помогите найти ошибку в скрипте

reklamist_dv · 03.07.2007, 02:48

Помогите найти ошибку в скрипте

В общем хостинг закрыл доступ к нашему сайту ссылаясь на рассылку незапрошенной кореспонденции, хотя мы некому и нечего не рассылали.
Хостинг уточнил что:

Нами были зафиксированы массовые рассылки незапрошенной
корреспонденции с Вашей виртуальной площадки. Рассылка
совершалась с помощью PHP-скрипта, размещенного в
директории домена foma.su. Пример рассылаемого
сообщения и access_log приведены во вложении.

По этой причине мы вынуждены отключить доступа к Вашему
сайту по протоколу HTTP и услугу PHP. Вам незамедлительно
следует привлечь опытного разработчика для анализа и
устранения возможных уязвимостей.

Но я несилён в скриптах,

и был-бы благодарен если кто нибудь подсказал как устранить эту ошибку

Received: (qmail 11898 invoked by uid 2000); 1 May 2007 14:59:44 -0000
Date: 1 May 2007 14:59:44 -0000
To: marchiori@fucapi.br
Subject: Voce Recebeu Um Cartao
From: Yahoo cartoes <cartoes@yahoo.com.br>
Reply-To: Yahoo cartoes <omafiosobt@hotmail.com>
Message-ID: < TheSystem@foma.su>
X-Mailer: PHP v5.2.1
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: 8bit

<HTML><HEAD><TITLE></TITLE>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2900.2180" name=GENERATOR></HEAD>
<BODY>
<CENTER><FONT face=Arial size=2 pointsize="2">
<TABLE width=343 border=0>
<TBODY>

<TR>
<TD width=333 bgColor=#a5e73e>
<DIV align=center><B>Yahoo Cartхes</B></DIV></TD></TR>
<TR>
<TD vAlign=top align=left height=157>
<P align=left>Olб,<BR><BR>
<CENTER>Receba este Yahoo Cartхes, que <B>ALGUЙM QUE TE ADMIRA</B>
mandou:<BR>
<a href="http://cartoesyahoo.iespana.es/cartao2879812">http://www.yahoo.com.br/carto<font face="Arial">es/cartao2879812</font></a><BR>
<BR>
Um enorme abraзo da equipe Yahoo
Cartхes</CENTER>

<P></P>
<P></P><FONT face=Verdana size=1 pointsize="2">OBS: Este cartгo tem
validade de apenas 15 dias, entгo nгo esqueзa de ler essa pequena e
valiosa mensagem.</FONT> </TD></TR>
<TR>
<TD bgColor=#a5e73e>
<DIV align=center>©2007
Yahoo</DIV></TD></TR></TBODY></TABLE></FONT></CENTER></BODY></HTML>

dixmod · 08.07.2007, 12:37

Если честно, то никакого скрипта в выше приведённом я не вижу, может кто то тайно от вас скопировал к вам на FTP файл .php с движком рассылки сделал своё тёмное дело и затем его удалил...

pahanst · 10.07.2007, 14:32

Цитата:

Сообщение от dixmod


	Если честно, то никакого скрипта в выше приведённом я не вижу, может кто то тайно от вас скопировал к вам на FTP файл .php с движком рассылки сделал своё тёмное дело и затем его удалил...

Возможно,но он бы должен был заметить...тем более хостер заметил бы несанкционированный доступ

reklamist_dv · 24.07.2007, 07:02

Извенияюсь за своё незнание

и скидываю сайт целиком без фотографий (GIF, JPEG)

размер 2.3 мб
http://ifolder.ru/2769584

Добавлено через 47 минут
Обратился к платному специолисту,
вот что он ответил:

Я проверил отчет по вашему форуму - он точно дырявый. Один из
фрагментов кода перенаправляет на испанский робот рассылок
"открыток" (на деле-вирусов и спама):

<a
href="http://cartoesyahoo.iespana.es/cartao2879812">http://www.yahoo.com.br/carto>

Что инмересно - код вируса внедряется как php-подпрограмма на
cтраничке вашего сайта http://www.birmag.foma.su/index.php А дальше -
все просто - перенаправление на спам-робота идет процедурой GET.POST
со всех страниц, на которые есть ссылки с главной. То есть вирус,
скорее всего, прикрепляется к любой ссылке с вашего сайта и
самостоятельно открывает дополнительное окно на стороне клиента.
Вас не пустит ни один хостинг с таким "довеском".

после этого ответа я удалил поддомен.
(хотя я сомневаюсь что это поможет)
сейчас хочу попробовать востановить работу сайта.

reklamist_dv · 26.07.2007, 09:32

вот есть ещё лог фаил его прислал хостинг

http://ifolder.ru/2794648

K7778 · 10.07.2007, 08:37

Приведенная вами последовательность тегов представляет собой простое разбиение. Другими словами это HTML и исполняемых самостоятельно скриптов не содержит.
Если вы хотите сказать что это все что у вас на сайте ( ;))) )то рассылка это не ваших рук дело.

Покажите скрипт то что вы показываете это не он.
Хотя если вы не разбираетесь в коде то Вам придеться скидывать весь сайт.
На каком движке сделан Ваш сайт ?

*ana* · 10.07.2007, 09:44

Цитата:

Сообщение от K7778


	Приведенная вами последовательность тегов представляет собой простое разбиение.

Скажем проще, это текст разосланного письма.
А скрипта нет, может его и не было?

K7778 · 06.08.2007, 18:10

Хорошо скачаю и посмотрю.
Если смогу конечно помогу.

03.07.2007, 02:48	#1
reklamist_dv Новичок Пол: Регистрация: 12.10.2006 Сообщений: 8 Репутация: 2	помогите найти ошибку в скрипте Помогите найти ошибку в скрипте В общем хостинг закрыл доступ к нашему сайту ссылаясь на рассылку незапрошенной кореспонденции, хотя мы некому и нечего не рассылали. Хостинг уточнил что: Нами были зафиксированы массовые рассылки незапрошенной корреспонденции с Вашей виртуальной площадки. Рассылка совершалась с помощью PHP-скрипта, размещенного в директории домена foma.su. Пример рассылаемого сообщения и access_log приведены во вложении. По этой причине мы вынуждены отключить доступа к Вашему сайту по протоколу HTTP и услугу PHP. Вам незамедлительно следует привлечь опытного разработчика для анализа и устранения возможных уязвимостей. Но я несилён в скриптах, и был-бы благодарен если кто нибудь подсказал как устранить эту ошибку Received: (qmail 11898 invoked by uid 2000); 1 May 2007 14:59:44 -0000 Date: 1 May 2007 14:59:44 -0000 To: marchiori@fucapi.br Subject: Voce Recebeu Um Cartao From: Yahoo cartoes <cartoes@yahoo.com.br> Reply-To: Yahoo cartoes <omafiosobt@hotmail.com> Message-ID: < TheSystem@foma.su> X-Mailer: PHP v5.2.1 Content-Type: text/html; charset=iso-8859-1 Content-Transfer-Encoding: 8bit <HTML><HEAD><TITLE></TITLE> <META http-equiv=Content-Type content="text/html; charset=iso-8859-1"> <META content="MSHTML 6.00.2900.2180" name=GENERATOR></HEAD> <BODY> <CENTER><FONT face=Arial size=2 pointsize="2"> <TABLE width=343 border=0> <TBODY> <TR> <TD width=333 bgColor=#a5e73e> <DIV align=center><B>Yahoo Cartхes</B></DIV></TD></TR> <TR> <TD vAlign=top align=left height=157> <P align=left>Olб,<BR><BR> <CENTER>Receba este Yahoo Cartхes, que <B>ALGUЙM QUE TE ADMIRA</B> mandou:<BR> <a href="http://cartoesyahoo.iespana.es/cartao2879812">http://www.yahoo.com.br/carto<font face="Arial">es/cartao2879812</font></a><BR> <BR> Um enorme abraзo da equipe Yahoo Cartхes</CENTER> <P></P> <P></P><FONT face=Verdana size=1 pointsize="2">OBS: Este cartгo tem validade de apenas 15 dias, entгo nгo esqueзa de ler essa pequena e valiosa mensagem.</FONT> </TD></TR> <TR> <TD bgColor=#a5e73e> <DIV align=center>©2007 Yahoo</DIV></TD></TR></TBODY></TABLE></FONT></CENTER></BODY></HTML> __________________ В каждой ошибке заложено семя будущего успеха!!! Последний раз редактировалось reklamist_dv; 06.07.2007 в 09:58..

08.07.2007, 12:37	#2
dixmod Неактивный пользователь Регистрация: 13.02.2007 Сообщений: 3 Репутация: 0	Ответ: помогите найти ошибку в скрипте Если честно, то никакого скрипта в выше приведённом я не вижу, может кто то тайно от вас скопировал к вам на FTP файл .php с движком рассылки сделал своё тёмное дело и затем его удалил...

24.07.2007, 07:02	#4
reklamist_dv Новичок Пол: Регистрация: 12.10.2006 Сообщений: 8 Репутация: 2	Ответ: помогите найти ошибку в скрипте Извенияюсь за своё незнание и скидываю сайт целиком без фотографий (GIF, JPEG) размер 2.3 мб http://ifolder.ru/2769584 *Добавлено через 47 минут* Обратился к платному специолисту, вот что он ответил: Я проверил отчет по вашему форуму - он точно дырявый. Один из фрагментов кода перенаправляет на испанский робот рассылок "открыток" (на деле-вирусов и спама): <a href="http://cartoesyahoo.iespana.es/cartao2879812">http://www.yahoo.com.br/carto> Что инмересно - код вируса внедряется как php-подпрограмма на cтраничке вашего сайта http://www.birmag.foma.su/index.php А дальше - все просто - перенаправление на спам-робота идет процедурой GET.POST со всех страниц, на которые есть ссылки с главной. То есть вирус, скорее всего, прикрепляется к любой ссылке с вашего сайта и самостоятельно открывает дополнительное окно на стороне клиента. Вас не пустит ни один хостинг с таким "довеском". после этого ответа я удалил поддомен. (хотя я сомневаюсь что это поможет) сейчас хочу попробовать востановить работу сайта. __________________ В каждой ошибке заложено семя будущего успеха!!! Последний раз редактировалось reklamist_dv; 24.07.2007 в 07:50.. Причина: Добавлено сообщение

26.07.2007, 09:32	#5
reklamist_dv Новичок Пол: Регистрация: 12.10.2006 Сообщений: 8 Репутация: 2	Ответ: помогите найти ошибку в скрипте вот есть ещё лог фаил его прислал хостинг http://ifolder.ru/2794648 __________________ В каждой ошибке заложено семя будущего успеха!!!

10.07.2007, 08:37	#6
K7778 Неактивный пользователь Пол: Регистрация: 08.01.2007 Сообщений: 18 Репутация: 17	Ответ: помогите найти ошибку в скрипте Приведенная вами последовательность тегов представляет собой простое разбиение. Другими словами это HTML и исполняемых самостоятельно скриптов не содержит. Если вы хотите сказать что это все что у вас на сайте ( ;))) )то рассылка это не ваших рук дело. Покажите скрипт то что вы показываете это не он. Хотя если вы не разбираетесь в коде то Вам придеться скидывать весь сайт. На каком движке сделан Ваш сайт ?

06.08.2007, 18:10	#8
K7778 Неактивный пользователь Пол: Регистрация: 08.01.2007 Сообщений: 18 Репутация: 17	Ответ: помогите найти ошибку в скрипте Хорошо скачаю и посмотрю. Если смогу конечно помогу.

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Помогите найти ошибку, не открывается страница сайта!	igoruha3000	PHP	11	28.07.2010 10:15
Помогите устранить ошибку Windows 2000 SP4	lordlangedok	Архив	5	28.05.2009 15:08
Помогите найти ошибку	gvm2005	PHP	3	10.06.2008 16:40
помогите исправить ошибку	www007	Microsoft Windows	10	05.11.2007 12:10
помогите решить ошибку eiexploer.exe	milka_	Архив	13	21.04.2007 19:11