Infekcja w parserze PHPTAL, {HEX}php.base64.v23au.185 w SaxXmlParser.php Opcje

[studio7]

Witajcie,

Od ponad dwóch tygodni męczę się z infekcją na serwerze, na którym jest wiele witryn postawionych na różnych CMSach i frameworkach (WordPress, Joomla, PrestaShop oraz autorskie CMSy, a z portali na frameworkach - Kohana). Wirus infekował headery plików szablonów WordPress i indexy szablonów Joomla oraz dodawał różne przypadkowe pliki typu file17.php, main.css (z kodem php) albo css.php - zaktualizowałem wszystkie aplikacje i skrypty/pluginy/szablony etc. , zrobiłem upgrade PHP, zmieniłem wszystkie dane (do hostingu, do FTP, do baz danych i do paneli CMSów), oczyściłem pliki z ewidentnie złośliwego kodu i usunąłem dodane przez malware pliki.

Dzisiaj jest mój ostatni dzień przed urlopem i poprosiłem linuxpl.com o jeszcze jedno skanowanie - infekcję znaleziono w pliku znajdującego się w portalu stworzonym autorsko na frameworku Kohana - plik znajduję się w miejscu:

/modules/kotal/vendor/phptal/PHPTAL/Dom/SaxXmlParser.php


Wynik skanowania z maila od LinuxPL.com:

{HEX}php.base64.v23au.185 : /home/moje_konto/domains/witrynakohana.pl/public_html/modules/kotal/vendor/phptal/PHPTAL/Dom/SaxXmlParser.php


Poniżej wklejam zawartość tego pliku:

CODE

http://pastebin.com/h17Bp0pU

Czy mógłby ktoś bardziej obeznany w PHP obejrzeć ten plik i powiedzieć, na czym polega dziura/infekcja?

Pozdrawiam,
Mateusz

[viking]

Porównaj plik z oryginałem i będziesz wiedział czy coś zostało dodane czy skaner błędnie wykrywa. Podali o co konkretnie chodzi?

[studio7]

Wysłałem maila z zapytaniem, o które linijki/funkcje chodzi i nie otrzymałem odpowiedzi, może sami nie wiedzą.

Ostatnio dodawałem ten plik z oficjalnego źródła PHPTAL - ale dla pewności sprawdzę diff pomiędzy tym z serwera i świeżo skopiowanym tekstem z GitHuba, za chwilę wyedytuję i zobaczymy, czy są jakiekolwiek różnice (choć podejrzewam, że nie ma).


Pozdrawiam