 07:52

KIS не пускает на сайт, ругается на галерею в том числе
http://www.postroimdomik.com/wp-content/plugins/nextgen-gallery/products/photocrati_nextgen/modules/ajax/static/ngg_store.js?ver=3.9.1

Отключи ее для начала и попап там у тебя есть - его тоже, не смотря на всю его "нужность".

Вот тут надо посмотреть блокнотом
http://www.postroimdomik.com/wp-content/plugins/nextgen-gallery/products/photocrati_nextgen/modules/nextgen_gallery_display/static/nextgen_gallery_related_images.css?ver=3.9.1

Не все кальсоны с оторванными пуговицами – брюки. © Serg_pnz

#16 Lord-Leon

Lord-Leon

    Бывалый

  • Участник
  • PipPip
  • 134 сообщений
94

Отправлено 16 Июнь 2014 - 10:51

Piratseo, здравствуйте.
Попробуйте прогнать сайт через этот скрипт.
Конструирование и проектирование пром.оборудования | Промышленный дизайн: корпуса для рэа

#17 Fitsh

Fitsh

    Юзер

  • Участник
  • PipPipPipPipPip
  • 1 733 сообщений
1 393

Отправлено 16 Июнь 2014 - 12:59

Просмотр сообщенияPiratseo (15 Июнь 2014 - 22:43) писал:

А если взять все картинки которые есть на сайте и антивирусов их ?

Можно, но ведь кто-то их как-то заразил, и это что-то нужно искать в первую очередь.
А потом все остальное


Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных



© 2020 SMO&SEO форум «WEBIMHO» — продвижение и создание сайтов, интернет-маркетинг

По вопросам рекламы на форуме и цены на рекламу
Все материалы SEO форума разрешены к копированию только с установкой гиперактивной ссылки на webimho.ru,
тем, кто этого не сделает, мы оторвем руки и ноги и поменяем местами,
а когда выйдем из тюрьмы, опять оторвем и опять поменяем.


Россия, г. Москва

Мы в соцсетях: twitter | вконтакте | facebook | livejournal