Расследование показало, что на сайте стоит модифицированный sape.php, который незаметно вызывает код другой биржи. В результате с сайта продавались и сапо-ссылки (с аккаунта законного владельца) и ссылки чужой биржи (с аккаунта хакера).
Я бы посоветовал всем пользователям сапы - параноикам проверять sape.php на предмет изменений (для данного хака характерно наличие base64_decode — в нормальном (моём) sape.php эта функция не вызывается).
Методика данного хака такая:
1. на сервер кидается файл (тут надо или фтп, или аналогичный доступ) под любым именем. В данном случае этот файл был спрятан в качестве jpg фотографии из галереи.
2. В sape.php вносится два изменения в return_links():
$f_name = base64_decode('************');
require_once($f_name);
где ********* - "закодированное" имя файла, кинутого на сервер на первом этапе
3. ....
4. PROFIT!!!
Внутри файла - "закодированный" php. Закодированность заключается в нечитаемости исходников, но раскодировать их несложно - используются функции base64_туда,base64_сюда,eval,пляска с файлом (файл открывает сам себя, считывает оттуда закодированный код, раскодирует его и выполняет).
Источник: форум SAPE
Там же интересная тема: Взломали аккаунт на sape. Цитата:
Днем я не могу зайти в ящик, но востановил пароль секретным словом. Сегодня просыпаюсь смотрю ящик, там письмо от сапы, сайт успешно перенесён. Смотрю в аккунте сапы там нет самого прибыльного сайта...
Вообщем надо быть бдительными :)
Комментариев нет:
Отправить комментарий