1. Inicio
  2. Pregunta y respuesta
  3. código Odd añadió justo antes del cierre etiqueta del cuerpo

código Odd añadió justo antes del cierre etiqueta del cuerpo

2009-12-17 26 views
5

Mi cliente está informando que el código con este aspecto se ha añadido automáticamente al final de todos los archivos PHP (justo antes de la etiqueta del cuerpo de cerca):código Odd añadió justo antes del cierre etiqueta del cuerpo

<b1><!--J5qN2aS2eNoNycENgCAMAMCNqEoUnYZA04DRUgI1rC+f+xxwUdDQEuliwe5u3U+wzm3HBWMMkxpR0Qnmr2E2KAyDIqAUnQGM3H0NiXwUed67q6m5/t4jHpA=--></b1>

Intentó manualmente borrando esa línea, pero por supuesto reaparece. Googleing vuelve muy poco:

¿Alguien puede ayudarnos a apuntar en la dirección correcta? ¿Hay algo especial que buscar?

Fuente

2009-12-17 shanebonham

+0

¿Está utilizando un marco de php o cms preempaquetado? – a432511

+0

El CMS es nuestro producto personalizado. Potencia cientos de sitios, pero ninguno informa este problema. Este sitio en particular también se aloja externamente (ofrecemos alojamiento en Rackspace, pero no lo están usando). – shanebonham

+0

¿Esa línea está en los archivos fuente PHP o solo en la salida? –

Respuesta

1

Parece una cadena codificada de 64 bases cifradas.

J5qN2aS2eNoNycENgCAMAMCNqEoUnYZA04DRUgI1rC+f+xxwUdDQEuliwe5u3U+wzm3HBWMMkxpR0Qnmr2E2KAyDIqAUnQGM3H0NiXwUed67q6m5/t4jHpA=

La decodificación no parece proporcionar ninguna información útil. Supongo que el host está en peligro.

Uno de mis clientes tenía un problema similar en uno de sus sitios web: resultó que había un formulario de carga que no tenía la validación de archivo adecuada, un script de Perl cargado y ejecutado a través del servidor web y el atacante casi rootear el acceso al servidor creando un deamon.

Fuente

2009-12-17 21:03:08

+0

Es posible que algo así sea lo que sucedió. Creo que tienen algunos formularios personalizados en el sitio. ¿Dónde sugeriría que revise para ver evidencia de esto, y potencialmente eliminarlo? ¿Habrá una indicación? archivo de cuento, ¿o todo esto va a pasar en la memoria? – shanebonham

+0

Perdí mi comentario gigante, así que voy a ser breve. Puede tener un bette Tuve suerte publicando @ ServerFault y preguntándole a su administrador de sistema/host qué sucedió. En mi caso, todos los archivos de registro (todos los archivos que comenzaban con "log *" en realidad) desaparecieron, así que hice una diferencia entre los archivos y la copia de seguridad y surgieron algunos archivos adicionales, entre ellos estaba el rootkit. –

0

cambiar la contraseña de FTP. tal vez fue robado del comandante total u otro cliente FTP por algún troyano.

Hubo un problema similar con el grupo iframe s agregado al código antes de la etiqueta de cierre. el cambio de contraseña es lo único que ayuda.

Fuente

2009-12-17 21:25:15 dusoft

+0

Cambiar la contraseña no me ayudó un poco. También tuve que eliminar el rootkit. –

+0

El cliente * no * cambió la contraseña de FTP, pero eso no ayudó. – shanebonham

Cuestiones relacionadas

 Cuestiones relacionadas