Форум программистов
 

Восстановите пароль или Зарегистрируйтесь на форуме, о проблемах и с заказом рекламы пишите сюда - alarforum@yandex.ru, проверяйте папку спам!

Вернуться   Форум программистов > Web программирование > Общие вопросы Web
Регистрация

Восстановить пароль
Повторная активизация e-mail

Купить рекламу на форуме - 42 тыс руб за месяц

Ответ
 
Опции темы Поиск в этой теме
Старый 19.08.2016, 05:27   #1
Joni4444
Новичок
Джуниор
 
Регистрация: 19.08.2016
Сообщений: 3
По умолчанию Помогите разобраться логом

Нашел вредоносный код, который снимает деньги с моего проекта в скрипте. По логом хоста он выглядит так: GET /?menu=youtube&user_id=$payeer=new%2 0rfs_payeer%28$config-%3EAccountNumber,$config-%3EapiId,$config-%3EapiKey%29;var_dump%28$payeer-%3Etransfer%28array%28curIn=%3ERUB, sum=%3E1700,curOut=%3ERUB,to=%3EP42 596182,comment=%3ENoComment%29%29%2 9

Но я уже два дня его ищу по всему скрипту, но найти не могу.
Помогите пожалуйста разобраться!!!
Joni4444 вне форума Ответить с цитированием
Старый 19.08.2016, 05:40   #2
p51x
Старожил
 
Регистрация: 15.02.2010
Сообщений: 15,695
По умолчанию

Ну так он вполне может зашифрован или генерится на лету. И чем вы думаете мы вам можем помочь, если даже не знаем о каком сайте идет речь.
p51x вне форума Ответить с цитированием
Старый 19.08.2016, 05:52   #3
Joni4444
Новичок
Джуниор
 
Регистрация: 19.08.2016
Сообщений: 3
По умолчанию

Вот сайт http://monopolybiz.ru. Может быть можно как то найти источник откуда он генерируется
Joni4444 вне форума Ответить с цитированием
Старый 19.08.2016, 05:54   #4
Joni4444
Новичок
Джуниор
 
Регистрация: 19.08.2016
Сообщений: 3
По умолчанию

Цитата:
Сообщение от p51x Посмотреть сообщение
Ну так он вполне может зашифрован или генерится на лету. И чем вы думаете мы вам можем помочь, если даже не знаем о каком сайте идет речь.
Вот сайт http://monopolybiz.ru. Может быть можно как то найти источник откуда он генерируется


Как можно избавиться от этой дыры в скрипте
Joni4444 вне форума Ответить с цитированием
Старый 20.08.2016, 04:58   #5
predefined
Форумчанин
 
Регистрация: 01.08.2016
Сообщений: 182
По умолчанию

Цитата:
Сообщение от Joni4444 Посмотреть сообщение
Но я уже два дня его ищу по всему скрипту, но найти не могу.
У вас нет этого кода в скрипте. Кто-то руками набирает в браузере url (или кликает по ссылке с этим url - но тогда в логах будет виден реферер сайта на котором стоит такая ссылка):
Цитата:
http:// monopolybiz.ru/?menu=youtube&user_id==new rfs_payeer(->AccountNumber,->apiId,->apiKey);var_dump(->transfer(array(curIn=>RUB, sum=>1700,curOut=>RUB,to=>P42 596182,comment=>NoComment)))
А при обращении по этому url происходит зачисление денег, похоже, 1700 руб на счёт P42 596182.

Судя по var_dump(...) - есть вероятность, что вам php-shell залили на сайт и лазят в вашу базу данных. php-shell может выглядеть так, что вы его не узнаете без знаний и спецподготовки.

Ищите где у вас $_GET['menu'] или $_REQUEST['menu'] обрабатывается. Хотя там может быть всё сильно обфусцировано...

Конструкция user_id==new rfs_payeer в вашем url тоже интересная - там оператор проверки на равенство == стоит вместо простого =
Возможно, делается инъекция (несанкционированная инициация переменных) - тогда проблема не в не php-shell, а в дыре ваших скриптов API. API отрабатывает конструкцию:
PHP код:
new rfs_payeer(->AccountNumber,->apiId,->apiKey);var_dump(->transfer(array(curIn=>RUBsum=>1700,curOut=>RUB,to=>P42 596182,comment=>NoComment))) 
и зачисляет деньги этому пользователю.

Последний раз редактировалось predefined; 20.08.2016 в 05:20.
predefined вне форума Ответить с цитированием
Ответ


Купить рекламу на форуме - 42 тыс руб за месяц

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вывод сообщение с логом за последние 10 мин -=Virus=- Работа с сетью в Delphi 0 17.09.2010 12:28
Помогите разобраться grave123 Общие вопросы C/C++ 9 06.12.2009 13:46
помогите разобраться vigor53 Assembler - Ассемблер (FASM, MASM, WASM, NASM, GoASM, Gas, RosAsm, HLA) и не рекомендуем TASM 3 16.12.2008 07:00
помогите разобраться Tanuska___:) БД в Delphi 1 04.09.2008 14:56
Помогите разобраться! Holodok Помощь студентам 12 02.05.2008 18:13