Помогите что за вирус?
недавно на всех typo3 сайтах на одном из моих серверов, во всех php файлах обнаружил добавленным такой код. Вот пытаюсь расшифровать, никак не выходит, помогите пожалуйста.
PHP код:
PHP код:
|
Возможно Вы поставили что то левое - или кто-то взломал-поиграл...
Что добавляет этот код - если это php - то нужно искать файл, который перезаписывает файлы... У меня был случай - после работы по FTP во всех js-файлах был добавлен уродский код... Из-за него антивирусы блокировали сайт. Он добавлялся из одного места и постепенно при запросе новых страниц, распространился на весь сайт - во все js скрипты... Лечил очень просто... Заменил все что *.js на оригинал из скачанного с сайта typo3.org Т.к. у Вас php- то скорее всего кто-то уже знает пароль к FTP... |
Сюдя по тому, что он выполняет функцию eval - значит это какая-то команда.
Можно попробовать вместе расшифровать - если показать все что есть по вирусу... |
А что еще из ПО у вас стоит на сайтах?
У нас один раз похожую заразу залили через дыру в OpenX. В любом случае рецепт - сменить все пароли. Заменить файлы ядра на оригинальные. Из экстов - либо вручную, либо тоже обновить через репозиторий (если все их него). |
Цитата:
|
Цитата:
ну так это и есть всё что есть, в каждом файле такое, свой md5 и свой массив.Но функция одна и та же по видимому. PHP код:
|
Цитата:
|
Не пойму, откуда Вы взяли function lambda($v)
И откуда create_function? У меня получилось только eval(gzinflate(base64_decode($v))); Мурашки по коже... |
Цитата:
|
Каково значение переменной $v?
eval(gzinflate(base64_decode($v))); - что сюда передается? |
Часовой пояс GMT +4, время: 10:31. |
Работает на vBulletin® версия 3.8.1.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot