$file = file_get_contents("http://search.twitter.com/search?q=gmail.com+OR+hotmail.com++OR+%22email+me%22");
$file = strip_tags($file);

print_r($matches);
?>

снес их , через несколько минут снова появились, проверил каспером, он в RECYCLED нашел чтото, оказалось Net-Worm.Win32.Kido, удалил его, через некоторое время снова все повторилось, повились папки и файл, Касперский не помог.

Поискал информацию в Сети. И кой чего нашел. Помогло!

Создаем файл с расширением reg , записываем туда

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=»@SYS:DoesNotExist»

Запускаем его, этим мы запрещаем запуск Autorun.inf файлов с сменных носителей

Ставим обновления с http://windowsupdate.microsoft.com/ особенно обратите внимание на вот это http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx, желательно отключить Netbios, закрыть фаервалом встроенным или сторонним порты 445, 139

Также можно отключить лишнее с помощью wwdc (Windows Worms Doors Cleaner)
(WWDC.rar) — данная утилита позволяет простым нажатием пяти кнопок отключить наиболее критические службы Windows (поддержка DCOM, RPC Locator, NetBIOS, UPnP (Universal Plug and Play) и службы сообщений — Messenger) + закрыть порты, которые этими службами используются (135, 137, 138, 139, 445, 5000):

Скачиваем, запускаем и поочередно нажимаем на каждую из 5-ти кнопок, пока не добьемся следующего результата (т.е. галочки в зеленом кружке около каждой кнопки):

Запускаем утилиту от Касперского KillerKido v.3.4.7 которая чистит заразу

7.05.2009 Как оказалось вирус остался, может быть новая модификация

Определил вот как, переустановил Касперского и при активации неполучилось подключится к серверу активации, вылезла ссылка, типа нажмите для пояснения причины, ссылка вела на сайт Касперского, а он не открылся Ни в одном из браузеров, прочитал что это один из признаков заражения.

Полностью избавится от Kido помогло вот что.

1. Отключился полностью от сети, от Интернета и локалки.
2. Установил раньше обновление http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
если не получается скачать обновление то можно воспользоваться ссылкой через проксю, например hidemyass.com ? там есть поле вводиш туда http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx жмешь кнопку , идет загрузка
3. Запустил утилиту .
klwk

Утилита от Касперского мочит заразу:

I-Worm.Zafi.b
I-Worm.Bagle.at,au,cx-dw
Virus.Win32.Implinker.a
Not-a-virus.AdWare.Visiter
Trojan.Win32.Krotten
Email-Worm.Win32.Brontok.n
Backdoor.Win32.Allaple.a
Trojan-Spy.Win32.Goldun.mg
Email-Worm.Win32.Warezov
Virus.Win32.VB.he
IM-Worm.Win32.Sohanad.as
P2P-Worm.Win32.Malas.b
Virus.Win32.AutoRun.acw
Worm.Win32.VB.jn
Trojan.Win32.KillAV.nj
Worm.Win32.AutoRun.cby
Trojan.Win32.Agent.aec
Trojan-Downloader.Win32.Todon.an
Trojan-Downloader.Win32.Losabel.ap
Worm.Win32.AutoRun.czz,daa,dhq,dfx
Net-Worm.Win32.Rovud.a-c
Trojan.Win32.ConnectionServices.x-aa
Worm.Win32.AutoRun.dtx
Worm.Win32.AutoRun.hr
Backdoor.Win32.Agent.lad
not-a-virus:FraudTool.Win32.UltimateDefender.cm
Trojan-Downloader.Win32.Agent.wbu
Backdoor.Win32.Small.cyb
not-a-virus:FraudTool.Win32.XPSecurityCenter.c
not-a-virus:Downloader.Win32.VistaAntivirus.a
not-a-virus:FraudTool.Win32.UltimateAntivirus.an
not-a-virus:FraudTool.Win32.UltimateAntivirus.ap
Trojan-Spy.Win32.Zbot.dlh
Trojan-Downloader.Win32.Small.abpz
Rootkit.Win32.Ressdt.br
Worm.Win32.AutoRun.lsf
Worm.Win32.AutoRun.epo
Worm.Win32.AutoRun.enw
Backdoor.Win32.UltimateDefender.a
Worm.Win32.AutoRun.pwi
Worm.Win32.AutoRun.pfh
Worm.Win32.AutoRun.qhk
Worm.Win32.AutoRun.ouu
Worm.Win32.AutoRun.bnb
Worm.Win32.AutoRun.ll
AdWare.Win32.Cinmus.sxy
Trojan.Win32.Autoit.eo
Worm.Win32.AutoRun.sct
Worm.Win32.AutoRun.qkn
not-a-virus:AdWare.Win32.Cinmus.wsu
Trojan-Ransom.Win32.Taras.a,c
Trojan-Dropper.Win32.Agent.ztu
Trojan-Downloader.Win32.Agent.Apnd
Worm.Win32.Autorun.qpa
Net-Worm.Win32.Kido.j
Worm.Win32.Autorun.dcw
Trojan.Win32.Feedel.gen
Trojan.Win32.Pakes.mak
Net-Worm.Win32.Kido.r
Net-Worm.Win32.Kido.t
Worm.VBS.Autorun.cq
Worm.Win32.Pinit.ac
Worm.Win32.Pinit.ae
Worm.Win32.Pinit.af
Worm.Win32.Pinit.gen
Net-Worm.Win32.Kido.bw
Net-Worm.Win32.Kido.db
Net-Worm.Win32.Kido.fk
Net-Worm.Win32.Kido.fx
Net-Worm.Win32.Kido.fo
Net-Worm.Win32.Kido.s
Net-Worm.Win32.Kido.dh
Net-Worm.Win32.Kido.ee
Net-Worm.Win32.Kido.gh
Net-Worm.Win32.Kido.fa
Net-Worm.Win32.Kido.gy
Net-Worm.Win32.Kido.ca
Net-Worm.Win32.Kido.by
Net-Worm.Win32.Kido.if
Net-Worm.Win32.Kido.eo
Net-Worm.Win32.Kido.bx
Net-Worm.Win32.Kido.bh
Net-Worm.Win32.Kido.bg
Net-Worm.Win32.Kido.ha
Net-Worm.Win32.Kido.hr
Net-Worm.Win32.Kido.da
Net-Worm.Win32.Kido.dz
Net-Worm.Win32.Kido.cg
Net-Worm.Win32.Kido.eg
Net-Worm.Win32.Kido.eq
Net-Worm.Win32.Kido.bz
Net-Worm.Win32.Kido.do
Net-Worm.Win32.Kido.fw
Net-Worm.Win32.Kido.du
Net-Worm.Win32.Kido.cv
Net-Worm.Win32.Kido.dv
Net-Worm.Win32.Kido.dq
Net-Worm.Win32.Kido.ed
Net-Worm.Win32.Kido.em
Net-Worm.Win32.Kido.bo
Net-Worm.Win32.Kido.bk
Net-Worm.Win32.Kido.bm
Net-Worm.Win32.Kido.cs
Net-Worm.Win32.Kido.ia
Net-Worm.Win32.Kido.gg

Командная строка:
/s — проверка всего жесткого диска на наличие перечисленных вредоносных программ.
/n — проверка подключенных сетевых дисков на наличие перечисленных вредоносных программ.
/path <Путь для сканирования> — проверка указанного пути на наличие перечисленных вредоносных программ.
/y — завершение программы без запроса нажатия клавиш.
/i — отобразить информацию о параметрах командной строки.
/nr — при запросе утилиты не перезагружать компьютер автоматически
/Rpt[ao][=<Путь к файлу отчета>] — использовать файл отчета
a — добавлять файл отчета
o — только отчет (не лечить/удалять зараженные файлы)
Возвращаемые коды:
0 — лечение не требуется.
1 — вирус удален и система восстановлена.
2 — для полного удаления вируса необходимо перезагрузить систему.
3 — для полного удаления вируса необходимо перезагрузить систему и запустить
программу еще раз.
4 — ошибка выполнения программы.

очень хорошая вещь. После проверки и лечения зараженных файлов доступ к сайту был восстановлен. Сканирование антивирусами не выявило ничего.

ps: Это не факт того что вирусов нет.

Для экспроприации картинки всего лишь нужно найти нужное изображение, у которого на странице просмотра
присутствеут режим просмотра [Image Zoom]

например http://www.сайт.com/блаблабла/блаблабла/

при активации Зума открывается окно с предпросмотрщиком выполненым на технологии flash. С помощью которого можно рассмотреть изображение, точнее его части в хорошем разрешении

Если ковырнуть запросы уходящии на сервер то видим вот такую картину

при загрузке вьювера http://блаблабла.сайт.com:60/блаблабла/блаблабла.jpg?cell=300,300&cvt=jpeg

ага

запрос на 60 порт, указывается размер изображения 300 на 300 пикселей, формат jpeg

ссылка на странице изображения (предыдущая) содержит строку

блаблабла/блаблабла/

текущая содержит те же данные (идентификатор) только в другом немного варианте

блаблабла

попробуем напрямую открыть ссылку

http://блаблабла.сайт.com:60/блаблабла/блаблабла.jpg?cell=300,300&cvt=jpeg

результат — открывшееся изображение 300 на 300 в jpeg формате

меняем http://блаблабла.сайт.com:60/блаблабла/блаблабла.jpg?cell=300,300&cvt=png

открывается в png

пробуем http://блаблабла.сайт.com:60/блаблабла/блаблабла.jpg?cell=300,300&cvt=tiff

получаем tiff !!!

пробуем играть с размерами ставим

http://блаблабла.сайт.com:60/блаблабла/блаблабла.jpg?cell=1000,1000&cvt=tiff

Получаем tiff 1000 на 1000 пикселей

Думаю продолжать нестоит)

А теперь представим что теперь не я один знаю такой финт ). Посчитаем предпологаемые убытки)

ps:Данной статьей я никого не призываю совершать какие-либо противоправные действия, хочу лиш показать что при разработке зачастую используются довольно кривые руки.

Было отправлено письмо по контактам указанным на сайте. Баг и ныне там.

Сегодня отправил повторно сообщение о баге в обратную связь.

) видел обсуждение этой статьи на nulled . ws парни так и непоняли что обсуждается совсем не www.shutterstock.com

Этот сервис предоставляет возможность поиска определенных строк в коде десятков тысяч проектов с открытыми исходниками, причем имеется возможность использования регулярных выражений. Поле применения этого уникального сервиса очень велико, в частности с помощью него можно найти множество уязвимых PHP-скриптов.

SQL-инъекции
lang:php from.+where.+\$_(GET|POST|COOKIE|REQUEST)\[.+\]

Поиск переменных из GET, POST и Cookie в SQL-запросах

Инклуды
lang:php (include|require|include_once|require_once)\s*\(?[^\$;]*\$_(GET|POST|COOKIE|REQUEST)[^;]+;

Поиск переменных из GET, POST и Cookie в функциях include(), require(), include_once(), require_once()

PHP-инъекции
lang:php eval\(.+\$_(GET|POST|COOKIE|REQUEST)\[(\"|\')\w+(\"|\')\].+\)

Поиск переменных из GET, POST и Cookie в функции eval()
lang:php file_put_contents\((\»|\’).+<\?.+(\"|\')\)

Поиск записи в файл динамически генерирующегося PHP-кода (очень часто на основе переданных от пользователя данных)

Конфиги
lang:php file:conf\w+.inc$

Поиск открытых конфигов (с раcширением .inc)
lang:php phpinfo\(\)

Поиск вызова phpinfo()
lang:php file:phpinfo