WN
Sidan 1 av 2 1 2
Visa 40 inlägg från det här ämnet på en sida

WN (https://www.wn.se/forum/index.php)
-   Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)
-   -   Upptäckte skum php-kod på en av mina hemsidor (https://www.wn.se/forum/showthread.php?t=1053768)

fluortant 2012-06-12 13:24
Upptäckte skum php-kod på en av mina hemsidor
 
På en av mina äldre hemsidor som jag inte uppdaterat på över ett år upptäckte jag en skum kodsnutt när jag öppnade index.php idag.

Detta låg överst i filen: http://pastebin.com/WsNaiUJk

Nån som har en aning om vad det kan vara? Och även hur det kan ha hamnat där?

foks 2012-06-12 15:02
Gjorde bara en snabb analys, men den ansluter till en av 14 hårdkodade ip-nummer för att få instruktioner. Scriptet kan antingen lägga in extra html-kod (antagligen iframes till någon adress som sprider virus) eller köra valfritt php-kommando.

Det kan ha kommit dit på flera olika sätt, men jag skulle gissa på säkerhetshål i scriptet eller bruteforceattack till tex wp-admin.

AndersN 2012-06-13 13:53
Även jag har hittat detta på en av mina kudners sidor.
Detta är dock inte en WP sida, hur får dom in detta i koden på sidorna?
Det låg på sidhuvud och sidfot och dess är inte ens ändringsbar via admin delen.

Zeroi 2012-06-13 14:22
Citat:
Ursprungligen postat av AndersN (Inlägg 20442408)
Även jag har hittat detta på en av mina kudners sidor.
Detta är dock inte en WP sida, hur får dom in detta i koden på sidorna?
Det låg på sidhuvud och sidfot och dess är inte ens ändringsbar via admin delen.

FTP bruteforce?

AndersN 2012-06-13 14:44
Citat:
Ursprungligen postat av Zeroi (Inlägg 20442418)
FTP bruteforce?
Det bör finnas i wehotellets loggar?

fluortant 2012-06-13 15:13
Citat:
Ursprungligen postat av foks (Inlägg 20442328)
Gjorde bara en snabb analys, men den ansluter till en av 14 hårdkodade ip-nummer för att få instruktioner. Scriptet kan antingen lägga in extra html-kod (antagligen iframes till någon adress som sprider virus) eller köra valfritt php-kommando.

Det kan ha kommit dit på flera olika sätt, men jag skulle gissa på säkerhetshål i scriptet eller bruteforceattack till tex wp-admin.
Tack, fick även detta svar genom ett pm. Upptäckte även att denna kod fanns på alla mina filer, även under en annan hemsida på samma webbhotell.

Citat:
Ursprungligen postat av AndersN (Inlägg 20442408)
Även jag har hittat detta på en av mina kudners sidor.
Detta är dock inte en WP sida, hur får dom in detta i koden på sidorna?
Det låg på sidhuvud och sidfot och dess är inte ens ändringsbar via admin delen.
Intressant. Vilket webbhotell hade denna kund? Jag har heller inte en wp-sida.

AndersN 2012-06-13 15:30
Citat:
Ursprungligen postat av fluortant (Inlägg 20442425)
Tack, fick även detta svar genom ett pm. Upptäckte även att denna kod fanns på alla mina filer, även under en annan hemsida på samma webbhotell.


Intressant. Vilket webbhotell hade denna kund? Jag har heller inte en wp-sida.
Ligger i CityNetworks gamla system

fluortant 2012-06-13 15:43
Citat:
Ursprungligen postat av AndersN (Inlägg 20442428)
Ligger i CityNetworks gamla system
Samma som mina hemsidor då. Kanske är deras servrar infekterade och det på så sätt spridits.

AndersN 2012-06-13 15:58
Citat:
Ursprungligen postat av fluortant (Inlägg 20442430)
Samma som mina hemsidor då. Kanske är deras servrar infekterade och det på så sätt spridits.
Intressant, då skall jag kontakta CN ang. detta.

AndersN 2012-06-13 15:59
Ser även att detta drabbat yttligare en kund som ligger i gamla systemet.


Alla tider är GMT +2. Klockan är nu 12:45.
Sidan 1 av 2 1 2
Visa 40 inlägg från det här ämnet på en sida

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson