Pieduriens Posted April 26, 2013 Report Share Posted April 26, 2013 Labdien! Šorīt mans hostinga pakalpojumu sniedzējs atsūtīja brīdinājumu, lai pārbaudu (pie kaut kādas skanēšanas) aizdomīgos failus. veiki, Veicot servera skanēšanu uz potenciāliem caurumiem lapās, kas var iespaidot servera darbību ir atrasti iespējami problēmfaili. Lūgums pārbaudīt vai šajos failos nav veiktas modifikācijas un tie atbilst oriģinālam. Meklēšana tika veikta pēc: eval(base64_decode Visi "alert" faili satur, pēc atkodēšanas: http://pastebin.com/4eyUdfbr Kas tas tāds vispār ir? Vīruss, kaut kāda injekcija? Mierina fakts, ka faili bija iekš www.example.com/old/ mapes, kas vairs nav live... Paldies. Quote Link to comment Share on other sites More sharing options...
daGrevis Posted April 26, 2013 Report Share Posted April 26, 2013 1335. Quote Link to comment Share on other sites More sharing options...
Pieduriens Posted April 26, 2013 Author Report Share Posted April 26, 2013 1335. Atvaino, laikam nesaprotu šo apzīmējumu :( Quote Link to comment Share on other sites More sharing options...
daGrevis Posted April 26, 2013 Report Share Posted April 26, 2013 Leet, jeb 1337. Izskatās, ka tas kods ir PHP, rakstīts 1335. https://en.wikipedia.org/wiki/Leet Quote Link to comment Share on other sites More sharing options...
Pieduriens Posted April 26, 2013 Author Report Share Posted April 26, 2013 Leet, jeb 1337. Izskatās, ka tas kods ir PHP, rakstīts 1335. https://en.wikipedia.org/wiki/Leet Sanāk, ka tas ir tikai pieraksta veids (stils).. Quote Link to comment Share on other sites More sharing options...
daGrevis Posted April 26, 2013 Report Share Posted April 26, 2013 Jap. Bet jocīgi ir tas, ka daži PHP keywordi arī ir tajā raksīti. Divi scenāriji: 1. Šo kodu var izpildīt ar pielabotu interpetātoru, kas `p3bl4c` lasa kā `public`, 2. Šis kods kkur citur tiek ielādets kā teksts, uz tā ir veikts string-replace, un tikai tad tas tiek izpildīts; Quote Link to comment Share on other sites More sharing options...
marrtins Posted April 26, 2013 Report Share Posted April 26, 2013 Vairāk ticams ir 2. :D Quote Link to comment Share on other sites More sharing options...
blackhalt Posted April 26, 2013 Report Share Posted April 26, 2013 Pajautā šim www.facebook.com/rebimol viņš tur ir pieminēts :) Quote Link to comment Share on other sites More sharing options...
Kasspars Posted April 26, 2013 Report Share Posted April 26, 2013 Palaidu caur dekoderi :D /** * Feel free to contact me via Facebook * http://www.facebook.com/rebimol * * * @author Vladimir Popov * @copyright Copyright © a066 Vladimir Popov */ Quote Link to comment Share on other sites More sharing options...
blackhalt Posted April 26, 2013 Report Share Posted April 26, 2013 Skaidrs ir viens, Tev tas lapa ir caurs. Būs man ari japaskanē savs lapa. :) Quote Link to comment Share on other sites More sharing options...
blackhalt Posted April 26, 2013 Report Share Posted April 26, 2013 Bez tā apakšējā kaut kādas kompresijas stringa varētu būt tā: http://pastebin.com/S7D8xfQB Quote Link to comment Share on other sites More sharing options...
Pieduriens Posted April 27, 2013 Author Report Share Posted April 27, 2013 Vairāk ticams ir 2. :D Jā, ir otrais. Izmantoju Magneto 1.7.0.2 CE. Visi faili kur, kur sastopama šī "figņa" .../httpdocs/old/app/code/community/VladimirPopov/WebForms/Block/Adminhtml/Fields/Edit.php .../httpdocs/old/app/code/community/VladimirPopov/WebForms/Block/Adminhtml/Webforms.php .../httpdocs/old/app/code/community/VladimirPopov/WebForms/Block/Adminhtml/Webforms/Edit.php .../httpdocs/old/includes/src/VladimirPopov_WebForms_Block_Adminhtml_Webforms_Edit.php .../httpdocs/old/includes/src/VladimirPopov_WebForms_Block_Adminhtml_Fields_Edit.php .../httpdocs/old/includes/src/VladimirPopov_WebForms_Block_Adminhtml_Webforms.php .../httpdocs/old/app/code/community/VladimirPopov/WebForms/Block/Adminhtml/Fields/Edit.php .../httpdocs/old/app/code/community/VladimirPopov/WebForms/Block/Adminhtml/Webforms.php Visvairāk interesē, kā šis viss tur ir uzradies? 1. Laikā, kad bija izmantota old versija. 2. uz httpdocs (root dir) stāv jail break permisijas. 3. Negribas ticēt, ka *Vladimirs Popovs* pats iemānijis šo "haku" jau modulī, pie moduļa instalācijas.. Baigās pārdomas :D Quote Link to comment Share on other sites More sharing options...
blackhalt Posted April 27, 2013 Report Share Posted April 27, 2013 Vladimirs Popovs diez vai ir vainīgs. Es arī kādreiz biju vainīgs pie visiem Latvijas forumu SQL dumpiem, kad tos uzlauza. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.