NetCart - stara wersja - "cloaking"

[kris3d]

witam!

jeden z moich klientów posiada bardzo stary NetCart (oparty osCommerce), niestety intruzi dokonali "cloakingu" strony głównej i wielu podstron ale tylko dla GOOGLE, inni userzy widza strony normalnie

.

czy ktoś zna sposób na odnalezienie miejsca w którym może siedzieć przekierowanie?

przewertowałem wszystkie skrytpy JS i PHP i niczego co przypomina wirusy nie znalazłem.

czy ktoś z Was spotkał się z taką złośliwą praktyką?

pozdrawiam

krzysiek kuc

[verSuS]

Zobacz .htaccess

[kris3d]

Zobacz .htaccess

już dawno przepatrzony, nic ciekawego w nim nie ma:(

index.php, googlexxxx.php, login.php i co znalazłem w sieci o włamach do osC przeglądnięte:(

analiza JS-ów też nie daje efektów, chyba że to coś głębiej, niż iframe-y.

[Kede]

w .htaccess

Czasem nawet na 10000 linijce dodane jest przekierowanie że możesz nie zauważyć

[kris3d]

w .htaccess

Czasem nawet na 10000 linijce dodane jest przekierowanie że możesz nie zauważyć

linijek jest tyle ile trzeba, nie ma pustostanów ale dzięki za podpowiedź

[kris3d]

czesc:)

udało się rozwiązać problem: NetCart - osCommerce - cloaking

"syfek" siedział w pliku "general.php" w tym miejscu NetCart-a:

includes\functions\general.php

plik byl całkowicie zakodowany i zaczynał się tak (pomijając komentarze):

"eval(gzinflate(base64_decode('7X39d9s4rujv95z7P6i5mZGztdM4X03aSXf(...)"

było jeszcze parę miejsc w których siedziały kawałki kodu pirackiego, ale one nie robiły cloaking-u.

jedynie "general.php" oszukiwał Googlebota:)

w takich przypadkach polecam przeszukać skrypty pod kątem słów kluczowych:

"eval(gzinflate(base64_decode"

"(base64_decode"

"base64_decode"

na szczęście miałem stary plik "general.php" i go podmieniłem, bo ten zakodowany był nie do uratowania:)

pozdrawiam

krzysiek kuc