Witam.
Ostatnio miałem do czynienia z przypadkiem infekcji kodu PHP.
Virus lub coś podobnego wyglądało jak zmienna php która zawierała kod przepuszczony przez jakiś obfuskator i następnie była wywoływana.
Taki złośliwy kod byl doklejany przed <?php lub na koncu pliku.
Ponieważ oczyszczałem 2 różne serwisy z tego typu złośliwości - moje pytanie jest takie:
-czy powodem infekcji jest luka w PHP ?
-samym programie napisanym w PHP ?
-zabezpieczeniu apacha na którym stawiane są strony ?
a może ktorys z użytkownikóww wrzucajac materiały na FTP mógł "zarazić serwer" ?
Z tego co zdążyłem zauważyć zainfekowane zostały również pliki php które w trakcie zwykłego przeglądania strony/programu nie były używane.
Czyli tak jakby listowana była cała zawartość katalogu i do każdego pliku php dołączany złośliwy kod.
ktoś miał może podobny problem ?
pozdrawiam
Grzegorz
Pełna wersja: [PHP]źrodło infekcji plików PHP
W 90% przypadków źródłem jest FTP.
dzieki - tego sie obawialem.
swoja droga to niesamowite ze viruch moze byc zapisany w 1 stringu i odpalany evalem narobic tyle zniszczen
swoja droga to niesamowite ze viruch moze byc zapisany w 1 stringu i odpalany evalem narobic tyle zniszczen
Dużym problemem nie jest rzucić pod evala np. rekursywne usuwanie katalogów na serwerze 
no własnie rekursywnie wrzucone zostało dopisywanie śmieci do plików php ;-)
a najgorsze jest to, ze zadziałało to tez na katalogach wyższych niż wywołany skrypt !
Efektem bylo zainfekowanie kilku aplikacji phpowych jednoczesnie
dziękuję za info
a najgorsze jest to, ze zadziałało to tez na katalogach wyższych niż wywołany skrypt !
Efektem bylo zainfekowanie kilku aplikacji phpowych jednoczesnie
dziękuję za info
Dlatego nigdy nie powinno się zapisywać haseł w klientach FTP. W większości tego typu programów jest nawet ostrzeżenie, że zapisanie hasła może nie być bezpieczne.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.