|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
Опции темы | Поиск в этой теме |
07.11.2016, 22:46 | #1 |
Пользователь
Регистрация: 14.03.2011
Сообщений: 11
|
Расшифровка php срипта
Всем привет,
ситуация такая: ломают (загружая вредоносные php-шки) мои сайты на Joomla, файлы загружают с приблизительно таким мясом, ---------- $NB0C="\x70".chr(114)."\x65\x67_".c hr(114)."ep".chr(108)."\x61\x63e"; ---------- всё приводить не буду ~3500 символов в файле, поскольку файлы называются аля "post.php" гуглить не представляется возможным! По логам видно, что ломают из америкосии, как конкретно не понимаю, эти файлы рассылают спам! Помогите какой-нить инфой/ссылкой как это расшифровать, если это вообще возможно. |
07.11.2016, 22:58 | #2 |
юзер как все
Участник клуба
Регистрация: 10.01.2012
Сообщений: 1,586
|
Дак тут и не зашифрованно ничего!
Просто каждый символ записан по разному, на пример 97 это маленькая буква а. и так далее. Код:
<Дзен - Вся вселенная в тебе > | Резюме: https://ch3ll0v3k.github.io/CV/
Последний раз редактировалось pompiduskus; 07.11.2016 в 23:10. |
08.11.2016, 02:43 | #3 |
Форумчанин
Регистрация: 01.08.2016
Сообщений: 182
|
Содержимое файла вам особо ничего не даст. Смотрите по логам где именно у вас дыра(скрипт), через которую заливают эти скрипты. В какую папку их загружают.
Возможно, загружают вместо картинок куда-нибудь в папку /upload/, а в этой папке у вас не закрыто исполнение php-скриптов. Закройте его через .htaccess Если шаред-хостинг, могут ломать не вас, а "соседей" и лезть через них. Возможно, есть смысл обновить Джумлу до последней версии (только бэкапы сначала сделайте, БД и самих файлов), там дыры могут быть пофиксены. |
08.11.2016, 09:47 | #4 |
Пользователь
Регистрация: 14.03.2011
Сообщений: 11
|
pompiduskus,
спс, я примерно так и думал т.е. можно типа дешифратора написать predefined, "Смотрите по логам" - я б с удовольствием, но я только в "access.log" вижу обращения к плохим php-шкам (а там кроме ip и клиента смотреть не на что), пойду гуглить! "в папку /upload/" - заливают в корень VPS (centos) - так что, лезут не через соседей "обновить Джумлу" - она пока предпоследняя, модули специально не ставлю, чтоб дыры не плодить, но как видно не очень помогает |
08.11.2016, 19:17 | #5 | |
Форумчанин
Регистрация: 01.08.2016
Сообщений: 182
|
Цитата:
Могли и ftp сбрутфорсить, и ssh. Пароли меняйте в любом случае. |
|
09.11.2016, 11:37 | #6 |
Пользователь
Регистрация: 14.03.2011
Сообщений: 11
|
predefined,
ftp - вырублен, ssh - тоже (включаю только вручную, когда мне надо). Покопался тут немного, они гады сначала походу 1 файл в tmp закидывают, а через 10 дней, когда старые логи уже удалены, начинают через этот файл другую дрянь закидывать! У меня контроль файлов прикручен, а он как раз папку tmp не просматривает, чтобы не орал постоянно об изменении файлов, и получается, что я вижу только финальный этап. Короче буду думать дальше! |
11.11.2016, 04:08 | #7 | ||
Форумчанин
Регистрация: 01.08.2016
Сообщений: 182
|
Профессионально работают. Отслеживайте как они его закидывают. С какого IP и потом смотрите к каким скриптам Джумлы обращался этот IP. Но не спугните их.
Кто имеет право писать в папку tmp? Если только Веб-сервер - скорее всего ломятся через скрипты. Можно через .htaccess закрыть доступ из Интернета к папке, написав там: Цитата:
Можно через .htaccess запретить в этой папке исполнение скриптов, написав там: Цитата:
|
||
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Шифрование переменной в Delphi -> Расшифровка в PHP | laspavel1 | Работа с сетью в Delphi | 6 | 03.12.2012 04:39 |
Запуск срипта внутри функции | Mizar | JavaScript, Ajax | 0 | 25.11.2011 13:52 |
расшифровка кода 1с | karol | Фриланс | 3 | 02.05.2011 15:40 |
Расшифровка php кода | Bi0Dim | PHP | 1 | 20.02.2011 20:13 |