Помощь «Проблемы и решения» Спросите, и отвечено будет вам.

BadMotherFucker · 7 Дек 2010

Здравствуйте.
В этом топике оставляйте запросы на раскодирование шаблонов(удаление копирайта из footer.php и т.п)/плагинов и всего-всего что связанно с Wordpress.

Правила довольно просты:
- Для кода обязательно использовать тег [CODE ] (без пробела);
- Благодарности только кнопкой “Мне нравится”.

Пример оформления запроса:

Здравствуйте. Помогите расшифровать:

Код:

<?php $_F=__FILE__;$_X='Pz48IS0tIGIydHQybSBTdDFydHMgLS0+DQogICAgPGQ0diA0ZD0iYjJ0dDJtLXQ0bDUiPjwvZDR2Pg0KCTxkNHYgNGQ9ImIydHQybS0yM3QiPg0KICAgICAgICA8ZDR2IDRkPSJiMnR0Mm0iIGNsMXNzPSJ3cjFwIj4NCiAgICANCiAgICAgICAgICAgIDwzbCA0ZD0iZjUxdDNyNXMtdDFicyIgY2wxc3M9ImNsNTFyZjR4Ij4NCiAgICAgICAgICAgIA0KICAgICAgICAgICAgICAgIDxsND48MSBocjVmPSIjdDFiLTYiPlIxbmQybTwvMT48L2w0PiAgICAgICAgICAgICAgICANCiAgICAgICAgICAgICAgICA8bDQ+PDEgaHI1Zj0iI3QxYi1hIj5NMnN0IFAycDNsMXI8LzEDQoNCjwvYjJkeT4NCjwvaHRtbD4=';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=='));?>

Заранее большое спасибо.

Также советую ознакомиться с правилами раздела и форума:
Для просмотра ссылки Войди или Зарегистрируйся

За несоблюдение правил бан на месяц.

Clarus · 28 Фев 2017

Айболит больше по шелам да бэкдорам...

bonny · 28 Фев 2017

Странно, что проблема недавняя, но судя по поиску - зацепила многих - но в силу того, что ее трудно увидеть - она не проявляется в обычном выводе, нет массового потока обращений что делать...

Clarus · 28 Фев 2017

Я бы обратил внимание, в первую очередь, на недавно изменённые\залитые файлы.
Провёл бы поиск по всем файлам (не только темы) на предмет обнаружения текста, ссылки, стиля слоя (в котором ссылка), base64, md5...

bonny · 28 Фев 2017

Спасло восставновление из архива от 23 февраля. Проблема диагостирована 26 февраля - а между этими датами я ничего не делал. Сейчас буду заливать антишелл

bonny · 28 Фев 2017

Для просмотра ссылки Войди или Зарегистрируйся
Отображает строки 0 - 1 ( 2 всего, Запрос занял 0.0331 сек.)
Для просмотра ссылки Войди или Зарегистрируйся *
FROM `srv39090_crea`.`wp_options`
WHERE (
CONVERT( `option_id`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%Want%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `option_name`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%Want%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `option_value`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%Want%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `autoload`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%Want%'
)
Для просмотра ссылки Войди или Зарегистрируйся (
CONVERT( `option_id`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%create%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `option_name`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%create%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `option_value`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%create%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `autoload`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%create%'
)
Для просмотра ссылки Войди или Зарегистрируйся (
CONVERT( `option_id`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%site%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `option_name`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%site%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `option_value`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%site%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `autoload`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%site%'
)
LIMIT 0 , 30

Где то здесь зарыта собака

Это следующие слова
Отображает строки 0 - 1 ( 2 всего, Запрос занял 0.0503 сек.)
Для просмотра ссылки Войди или Зарегистрируйся *
FROM `srv39090_crea`.`wp_options`
WHERE (
CONVERT( `option_id`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%Find%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `option_name`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%Find%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `option_value`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%Find%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `autoload`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%Find%'
)
Для просмотра ссылки Войди или Зарегистрируйся (
CONVERT( `option_id`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%Free%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `option_name`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%Free%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `option_value`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%Free%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `autoload`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%Free%'
)
Для просмотра ссылки Войди или Зарегистрируйся (
CONVERT( `option_id`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%WordPress%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `option_name`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%WordPress%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `option_value`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%WordPress%'
Для просмотра ссылки Войди или Зарегистрируйся CONVERT( `autoload`
USING utf8 ) Для просмотра ссылки Войди или Зарегистрируйся '%WordPress%'
)
LIMIT 0 , 30

Clarus · 28 Фев 2017

Я бы с другой стороны копал, база же сама себя не вызовет :-]

По option_name лопатить, что ли...

bonny · 28 Фев 2017

Сейчас буду копать дальше. А в каком формате должна быть карта в
AntiShell и как ее анализировать?

Clarus · 28 Фев 2017

bonny написал(а):
Сейчас буду копать дальше. А в каком формате должна быть карта в
AntiShell и как ее анализировать?

В своём формате. Её не нужно анализировать, это делает скрипт, его нужно просто запускать по cron'у и ждать отчётов об изменении (добавлен\удален\изменен) файлов на мыло.
Если грамотно настроить исключения, ложных срабатываний почти не будет.

bonny · 28 Фев 2017

Так он говорит - удалил один файл - но не пишет какой

bonny · 28 Фев 2017

Вот сейчас откатился в архив на 23 февраля - нет проблем.
Добавляю статью на сайт - тут же проявляется эта хрень

Помощь «Проблемы и решения» Спросите, и отвечено будет вам.

BadMotherFucker

Модератор (Core Team)

Clarus

Постоялец

bonny

Мой дом здесь!

Clarus

Постоялец

bonny

Мой дом здесь!

bonny

Мой дом здесь!

Clarus

Постоялец

bonny

Мой дом здесь!

Clarus

Постоялец

bonny

Мой дом здесь!

bonny

Мой дом здесь!