|
|
Регистрация Восстановить пароль |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
Опции темы | Поиск в этой теме |
19.08.2016, 05:27 | #1 |
Новичок
Джуниор
Регистрация: 19.08.2016
Сообщений: 3
|
Помогите разобраться логом
Нашел вредоносный код, который снимает деньги с моего проекта в скрипте. По логом хоста он выглядит так: GET /?menu=youtube&user_id=$payeer=new%2 0rfs_payeer%28$config-%3EAccountNumber,$config-%3EapiId,$config-%3EapiKey%29;var_dump%28$payeer-%3Etransfer%28array%28curIn=%3ERUB, sum=%3E1700,curOut=%3ERUB,to=%3EP42 596182,comment=%3ENoComment%29%29%2 9
Но я уже два дня его ищу по всему скрипту, но найти не могу. Помогите пожалуйста разобраться!!! |
19.08.2016, 05:40 | #2 |
Старожил
Регистрация: 15.02.2010
Сообщений: 15,759
|
Ну так он вполне может зашифрован или генерится на лету. И чем вы думаете мы вам можем помочь, если даже не знаем о каком сайте идет речь.
|
19.08.2016, 05:52 | #3 |
Новичок
Джуниор
Регистрация: 19.08.2016
Сообщений: 3
|
Вот сайт http://monopolybiz.ru. Может быть можно как то найти источник откуда он генерируется
|
19.08.2016, 05:54 | #4 | |
Новичок
Джуниор
Регистрация: 19.08.2016
Сообщений: 3
|
Цитата:
Как можно избавиться от этой дыры в скрипте |
|
20.08.2016, 04:58 | #5 | |
Форумчанин
Регистрация: 01.08.2016
Сообщений: 182
|
У вас нет этого кода в скрипте. Кто-то руками набирает в браузере url (или кликает по ссылке с этим url - но тогда в логах будет виден реферер сайта на котором стоит такая ссылка):
Цитата:
Судя по var_dump(...) - есть вероятность, что вам php-shell залили на сайт и лазят в вашу базу данных. php-shell может выглядеть так, что вы его не узнаете без знаний и спецподготовки. Ищите где у вас $_GET['menu'] или $_REQUEST['menu'] обрабатывается. Хотя там может быть всё сильно обфусцировано... Конструкция user_id==new rfs_payeer в вашем url тоже интересная - там оператор проверки на равенство == стоит вместо простого = Возможно, делается инъекция (несанкционированная инициация переменных) - тогда проблема не в не php-shell, а в дыре ваших скриптов API. API отрабатывает конструкцию: PHP код:
Последний раз редактировалось predefined; 20.08.2016 в 05:20. |
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Вывод сообщение с логом за последние 10 мин | -=Virus=- | Работа с сетью в Delphi | 0 | 17.09.2010 12:28 |
Помогите разобраться | grave123 | Общие вопросы C/C++ | 9 | 06.12.2009 13:46 |
помогите разобраться | vigor53 | Assembler - Ассемблер (FASM, MASM, WASM, NASM, GoASM, Gas, RosAsm, HLA) и не рекомендуем TASM | 3 | 16.12.2008 07:00 |
помогите разобраться | Tanuska___:) | БД в Delphi | 1 | 04.09.2008 14:56 |
Помогите разобраться! | Holodok | Помощь студентам | 12 | 02.05.2008 18:13 |