для тех кто всегда хотел посмотреть на внутренности троян-ботов живущих на взломанных сайтах!!!

делал я человеку сайт уже давным давно, сайт работал прекрасно, но вот по какой то причине у него с ЯНДЕКС ДИРЕКТ стали исчезать деньги очень быстро, которые были вложены в рекламу

опержая события оговорюсь: вопрос с исчезновением денег не решён ещё, но откуда ноги растут уже известно

так вот... ой! о чём, это Я?!

полез я к нему в логи сервера и обнаружил там странный запрос в папку images/admin/cp.php
сразу непонятное ощущение: вроде где то тут какой то косяк, т.к. запрос был не в error.log, а в access.log и ответ на запрос был 200 Ok

тут я вообще аху... (далее по тексту) ... заглянул я в эту папочку и увидел там то что тут прикрепил, так что можете порыться кому интересно, что эта хреновина делает я так и не понял, потому что времени разбираться не было
если кто поймёт то отпишитесь!!

к стати в замен JSYS.PHP там в архиве есть классный SHELL? правда он зараза архивировать не умеет, но как файл менеджер отличная штука

вопрос такой каким образом сумели залить этот SHELL и эту панель управления ботами на сайт?

ПРЕДУПРЕЖДАЮ: ВНУТРИ ЕСТЬ EXE ФАЙЛ В НЁМ ТРОЯН!!!!​

 

я думаю что те кто этим занимается, найдут другого бота, а остальные посмотрят что надо искать у себя на сайте

более продвинутые люди смогут написать что либо для защиты своего сайт от такой вот фигни

 

интересно и как человек которому было отправлено это письмо собирался чего либо с него получить?
если он не зарегистрирован в WU

и вообще каким образом эта скотина пролезла на сервер с сайтом и поселилась в images

 

это понятно, непонятно другое как пароль от FTP тиснули или как вообще этот шел залили на сервак, ну в принципе пофиг, заказчик все пароли сменил, я файлО проверил на наличие фигни внедрённой, вроде ничего нету