Новый вирус под DLE?

[MetalMessiah]

Обратился ко мне человек с просьбой помочь решить проблему.

Ему Яндекс написал с неделю назад о вредоносном коде на одной из страниц сайта. Вредоносного кода он там в упор не увидел, потому просто удалил новость и отправил на перепроверку. Вчера ему снова Яндекс написал, уже 2 страницы - 1 (другая) новость и 1 теги.
Движок DLE 9.3 под PHP 5.2.17.

Я прошелся по датам создания файлов и обнаружил в engine/modules/functions.php дописанный следующий код:

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

(как он туда попал понятия не имею, шелл не нашел)

Вообщем, если кому интересно покопайтесь :) Вкратце там обфускация 80 левела а суть в подгрузке файла с урла, параметром которого является ip посетителя и user-agent, в результате выдается html код, который echo до шаблона, т.е. в начале страницы. В нем JS который прописывает фрейм в котором уже вирусня.
html код выдается псевдорандомный, зависит от браузера, грузится либо с kleopadla.no-ip.biz, либо с рандомного субдомена mybestinfo.pw.

Код отдается турецким (неужели абузоустойчивым?) сервером 178.211.33.77.
Вот такие дела. Чтобы не повадно было абузы уже отправлены, но прошу поддержать - написать еще парочку.

А еще кому не лень прошу зациклить и запустить многопоточно вот такой код:

флудер

PHP код:

    if (rand(0,100)<30)
    {
        $ua="Mozilla/5.0 (Windows NT ".rand(5,6).".1; rv:".rand(20,24).".0) Gecko/".date("Ymd",strtotime("01.01.2010")+rand(0,365*3)*86400)." Firefox/".rand(5,24).".0";
    } else
    {
        $ua="Opera/".rand(8,11).".".rand(10,90)." (Windows NT ".rand(5,6).".1; U; ru) Presto/".rand(2,7).".6.".rand(10,90)." Version/".rand(8,11).".".rand(10,90);
    }
    $ip=rand(10,99).".".rand(1,200).".".rand(1,200).".".rand(1,200);
    echo "$ip $ua<br>";
    $get="http://178.211.33.77/get_api.php?pid=2&br=".base64_encode($ua)."&ip=".base64_encode($ip);
    //echo $get."<br>\r\n";
    $str=file_get_contents($get); 


[свернуть]

авось база переполнится если логи ведутся. Все смахивает на связку, значит логи ведутся

С Вами был М.М.

[CuxpecT]

старая няшка... было такое, решил путём замены данного файла на исходный, но сам вирус на сайте остался, так как запиливался он через аватары пользователей и прописывался рандомно в системные файлы php. Когда все файлы php были почищены и аватары пользователей удалены, а Яша всё равно ругался, был проведён более доскональный осмотр и остатки вредокода были найдены в файлах перевода .lng. После их чистки всё стало на свои места.

[MetalMessiah]

Жаль, а я думал что-то новенькое...

lng никто не менял, они 2011 года, в аватарах пхп кода не нашел - видимо самоуничтожение было.
Дата изменения functions - сентябрь.

[grazer]

Комментарий модератора: grazer

1. ТС, на будущее, прошу называть темы в соответствии с их содержимым, чтобы модераторам не приходилось их править. За названия вроде "Новая няшка под DLE" - будем наказывать.

[qwer555]

А где обфускация то?