Доброго времени суток, форумчане! Пришло от хостера сообщение: В ходе плановой проверки на Вашем аккаунте было обнаружено подозрительное, потенциально вредоносное, содержимое. Ниже приведены пути к найденным файлам, а также их описание: Обращаем внимание, что размещение вредоносных файлов является нарушением... и т.д. Был установлен модуль и пропатчен файлами на который ругается хостер. Содержание однострочных файлов php: <?php eval(gzuncompress(base64_decode('eNq0/XdPXVm2Lg5/lW ... w/S02CvSmfGfp1XkT/A87B+jd'))); и второго файла: <?php eval(gzuncompress(base64_decode('eNql/fdPXMm2No7/K+dYoyOs8Zlv56Zn....bRxos+lEf4MirjDu5+yc0GzoffVzsCL/fx89Sdg='))); что-то закодировано. Вопрос что? и является ли это вирусом? Если нет, то какой ответ дать хостеру? Если у кого есть этот модуль более поздней версии, без "сюрпризов ))" буду благодарен.
Пока вы не выложите содержимое полностью, никто вам не скажет, что там внутри. В таком виде оно не расшифровывается и я сомневаюсь, что там в оригинале есть многоточия посередине.
Насколько мне известно, то Deeman не практикует eval-ы, скорее мод скачан у фофана или из какой то подобной помойки со стучалкой куда нить на порно-индустрию ) выложите\прикрепите файл в сообщении, как отписал камрад - на сегодня телепатия истощена... магический шар - на подзарядке...
Не знаю, есть ли там вредоносный код, но код самого модуля там точно есть, так что удалить эти файлы нельзя. И это кодирование, явно, не дело рук автора модуля, ибо в оригинале модуль под ИонКубом и в таких извращениях смысла нет. Зачем его после зануливания закодировали - возможно, как выше написал Baco, допихали чего-то своего, но вам дешевле будет купить за 450р. этот модуль у автора, чем разбираться, есть ли в нём что-то лишнее. Хостеру можете сказать, что там закодирован код модуля и без этих файлов он работать не будет.
спасибо за пояснение без этого патча модуль не работает, другого зануленного пока не нашел сейчас собираю сайт на тестовом доменном имени, на сколько знаю, этот модуль при активации привязывается к одному домену
Как же тогда декодируются эти последовательности: _464f1FB55F5C7641A1Daed6aA715fC90, она постоянная во всем файле + массив, что и куда подставляется не совсем понятно. Получается в исходном файле двойная кодировка? Как дальше раскодировать? В итоге, есть там вредоносный код и как это увидеть?
это имя класса, оно просто после обфускации стало уникальным. это так работает обфускация кода. я написал как дальше. декодировать весь код и увидеть
не совсем разобрался, вкратце: берем Код: LoGWRite(_464F1fb55f5C7641a1dAEd6AA715fC90::G("_")); (таких 9 элементов в файле) берем первый элемент из массива $s - это "ZmlsZSBsb2FkZWQ=" дальше что и куда подставлять, как расшифровать?
У автора можно получить ключ и на тестовый домен. Здесь прямо в форме покупки есть поле для тестового домена.