Upptäckte skum php-kod på en av mina hemsidor

foks · 2012-06-12, 15:02

Gjorde bara en snabb analys, men den ansluter till en av 14 hårdkodade ip-nummer för att få instruktioner. Scriptet kan antingen lägga in extra html-kod (antagligen iframes till någon adress som sprider virus) eller köra valfritt php-kommando.

Det kan ha kommit dit på flera olika sätt, men jag skulle gissa på säkerhetshål i scriptet eller bruteforceattack till tex wp-admin.

AndersN · 2012-06-13, 13:53

Även jag har hittat detta på en av mina kudners sidor.
Detta är dock inte en WP sida, hur får dom in detta i koden på sidorna?
Det låg på sidhuvud och sidfot och dess är inte ens ändringsbar via admin delen.

Zeroi · 2012-06-13, 14:22

Citat:

Ursprungligen postat av AndersN

Även jag har hittat detta på en av mina kudners sidor.
Detta är dock inte en WP sida, hur får dom in detta i koden på sidorna?
Det låg på sidhuvud och sidfot och dess är inte ens ändringsbar via admin delen.

FTP bruteforce?

AndersN · 2012-06-13, 14:44

Citat:

Ursprungligen postat av Zeroi

FTP bruteforce?

Det bör finnas i wehotellets loggar?

fluortant · 2012-06-13, 15:13

Citat:

Ursprungligen postat av foks

Gjorde bara en snabb analys, men den ansluter till en av 14 hårdkodade ip-nummer för att få instruktioner. Scriptet kan antingen lägga in extra html-kod (antagligen iframes till någon adress som sprider virus) eller köra valfritt php-kommando.

Det kan ha kommit dit på flera olika sätt, men jag skulle gissa på säkerhetshål i scriptet eller bruteforceattack till tex wp-admin.

Tack, fick även detta svar genom ett pm. Upptäckte även att denna kod fanns på alla mina filer, även under en annan hemsida på samma webbhotell.

Citat:

Ursprungligen postat av AndersN

Även jag har hittat detta på en av mina kudners sidor.
Detta är dock inte en WP sida, hur får dom in detta i koden på sidorna?
Det låg på sidhuvud och sidfot och dess är inte ens ändringsbar via admin delen.

Intressant. Vilket webbhotell hade denna kund? Jag har heller inte en wp-sida.

AndersN · 2012-06-13, 15:30

Citat:

Ursprungligen postat av fluortant

Tack, fick även detta svar genom ett pm. Upptäckte även att denna kod fanns på alla mina filer, även under en annan hemsida på samma webbhotell.

Intressant. Vilket webbhotell hade denna kund? Jag har heller inte en wp-sida.

Ligger i CityNetworks gamla system

fluortant · 2012-06-13, 15:43

Citat:

Ursprungligen postat av AndersN

Ligger i CityNetworks gamla system

Samma som mina hemsidor då. Kanske är deras servrar infekterade och det på så sätt spridits.

AndersN · 2012-06-13, 15:58

Citat:

Ursprungligen postat av fluortant

Samma som mina hemsidor då. Kanske är deras servrar infekterade och det på så sätt spridits.

Intressant, då skall jag kontakta CN ang. detta.

johan_f · 2012-06-20, 10:21

Citat:

Ursprungligen postat av AndersN

Intressant, då skall jag kontakta CN ang. detta.

Hej

Vi är medvetna om detta och det ska vara åtgärdat.
En av våra gamla servrar som drabbats.

/Johan

Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)

Menu

Upptäckte skum php-kod på en av mina hemsidor