[fluortant]

På en av mina äldre hemsidor som jag inte uppdaterat på över ett år upptäckte jag en skum kodsnutt när jag öppnade index.php idag.

Detta låg överst i filen: http://pastebin.com/WsNaiUJk

Nån som har en aning om vad det kan vara? Och även hur det kan ha hamnat där?

[foks]

Gjorde bara en snabb analys, men den ansluter till en av 14 hårdkodade ip-nummer för att få instruktioner. Scriptet kan antingen lägga in extra html-kod (antagligen iframes till någon adress som sprider virus) eller köra valfritt php-kommando.

Det kan ha kommit dit på flera olika sätt, men jag skulle gissa på säkerhetshål i scriptet eller bruteforceattack till tex wp-admin.

[AndersN]

Även jag har hittat detta på en av mina kudners sidor.
Detta är dock inte en WP sida, hur får dom in detta i koden på sidorna?
Det låg på sidhuvud och sidfot och dess är inte ens ändringsbar via admin delen.

[Zeroi]

Citat:

Ursprungligen postat av AndersN

Även jag har hittat detta på en av mina kudners sidor.
Detta är dock inte en WP sida, hur får dom in detta i koden på sidorna?
Det låg på sidhuvud och sidfot och dess är inte ens ändringsbar via admin delen.

FTP bruteforce?

[AndersN]

Citat:

Ursprungligen postat av Zeroi

FTP bruteforce?

Det bör finnas i wehotellets loggar?

[fluortant]

Citat:

Ursprungligen postat av foks

Gjorde bara en snabb analys, men den ansluter till en av 14 hårdkodade ip-nummer för att få instruktioner. Scriptet kan antingen lägga in extra html-kod (antagligen iframes till någon adress som sprider virus) eller köra valfritt php-kommando.

Det kan ha kommit dit på flera olika sätt, men jag skulle gissa på säkerhetshål i scriptet eller bruteforceattack till tex wp-admin.

Tack, fick även detta svar genom ett pm. Upptäckte även att denna kod fanns på alla mina filer, även under en annan hemsida på samma webbhotell.

Citat:

Ursprungligen postat av AndersN

Även jag har hittat detta på en av mina kudners sidor.
Detta är dock inte en WP sida, hur får dom in detta i koden på sidorna?
Det låg på sidhuvud och sidfot och dess är inte ens ändringsbar via admin delen.

Intressant. Vilket webbhotell hade denna kund? Jag har heller inte en wp-sida.

[AndersN]

Citat:

Ursprungligen postat av fluortant

Tack, fick även detta svar genom ett pm. Upptäckte även att denna kod fanns på alla mina filer, även under en annan hemsida på samma webbhotell.


Intressant. Vilket webbhotell hade denna kund? Jag har heller inte en wp-sida.

Ligger i CityNetworks gamla system

[fluortant]

Citat:

Ursprungligen postat av AndersN

Ligger i CityNetworks gamla system

Samma som mina hemsidor då. Kanske är deras servrar infekterade och det på så sätt spridits.

[AndersN]

Citat:

Ursprungligen postat av fluortant

Samma som mina hemsidor då. Kanske är deras servrar infekterade och det på så sätt spridits.

Intressant, då skall jag kontakta CN ang. detta.

[AndersN]

Ser även att detta drabbat yttligare en kund som ligger i gamla systemet.