LINUX.ORG.RU
ФорумGeneral

появился странный скрипт на хостинге. нужна помощь в расшифровке


0

1

Добрый день, уважаемые знатоки. На протяжении последнего времени мой сайт пытаются взломать, похоже с целью кражи приходящих клиентов. На днях появился странный скрипт php, который я не могу расшифровать помогите, плз, это сделать. Для чего этот служит этот файл злоумышленникам? Вот здесь лежит файл, расширение было php, я его поменял на тхт http://sastk1.narod.ru/r.txt Спасибо за помощь

Как в миникоме сменить \r на \n или на \r\n?
Нужен вывод только уникалных строк из инпута

Твой код — это четыре вложенных eval'а. Вот декодированный код: http://pastebin.com/edbbZ2WV , там ещё были комментарии для увеличения размера, их удалил. Разбирайся дальше.

i-rinat ★★★★★
()

1) preg_replace заменяет "." на значение второго аргумента и выполняет как PHP код.
2) во втором аргументе закодированно eval(gzinflate(base64_decode(<строка в base64>)));
3) в строке base64 gzip'нутая строка, в которой в свою очередь еще раз eval(base64_decode(<base64 строка>))
4) в ней с свою очередь следующий код. Что он делает, разбираться лень, да и не спец я в PHP
http://pastebin.com/HV0AdsH7

marvin_yorke ★★★
()

мой сайт пытаются взломать

уже взломали

с целью кражи приходящих клиентов

много чести, чтобы писали скрипт именно под твой сайт

Увидев этот файл тебе нужно не заниматься его декодированием, а искать дырку, через которую этот файл залит.

Chumka ★★★
()

«ПОСОНЫ НЕ КОЧАЙТИ! ТАМ ВИРУС!» (с) 

if ('system' == $type)
{
        system($content);
        echo 'ok';
        exit;
}
webshell тебе таки закинули. Ищи дыру в скриптах.

NightSpamer
()
Ответ на: комментарий от tagdhik

Вполне возможно, что ломают нецеленаправлено. Просто строят ботнет.
Диванный.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Как в миникоме сменить \r на \n или на \r\n?
General
Нужен вывод только уникалных строк из инпута