Форум Сайтостроение Безопасность

сигнатуры шелл-скрипта

S0
На сайте с 10.04.2012
Offline
78
skif06
769

Искал AI-Болитом вирусы на сайте и нашел такую бяку в 3-х файлах:

footer.php: 

<?php $str = '0LLRgdC1INGB0YHRi9C70LrQuCDRg9C00LDQu9C10L3Rizop'; echo base64_decode($str);?>

header.php: 

<?php eval(str_rot13('shapgvba purpx_shapgvbaf(){vs(!svyr_rkvfgf(qveanzr(__SVYR__)."/shapgvbaf.cuc")){rpub(\'Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\');qvr;}}purpx_shapgvbaf();')); wp_head(); ?>

functions.php: 

<?php function check_footer(){

$l='echo base64_decode($str);';

$f=dirname(__FILE__).'/footer.php';$fd=fopen($f,'r');

$c=fread($fd,filesize($f));fclose($fd);

if(strpos($c,$l)==0){echo 'This theme is released under creative commons licence, all links in the footer should remain intact';die;}}check_footer();?>

<?php eval(str_rot13('shapgvba purpx_urnqre(){vs(!(shapgvba_rkvfgf("purpx_shapgvbaf")&&shapgvba_rkvfgf("purpx_s_sbbgre"))){rpub(\'Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\');qvr;}}'));?>

При попытке удалить коды вместо сайта выводит эту надпись - This theme is released under creative commons licence, all links in the footer should remain intact. Кто-нибудь знает, как все это убрать?

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#1

это копирайты и убирать их нельзя (а названо сигнатурами, т.к. закодировано в base64)

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
Devvver
На сайте с 02.07.2008
Offline
663
Devvver
#2

kgtu5, да ладно, можно выпилить... просто в большинстве случаев нет смысла, лучше другой шаблон взять.

Мой блог. Все о создании сайтов,Seo и СДЛ ( https://devvver.ru/ ) Мой SEO телеграм канал https://t.me/seobloggers
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#3

Devvver, я имею ввиду официально нельзя, по тихому все можно, так и рождаются нуллед-версии...

Mik Foxi
На сайте с 02.03.2011
Offline
1076
Mik Foxi
#4

страна жуликов и воров :D

Антибот, антиспам, веб файрвол, защита от накрутки поведенческих: https://antibot.cloud/ + партнерка, до 40$ с продажи.
R
На сайте с 24.01.2008
Offline
180
Алексей
#5

ТС это не вирус можете не беспокоится!

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov
servercraft
На сайте с 03.07.2013
Offline
8
servercraft
#6
skif06:

При попытке удалить коды вместо сайта выводит эту надпись - This theme is released under creative commons licence, all links in the footer should remain intact. Кто-нибудь знает, как все это убрать?

Чужое взять - свое потерять (c)

замените eval на echo и посмотрите что оно там выполняет

к примеру 

<?php eval(str_rot13('shapgvba purpx_urnqre(){vs(!(shapgvba_rkvfgf("purpx_shapgvbaf")&&shapgvba_rkvfgf("purpx_s_sbbgre"))){rpub(\'Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\');qvr;}}'));?>

это 


function check_header(){if(!(function_exists("check_functions")&&function_exists("check_f_footer"))){echo('This theme is released under creative commons licence, all links in the footer should remain intact');die;}}
http://serverсraft.com.ua (http://servercraft.com.ua) настраиваем сервера, удаляем вирусы с сайтов
S0
На сайте с 10.04.2012
Offline
78
skif06
#7

Всем спасибо за ответы.

А ссылочки были там вовсе не копирайты, а на какие-то нехорошие сайты, и я их давно потёр, просто хотелось убрать все полностью.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий