Но и понять принцип действия от начала до конца тоже хочется.
вам на хост заливают сторонние файлы, как?!
может зная ваши пароли, или через дырки WP или где то лежит шелл или хостер у вас гуано и позволяет заглядывать в соседние папки и не только
Все омрачается тем, что не я владелец сайта. И хотя я сменил все пароли на просто совершенно надежные, но не могу гарантировать, что например у заказчика нет троянов и кйлогеров каких-нибудь на машине с которой он ходит в админку и т.д. Хостер TimeWeb, вроде не совсем уж днище. Сейчас, когда в очередной раз все почистил, буду построчно мониторить логи, что бы отловить обращение к шеллу, других вариантов не вижу пока.
PS! Вы хотели узнать что делает скрипт? Или как от него избавиться?
В логах идет ежеминутное обращение к 2 - 3 вредоносным файлам. Если файлы удалить, то продолжает долбиться в 404 несколько дней. Момент дропа новых файлов пока отследить не могу, но буду стараться.
Ну, само собой финальная цель - избавиться, а если точнее, то закрыть уязвимость. Но и понять принцип действия от начала до конца тоже хочется.
В общем, дело такое: на сайте заказчика вирус, сайт на wordpress, но это по сути не так важно, потому, что до момента поиска уязвимости еще далеко. Ну, то есть я конечно сделал все стандартные действия- убил все левые плагины, сравнил оригинал вордпресса с текущим, прогнал сайт несколькими плагинами по выявлению вредоносного кода, прогнал "айболитом" и т.д. В итоге начистил гору вредоносов, но безрезультатно - они появляются вновь.
Что делает вирус. Он спамит через email, за что хостер отрубил возможность отправлять письма. Но это тоже к сути моего вопроса отношения не имеет. Вредоносный код обычно появляется во всяких потаенных местах, типа css папок, всяких глубоких папок js каких-то плагинов и т.д. Выглядит как, либо абракадабра (dffr32.php), либо маскируется под какие-то нужные файлы (template.php). Сам код обфусцирован несложно довольно-таки, потому я его привел в божеский вид и пытаюсь понять как именно он все делает.
Пока я понял только, что он проверяет наличие $_FILES, перебирает его и если находит там любой файл кроме jpg то меняет его имя определенным образом. Ну и по мелочи там- имя хоста и т.д. Затем идет огромный кусок кода, это класс phpMailer прямо с комментариями даже с гитхаба) Этот кусок я пропустил и не буду показывать сейчас потому что он огромен и 100% это чистый phpmailer , а после уже идет опять код зловреда, где он уже и собственно отправляет спам. Но я не могу понять момента, где он берет сам список спама, список адресов куда слать и т.д.
Может кто-то из уважаемого сообщества заинтересуется и посмотрит код? Он очень интересный, между прочим) В общем, любые соображения приветствуются.
Этот код содержится практически во всех зараженных файлах, и везде он одинаков. Но, должен сказать, что попадается еще один вид кода, который я пока не смог толком деобфусцировать. Если кому-то станет интересно - выложу в "грязном" виде.
А ты хорош!) Спасибо. На действующий код еще не переносил, но с виду вроде как должно все быть четко. Я нечто подобное продумывал, только почему-то хотелось делать это на основе in_array каким-то образом.
Так же может складываться ситуация, что все подмассивы с товаром и ценой будут иметь одинаковый товар. Массив $arr изначально неизвестного размера. Вроде вертится что-то в уме, даже почти придумал засыпая вчера, как Менделеев, но нет... помогите, если не лень
кукы передаються в хидераз протокола HTTP. XML-RPC протокол описания вызова функций на удаленном сервере с помощью XML. как передать кукы curl-ом в нете полно инфы.
например
та же сессия (а точнее ее ИД) передаеться кукой.
вот поетому есть описание методов, их параметров и что они возвращают. по названиях более-менее понятно что они делают. поетому я не вижу особых препятствий в АПИ. да согласен оно скудное, но немног опоесперементировав можно все таик с ним работать
Спасибо, curl-ом отдал, все заработало. Просто у заказчика curl на сервере не был подключен, хотел обойтись без него, пришлось просить включить.
а ты-хорош) вот завтра приду и с новыми силами все попробую порешать)
я так часто делаю, утро вечера мудрее
Viper пишет:
Если быдло-кодер не может описать своё же собственное api, то не вижу причин пользоваться данным говном
как по мне оно хоть и не детальное, но вполне читабельное. и решать пользоваться или нет не вам а автору топика.
У меня такое ощущение, что человек, написавший это API куда-то делся и оставил владельцев соепульта наедине с вопросами пользователей. Я там выше ссылку давал, там у человека в точности такой же вопрос, на который сеопульт ему ответил, мол мы не обязаны учить вас азам работы с протоколом, причем хочу заметить, что услуга API предоставляется только тем клиентам, которые тратят 50 или более тысяч в месяц. И вот за эти 50 и более тысяч люди получают завуалированный посыл на х... . Но это собственно все лирика, API описан более чем скромно, да, классы, методы-все понятно, но что с куки? Может это я тупой просто, не отрицаю, но даже если это так, то я хочу учиться. Если вам там все понятно, скажите, как передать куки? Буду очень благодарен. З.ы. техподдержка сеопульта за трое суток ответила один раз... попросила логин, видимо хотят проверить достоин ли я их API
знакомое ощущение
очень знакомое))
очень очень знакомое
но я понял одно
компьютер не ошибается
остынь ка ты
вздохни
пройдись
попей чайку
обычно в такие моменты рождаются идеи
очень сильно сомневаюсь что ошибка в их API
спокойно перечитай еще раз из доки
если не судьба то просто ляг спать
утро вечера мудреннее
клянусь ты это решишь...не бывает не раемых задач
но извини разбирать твою проблему лениво
тем более сам ее решишь если терпения наберешься (Добавление)
забей
идея сама появится
а ты-хорош) вот завтра приду и с новыми силами все попробую порешать)
значит косяк в протоколе
чудес не бывает
значит гдето косякнул но пока не знаешь где
иши ошибку в протоколе
я вчера 3 часа убил искал какого хрена не грузится шаблон оказалось что в имени было 2 ss вместо одной
клянусь ошибка типо такой
чегото не заметил
это самое обидное...ошибка в символе
если я ошибся переведу тебе 1000 руб
просто видишь в чем дело, я уже на пути истинном, коннект есть, казалось бы..отдай куки и работай,сучка, как тебе хочеццо! но нет..ведь не зря я нашел например вот это:
как, как им еще печнек отдать, ведь то, что в моем коде выше- это далеко не последняя попытка, что я там только не делал.... Я на этот волшебный форум пишу, уж когда совсем гроб,гроб,кладбище..
[quote=LIME][/quote]
да, с этим все все в порядке, ведь по первому запросу приходит массив с куки...а вот дальше, когда предполагается их использовать..что то идет не так...
В общем, народ, вы- как всегда последняя инстанция, кто мне еще поможет, если не коллективный разум,а?
Есть такой сайт- seopult.ru и у них есть API, полностью построенное на XML-RPC.
Описание того, чего им надо для полноценной связи у них, по моему мнению, очень скудное, но вот оно: http://api[dot]seopult[dot]ru/
А теперь проблема:
Подключился к аккаунту так, как они и просят, получил в ответ куки, такого вида:
272214:595f728dbcef560cecddаd5hyff77e50062
Затем, попробовал выполнить следующий запрос, но получаю в ответ вот это:
Wrong user data (10014)... то есть не отдал куки!
В общем нет, начну все заново:
щас будет много кода:
Привет, народ. В общем, тут такое дело...или у меня что-то уже с головой, или я чего-то тайного не знаю.
Суть такова: написал я парсер (убогонький, наверняка, зато свой- родной) , что бы забирать ссылки на нужные мне тендеры с официального сайта государственных закупок zakupki.gov.ru . Колдовал я, колдовал в итоге парсер начал приносить мне ссылочки.
Но проблема в том, что каким-то непостижимым образом ссылки ведут на заглушку "Страница не существует". Я конечно сразу подумал на тему проверки ребятами с закупок.гов.ру хоста с которого я пришел, или что-то подобное и если он не их то редирект куда-нибудь подальше..но! даже если просто скопировать ссылку мою, то есть полученную парсером и их ссылку в адресную строку, а потом пройти по ним, то родная ссылка ведет куда нужно, а моя на заглушку.
У меня осталась последняя дикая мысль... если они понимают, что пришел не человек а бот, то каким-то образом меняются некоторые латинские символы на русские...не смейтесь, но более мне предположить нечего)))
У вас какие-нибудь предположения? Может ли такое вообще быть, или это нечто о чем я не знаю? Всем спасибо.
Решено: В общем, я лохе и параноик, никому я не нужен со своим полумертвым парсером)) видимо дело было в кодировке т.к. кое-где я приводил результат в нижний регистр таким образом