помогите найти ошибку в скрипте

reklamist_dv · 03.07.2007, 02:48

Помогите найти ошибку в скрипте

В общем хостинг закрыл доступ к нашему сайту ссылаясь на рассылку незапрошенной кореспонденции, хотя мы некому и нечего не рассылали.
Хостинг уточнил что:

Нами были зафиксированы массовые рассылки незапрошенной
корреспонденции с Вашей виртуальной площадки. Рассылка
совершалась с помощью PHP-скрипта, размещенного в
директории домена foma.su. Пример рассылаемого
сообщения и access_log приведены во вложении.

По этой причине мы вынуждены отключить доступа к Вашему
сайту по протоколу HTTP и услугу PHP. Вам незамедлительно
следует привлечь опытного разработчика для анализа и
устранения возможных уязвимостей.

Но я несилён в скриптах,

и был-бы благодарен если кто нибудь подсказал как устранить эту ошибку

Received: (qmail 11898 invoked by uid 2000); 1 May 2007 14:59:44 -0000
Date: 1 May 2007 14:59:44 -0000
To: marchiori@fucapi.br
Subject: Voce Recebeu Um Cartao
From: Yahoo cartoes <cartoes@yahoo.com.br>
Reply-To: Yahoo cartoes <omafiosobt@hotmail.com>
Message-ID: < TheSystem@foma.su>
X-Mailer: PHP v5.2.1
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: 8bit

<HTML><HEAD><TITLE></TITLE>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2900.2180" name=GENERATOR></HEAD>
<BODY>
<CENTER><FONT face=Arial size=2 pointsize="2">
<TABLE width=343 border=0>
<TBODY>

<TR>
<TD width=333 bgColor=#a5e73e>
<DIV align=center><B>Yahoo Cartхes</B></DIV></TD></TR>
<TR>
<TD vAlign=top align=left height=157>
<P align=left>Olб,<BR><BR>
<CENTER>Receba este Yahoo Cartхes, que <B>ALGUЙM QUE TE ADMIRA</B>
mandou:<BR>
<a href="http://cartoesyahoo.iespana.es/cartao2879812">http://www.yahoo.com.br/carto<font face="Arial">es/cartao2879812</font></a><BR>
<BR>
Um enorme abraзo da equipe Yahoo
Cartхes</CENTER>

<P></P>
<P></P><FONT face=Verdana size=1 pointsize="2">OBS: Este cartгo tem
validade de apenas 15 dias, entгo nгo esqueзa de ler essa pequena e
valiosa mensagem.</FONT> </TD></TR>
<TR>
<TD bgColor=#a5e73e>
<DIV align=center>©2007
Yahoo</DIV></TD></TR></TBODY></TABLE></FONT></CENTER></BODY></HTML>

dixmod · 08.07.2007, 12:37

Если честно, то никакого скрипта в выше приведённом я не вижу, может кто то тайно от вас скопировал к вам на FTP файл .php с движком рассылки сделал своё тёмное дело и затем его удалил...

K7778 · 10.07.2007, 08:37

Приведенная вами последовательность тегов представляет собой простое разбиение. Другими словами это HTML и исполняемых самостоятельно скриптов не содержит.
Если вы хотите сказать что это все что у вас на сайте ( ;))) )то рассылка это не ваших рук дело.

Покажите скрипт то что вы показываете это не он.
Хотя если вы не разбираетесь в коде то Вам придеться скидывать весь сайт.
На каком движке сделан Ваш сайт ?

*ana* · 10.07.2007, 09:44

Цитата:

Сообщение от K7778


	Приведенная вами последовательность тегов представляет собой простое разбиение.

Скажем проще, это текст разосланного письма.
А скрипта нет, может его и не было?

pahanst · 10.07.2007, 14:32

Цитата:

Сообщение от dixmod


	Если честно, то никакого скрипта в выше приведённом я не вижу, может кто то тайно от вас скопировал к вам на FTP файл .php с движком рассылки сделал своё тёмное дело и затем его удалил...

Возможно,но он бы должен был заметить...тем более хостер заметил бы несанкционированный доступ

reklamist_dv · 24.07.2007, 07:02

Извенияюсь за своё незнание

и скидываю сайт целиком без фотографий (GIF, JPEG)

размер 2.3 мб
http://ifolder.ru/2769584

Добавлено через 47 минут
Обратился к платному специолисту,
вот что он ответил:

Я проверил отчет по вашему форуму - он точно дырявый. Один из
фрагментов кода перенаправляет на испанский робот рассылок
"открыток" (на деле-вирусов и спама):

<a
href="http://cartoesyahoo.iespana.es/cartao2879812">http://www.yahoo.com.br/carto>

Что инмересно - код вируса внедряется как php-подпрограмма на
cтраничке вашего сайта http://www.birmag.foma.su/index.php А дальше -
все просто - перенаправление на спам-робота идет процедурой GET.POST
со всех страниц, на которые есть ссылки с главной. То есть вирус,
скорее всего, прикрепляется к любой ссылке с вашего сайта и
самостоятельно открывает дополнительное окно на стороне клиента.
Вас не пустит ни один хостинг с таким "довеском".

после этого ответа я удалил поддомен.
(хотя я сомневаюсь что это поможет)
сейчас хочу попробовать востановить работу сайта.

reklamist_dv · 26.07.2007, 09:32

вот есть ещё лог фаил его прислал хостинг

http://ifolder.ru/2794648

K7778 · 06.08.2007, 18:10

Хорошо скачаю и посмотрю.
Если смогу конечно помогу.

03.07.2007, 02:48	#1
reklamist_dv Новичок Пол: Регистрация: 12.10.2006 Сообщений: 8 Репутация: 2	помогите найти ошибку в скрипте Помогите найти ошибку в скрипте В общем хостинг закрыл доступ к нашему сайту ссылаясь на рассылку незапрошенной кореспонденции, хотя мы некому и нечего не рассылали. Хостинг уточнил что: Нами были зафиксированы массовые рассылки незапрошенной корреспонденции с Вашей виртуальной площадки. Рассылка совершалась с помощью PHP-скрипта, размещенного в директории домена foma.su. Пример рассылаемого сообщения и access_log приведены во вложении. По этой причине мы вынуждены отключить доступа к Вашему сайту по протоколу HTTP и услугу PHP. Вам незамедлительно следует привлечь опытного разработчика для анализа и устранения возможных уязвимостей. Но я несилён в скриптах, и был-бы благодарен если кто нибудь подсказал как устранить эту ошибку Received: (qmail 11898 invoked by uid 2000); 1 May 2007 14:59:44 -0000 Date: 1 May 2007 14:59:44 -0000 To: marchiori@fucapi.br Subject: Voce Recebeu Um Cartao From: Yahoo cartoes <cartoes@yahoo.com.br> Reply-To: Yahoo cartoes <omafiosobt@hotmail.com> Message-ID: < TheSystem@foma.su> X-Mailer: PHP v5.2.1 Content-Type: text/html; charset=iso-8859-1 Content-Transfer-Encoding: 8bit <HTML><HEAD><TITLE></TITLE> <META http-equiv=Content-Type content="text/html; charset=iso-8859-1"> <META content="MSHTML 6.00.2900.2180" name=GENERATOR></HEAD> <BODY> <CENTER><FONT face=Arial size=2 pointsize="2"> <TABLE width=343 border=0> <TBODY> <TR> <TD width=333 bgColor=#a5e73e> <DIV align=center><B>Yahoo Cartхes</B></DIV></TD></TR> <TR> <TD vAlign=top align=left height=157> <P align=left>Olб,<BR><BR> <CENTER>Receba este Yahoo Cartхes, que <B>ALGUЙM QUE TE ADMIRA</B> mandou:<BR> <a href="http://cartoesyahoo.iespana.es/cartao2879812">http://www.yahoo.com.br/carto<font face="Arial">es/cartao2879812</font></a><BR> <BR> Um enorme abraзo da equipe Yahoo Cartхes</CENTER> <P></P> <P></P><FONT face=Verdana size=1 pointsize="2">OBS: Este cartгo tem validade de apenas 15 dias, entгo nгo esqueзa de ler essa pequena e valiosa mensagem.</FONT> </TD></TR> <TR> <TD bgColor=#a5e73e> <DIV align=center>©2007 Yahoo</DIV></TD></TR></TBODY></TABLE></FONT></CENTER></BODY></HTML> __________________ В каждой ошибке заложено семя будущего успеха!!! Последний раз редактировалось reklamist_dv; 06.07.2007 в 09:58..

08.07.2007, 12:37	#2
dixmod Неактивный пользователь Регистрация: 13.02.2007 Сообщений: 3 Репутация: 0	Ответ: помогите найти ошибку в скрипте Если честно, то никакого скрипта в выше приведённом я не вижу, может кто то тайно от вас скопировал к вам на FTP файл .php с движком рассылки сделал своё тёмное дело и затем его удалил...

10.07.2007, 08:37	#3
K7778 Неактивный пользователь Пол: Регистрация: 08.01.2007 Сообщений: 18 Репутация: 17	Ответ: помогите найти ошибку в скрипте Приведенная вами последовательность тегов представляет собой простое разбиение. Другими словами это HTML и исполняемых самостоятельно скриптов не содержит. Если вы хотите сказать что это все что у вас на сайте ( ;))) )то рассылка это не ваших рук дело. Покажите скрипт то что вы показываете это не он. Хотя если вы не разбираетесь в коде то Вам придеться скидывать весь сайт. На каком движке сделан Ваш сайт ?

24.07.2007, 07:02	#6
reklamist_dv Новичок Пол: Регистрация: 12.10.2006 Сообщений: 8 Репутация: 2	Ответ: помогите найти ошибку в скрипте Извенияюсь за своё незнание и скидываю сайт целиком без фотографий (GIF, JPEG) размер 2.3 мб http://ifolder.ru/2769584 *Добавлено через 47 минут* Обратился к платному специолисту, вот что он ответил: Я проверил отчет по вашему форуму - он точно дырявый. Один из фрагментов кода перенаправляет на испанский робот рассылок "открыток" (на деле-вирусов и спама): <a href="http://cartoesyahoo.iespana.es/cartao2879812">http://www.yahoo.com.br/carto> Что инмересно - код вируса внедряется как php-подпрограмма на cтраничке вашего сайта http://www.birmag.foma.su/index.php А дальше - все просто - перенаправление на спам-робота идет процедурой GET.POST со всех страниц, на которые есть ссылки с главной. То есть вирус, скорее всего, прикрепляется к любой ссылке с вашего сайта и самостоятельно открывает дополнительное окно на стороне клиента. Вас не пустит ни один хостинг с таким "довеском". после этого ответа я удалил поддомен. (хотя я сомневаюсь что это поможет) сейчас хочу попробовать востановить работу сайта. __________________ В каждой ошибке заложено семя будущего успеха!!! Последний раз редактировалось reklamist_dv; 24.07.2007 в 07:50.. Причина: Добавлено сообщение

26.07.2007, 09:32	#7
reklamist_dv Новичок Пол: Регистрация: 12.10.2006 Сообщений: 8 Репутация: 2	Ответ: помогите найти ошибку в скрипте вот есть ещё лог фаил его прислал хостинг http://ifolder.ru/2794648 __________________ В каждой ошибке заложено семя будущего успеха!!!

06.08.2007, 18:10	#8
K7778 Неактивный пользователь Пол: Регистрация: 08.01.2007 Сообщений: 18 Репутация: 17	Ответ: помогите найти ошибку в скрипте Хорошо скачаю и посмотрю. Если смогу конечно помогу.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Помогите найти ошибку, не открывается страница сайта!	igoruha3000	PHP	11	28.07.2010 10:15
Помогите устранить ошибку Windows 2000 SP4	lordlangedok	Архив	5	28.05.2009 15:08
Помогите найти ошибку	gvm2005	PHP	3	10.06.2008 16:40
помогите исправить ошибку	www007	Microsoft Windows	10	05.11.2007 12:10
помогите решить ошибку eiexploer.exe	milka_	Архив	13	21.04.2007 19:11