Форум больше не используется. Присоединяйтесь к каналу #community-ru в Slack for TYPO3 community |
25.10.2012, 15:40 | #1 |
Senior Member
|
Помогите что за вирус?
недавно на всех typo3 сайтах на одном из моих серверов, во всех php файлах обнаружил добавленным такой код. Вот пытаюсь расшифровать, никак не выходит, помогите пожалуйста.
PHP код:
PHP код:
__________________
Я чертовски люблю слушать ложь, смотря в глаза... особенно когда знаю правду... И никогда не вру людям,которых называю друзьями... |
25.10.2012, 18:49 | #2 |
Guest
Сообщений: n/a
|
Возможно Вы поставили что то левое - или кто-то взломал-поиграл...
Что добавляет этот код - если это php - то нужно искать файл, который перезаписывает файлы... У меня был случай - после работы по FTP во всех js-файлах был добавлен уродский код... Из-за него антивирусы блокировали сайт. Он добавлялся из одного места и постепенно при запросе новых страниц, распространился на весь сайт - во все js скрипты... Лечил очень просто... Заменил все что *.js на оригинал из скачанного с сайта typo3.org Т.к. у Вас php- то скорее всего кто-то уже знает пароль к FTP... |
25.10.2012, 18:51 | #3 |
Guest
Сообщений: n/a
|
Сюдя по тому, что он выполняет функцию eval - значит это какая-то команда.
Можно попробовать вместе расшифровать - если показать все что есть по вирусу... |
25.10.2012, 20:08 | #4 |
Senior Member
|
А что еще из ПО у вас стоит на сайтах?
У нас один раз похожую заразу залили через дыру в OpenX. В любом случае рецепт - сменить все пароли. Заменить файлы ядра на оригинальные. Из экстов - либо вручную, либо тоже обновить через репозиторий (если все их него). |
25.10.2012, 23:00 | #5 | |
Senior Member
|
Цитата:
__________________
Я чертовски люблю слушать ложь, смотря в глаза... особенно когда знаю правду... И никогда не вру людям,которых называю друзьями... |
|
25.10.2012, 23:04 | #6 | |
Senior Member
|
Цитата:
ну так это и есть всё что есть, в каждом файле такое, свой md5 и свой массив.Но функция одна и та же по видимому. PHP код:
__________________
Я чертовски люблю слушать ложь, смотря в глаза... особенно когда знаю правду... И никогда не вру людям,которых называю друзьями... |
|
25.10.2012, 23:11 | #7 |
Senior Member
|
Вроде никаких сторонних скриптов нет...Стоит ещё wordpress на серваке.Интересно что его даже не затронуло,там этого кода ни в каких файлах нет.Почему-то именно typo3.
__________________
Я чертовски люблю слушать ложь, смотря в глаза... особенно когда знаю правду... И никогда не вру людям,которых называю друзьями... Последний раз редактировалось semender; 25.10.2012 в 23:25 |
25.10.2012, 23:39 | #8 |
Guest
Сообщений: n/a
|
Не пойму, откуда Вы взяли function lambda($v)
И откуда create_function? У меня получилось только eval(gzinflate(base64_decode($v))); Мурашки по коже... |
25.10.2012, 23:43 | #9 |
Senior Member
|
Эт я просто написал, create_function — Создаёт анонимную (лямбда) функцию, чтоб легче подставить можно было для выполнения.Скопировал с кода, когда тэстил.
__________________
Я чертовски люблю слушать ложь, смотря в глаза... особенно когда знаю правду... И никогда не вру людям,которых называю друзьями... |
25.10.2012, 23:50 | #10 |
Guest
Сообщений: n/a
|
Каково значение переменной $v?
eval(gzinflate(base64_decode($v))); - что сюда передается? Последний раз редактировалось Ивано; 26.10.2012 в 00:10 |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Срочно помогите кто может, что за ошибка? | semender | Общие вопросы | 0 | 05.05.2011 20:05 |
Помогите определиться с cms (игровой сайт) | zverushka | Вопросы выбора CMS | 1 | 16.11.2009 19:12 |
Не пойму что с кодировкой или с локализацией | maaboo | Общие вопросы | 3 | 22.07.2008 00:51 |
Освоение Typo3 от начала до конца, всё разжёвано :) | premier | FAQ (Часто задаваемые вопросы) | 69 | 19.04.2007 16:47 |