[X] Помощник

[r0mZet Topic Starter]

Пару дней назад ловили шелл на сайте своего клиента. Всех победили... но потом хостинг письмо прислал следующего содержания:

Здравствуйте!
Просьба обратить внимание, уведомить клиентов, устранить (инструкция во вложений)
Указанные ниже в нашем письме IP адреса и веб страницы предположительно были использованы в последних кибератаках в составе ботнета. Мы просим Вас обратить внимание на эти веб-сайты для идентификации и удаления заражённых страниц.
Типичная инфицированная страница:
В наличии типичной инфицированной страницы можно убедиться путём добавления в браузере следующего параметра к ссылке (URL) на подозреваемую страницу:

?c_id=ZWNobygnPGgxPklORkVDVEVEPC9oMT4nKTs=

Пример:

www.infecteddomain.com/infectedpage.php?с_id=ZWNobygnPGgxPklORkVDVEVEPC9oMT4nKTs=

Отображаемая страница в браузере скорее всего отобразит «INFECTED», если страница заражена. Мы полагаем, что заражающий скрипт пытается инфицировать все доступные PHP файлы, а также создает дополнительные. В связи с этим Вам может понадобиться просканировать все файлы в системе на предмет обнаружения инфекции

ZWNobygnPGgxPklORkVDVEVEPC9oMT4nKTs= в base64 разворачивается как echo('<h1>INFECTED</h1>')
И собственно напрашивается вопрос: "Ну и нафига нужна эта закодированая строчка? Где от нее толк?". Если на зараженных сайтах надпись INFECTED не отображается.
Уважаемые друзья... у кого какое мнение? Кто что думает? Если я что-то недопонимаю, то объясните мне неграмотному

Замечание модератора: Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней. Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой или обратитесь к любому из модераторов.